随着我国路由行业的发展,同时也推动了路由技术的更新升级,这里我们主要分析了侠诺安全路由器的基本配置方法,局域网端则是对内接到企业用户的线路,有些侠诺安全路由器本身有局域网端口,可下接交换机;有的网管则会将侠诺安全路由器先接到骨干交换机,再向下接到一般的交换机。以上这两种作法均可,后者适合较大的吞吐量的应用情况,一般的企业应用,侠诺安全路由器的局域端口是可以随着带宽转发的。因此在硬件配置,这是较为简单的。
Qno侠诺技术服务人员的经验指出,要进行一个好的安全网络的配置,IP的管理是顶重要的。IP就是计算机在互联网的地址,因此要能有效管理地址,才能预防攻击或针对有问题的计算机加以管制。对于网管而言,在IP管理方面要注意的事项,主要为计算机采用固定IP地址、DHCP服务器发放固定IP、防止未允许的计算机上网及群组管理等四个重要项目,以下分别进行说明:
计算机采用固定IP地址:计算机采用固定IP地址,是最严密的配置方式。这个作法,必须要求用户在计算机中手动键入IP地址相关数据。这样做的好处是每台机器的IP都必须是事先指定,没有事先指定的IP,则无法上网,外来的用户或是计算机不能轻易地通过企业网络上网。不过对于用户而言,必须要设定固定IP,到其它场合又要重新设定,对于部份常需要移动的用户,例如业务人员或是高阶主管,造成不小的困扰。
DHCP服务器发放固定IP:DHCP服务器的好处是用户无需在计算机上作任何设置,对于用户较方便。但是DHCP的缺点是若不加以管制,随便一个用户也能进入企业的网络,也容易发动对内部的攻击,造成影响。因此对于企业而言,较好的方式是通过DHCP发放IP地址,但同时限定计算机能取得的IP地址,以便进行管理。Qno侠诺安全路由器的IP/MAC绑定功能,即可以根据网管的配置,认明计算机的MAC地址发放特定的IP,这样就可针对IP进行管理。同时IP/MAC绑定功能也可防止用户修改IP,以取得较高权限问题,错误的MAC/IP组合,将会被侠诺安全路由器“封锁错误MAC地址”阻挡,这个功能也可防止ARP攻击。
防止未允许的计算机上网:对于网管而言,未被管制的计算机,经常引发安全问题。有些用户会自行带入中毒的计算机,甚至其它楼层用户通过无线网络进入公司网络。这样的情况,可通过防止未允许的计算机上网来解决。Qno侠诺的IP/MAC绑定功能中,提供“封锁不在对应表列中MAC地址”功能,达到网管未配置的MAC地址完全无法上网的作用。
图一:Qno侠诺安全路由器的IP/MAC绑定功能,网管可将用户的IP及MAC地址键入,这样可以达到使用DHCP服务时,每次发放固定IP给用户。另外“封锁错误MAC地址”及“封锁不在对应表列中MAC地址”则可提供更进阶的功能,提供进一层的安全保障。
群组管理:除了IP/MAC绑定,可有效管制用户外,另外适当采用群组的功能,也能更方便的对用户加以管理。例如Qno侠诺提供的IP群组功能,就能将不同的IP用户设为不同群组,例如企业高阶主管设为一组、业务部门设为一组、内部行政人员设为一组。不同群组的用户,适用不同的管制权限或是带宽管理原则,这个功能可以大幅简化管理工作,也可避免管制时出现漏网之鱼的现象。