2009-05 ShareTech Aw Lb

防火牆設備教育訓練 UTM AW and LB 翁維聰 2009 年 5 月 [email_address] SKYPE:tsungwei888 MSN:tsungwei@mail.speed.net.tw

前言從早期利用電子郵件快速交換訊息，到現在不管是影音娛樂、廣告行銷、教育訓練、產品資訊、線上購物交易等，目前許多都藉由網路推展。網路資訊發展更新的速度變化快速，已經跟我們生活息息相關，是全球潮流。唯有運用網路的效率與便利，才能掌握致勝的關鍵。所謂 “水能載舟，亦能覆舟”，網路的效率與便利是我們想要的，但是網路上面還是有許多的駭客跟攻擊，這些不安全性就是我們想避免的狀況。但是網路安全政策的制定。要從人為的管理、整體的網路架構和網路安全的規劃與搭配著手才行。本篇報告著重於眾至資訊的防火牆設備技術，目的是希望藉由一步步的導引，協助大家建立一個基本的安全網路環境概念，讓大家了解一下如何保護企業在開放的網際網路環境之下防堵有心人士的惡意干擾與破壞，建構一個安全的網路閘道環境。

前言企業已經有分享器還需要防火牆？一般中小企業一開始規模小，建置共用網路環境大都使用 IP 網路分享器，提供企業與 Internet 連線的一個管道，這樣還需要規劃購置防火牆嗎？一般 IP 分享器定位在家庭 SOHO 族 (10 人以內 ) 使用，對企業來說則建議需使用防火牆。防火牆在運作效率、防護功能及安全認證上優於 IP 分享器，在大部份企業網路安全屬第一線的防護的功能，擔負企業內部與外界溝通的閘道安全管制，所以防火牆規劃與建置為很重要的課題。現今駭客跟駭客工具氾濫猖獗的程度，只要一接上 Internet ，就會收到許多未知異常流量流入企業內部，輕者會影響企業網路速度的正常使用，嚴重時連重要資料被竊取或破壞，造成企業損失，因此規劃及建置防火牆對企業來說是勢在必行的資安工��。規劃的好能幫企業阻擋許多惡意的駭客攻擊，反之則可能造成漏洞、系統運作不正常；更可能造成網路瓶頸。

ShareTech LB 系列特色防火牆： ICSA 認證過的防火牆為設計基礎，內建 SPI 技術，主動欄截阻擋駭客攻擊。異常流量阻擋：超過設定連線數，會將多餘連線要求阻擋，通知管理者。 VPN ： SSL VPN 、 IPSec 、 PPTP Server 、 PPTP Client ，資料安全傳遞。認證閘道器：搭配無線 AP 或有線網路系統，將要求上網的封包轉向認證伺服器，認證伺服器認證完成才可以使用網路。 QoS ：讓有限的網路資源，做合理的分配，不因某些服務或是操作，將整個網路拖垮，可設定保證頻寬、最大頻寬及優先權等方式。

ShareTech LB 系列特色 IM/P2P 管理：從行為特徵值上，直接封鎖這些行為，並且利用即時更新技術 (Live Updagte) ，防火牆會自動更新最新的特徵值。　內容過濾：提供 Web Filter( 網頁過濾 ) 功能，能阻擋工作端存取不當網頁 ( 如色情、暴力 ) 和攻擊性網頁 ( 如駭客、病毒 ) ，且能自設過濾條件，阻擋不當網站。　線路負載均衡： ShareTech 的 WAN 端可以接入 ADSL 固接、 PPPoE 、 Cable 　 Modem 、數據專線、光纖、 FTTB 等多種線路，會針對不同線路頻寬設定、自動作負載分流，當其中一條線路斷線後，自動將流量切換至另一條正常的線路，充分發揮線路備援的功能。

ShareTech AW 系列特色除了包含 LB 系列特色外，還包含下列：防毒牆：提供 Clam AV 與 Sophos(AW-5150G 、 AW-5250G 、 AW-5350G) 防毒引擎，不論是電子郵件的夾帶病毒、 WWW 的病毒甚至 FTP 傳遞檔案中內含病毒，只要封包經過，就會自動將病毒攔下。垃圾信件過濾：垃圾郵件的困擾，讓工作效率降低，內建智慧型的郵件過濾機制，貝氏分析法、指紋辨識法等，都可從郵件的特徵值上直接過濾。 IDP ：入侵偵測是 AW 系列設備對已知、未知的攻擊行為防範的利器，藉由自動更新的特徵值資料庫，掌握最新的攻擊行為並且加以防範。郵件稽核： AW-5250G / 5350G 可以針對進出的郵件做稽核動作，只要符合設定條件的郵件，執行��核後放行、刪除、延遲傳送、附本抄送、轉寄等稽核動作，不論使用者是用內部的郵件伺服器或是外部公用的郵件帳號。

安裝 ShareTech 防火牆硬體

ShareTech AW 功能 AW5050 無此功能 AW5150G 無此功能 AW5250G AW5350G

ShareTech LB 功能 LB2206 LB2206W 無此功能 LB2225 無此功能 ( 無 VPN 功能 ) LB2235 LB2411G

輕鬆獲得安全、管理、便利三大特性、強化網路維護系統安全性高：加強內部電腦及自設網站服務器網路安全管理性強：加強內部聯外使用及自設服務器，外部連線的網路管理便利性多：加強對各樣網路環境架構，快速增加原有架構功能性

系統特性：安全可以加強內部電腦使用網際網路安全，以及自設網站服務外部攻擊防護瀏覽網頁：預防木馬病毒惡意網頁內容信件收發：預防病毒跟垃圾夾檔信件攻擊服務提供：預防駭客後門程式線上攻擊 H A 機制：預防硬體故障做即時備援運作

系統特性：管理可以加強使用電腦時，內部網路連出的管理，以及外部網路連入的管理（管理分配服務表、位置表、應用程式管制）對內部連出服務管控，針對電腦 IP 、 MAC ，做不同的開放 A 部門：能收信發信，不能上網頁、使用 MSN B 部門：能使用 SKYPE ，不能上網頁、寄信收信、使用 MSN C 部門：能上網、寄信收信，不能使用 SKYPE 、 MSN D 部門：完全開放 E 部門：完全禁止

系統特性：管理（管理分配時間）針對特定時間做使用管理上班時間 8:00-12:00 ,13:30-18:00 禁止使用 IM 軟體或上網瀏覽休息時間 12:00-13:30, 開放使用 IM 軟體或上網瀏覽

系統特性：管理（管理分配驗證帳號密碼，位置表）針對特定電腦通過帳號密碼認證後的使用者才能使用網路 A 電腦使用者必須認證後才能使用上網 B 電腦使用者無需認證就可以使用上網

系統特性：管理（管理分配頻寬）針對特定服務， IP 、 MAC 、時間，去做頻寬管理可運用在企業視訊影像， VOIP 語音，網站瀏覽，郵件主機， ERP 主機等確保資料傳輸流量頻寬保障，避免異常流量影響

系統特性：管理（管理分配 VPN 連線）針對 VPN 虛擬加密通道（ pptp , ipsec ）做連線管理可藉由管制條例，管制 VPN 通道的連線來源及目的位置，去做開放、禁止的處理（ IP 、 MAC 、服務、排程）

系統特性：管理（管理分配 VPN 做備援）利用兩點間對外線路，均具有多條外線，可作多條 VPN 通道的備援。避免 VPN 建立在單一對外線路環境下，因線路連線中斷，也中斷 VPN 通道裡所運作的服務。

系統特性：管理（管理分配對外流量平衡）針對內部對外連線上網做流量、封包數的線路平衡均分，跟整合多條對外線路使用管理例如：學生宿舍連線使用管理、企業內部各區段對外連線使用管理

系統特性：管理（管理分配對內負載平衡）利用對內負載平衡機制，讓網域名稱 DNS SERVER 回應導引使用者，連入企業對外正常運作的頻寬線路對有提供外部使用者存取的主機服務網路環境，避免單一線路 ISP 線路異常中斷後，也中斷所有對外服務

系統特性：管理（管理分配 URL 網址頁瀏覽，位置表）對各使用者瀏覽的 URL 做不同群組分配使用 A 電腦 USER 能瀏覽 kimo,hinet 網頁其他禁止 B 電腦 USER 能瀏覽公司網頁其他網頁禁止

系統特性：管理（管理分配 IP 配發，位置表）利用 DHCP SERVER 及位置表去分配區段以及 IP 、 MAC 綁定避免使用者自行設定 IP 衝突導致網路混亂情形

系統特性：管理（管理記錄 syslog ）針對設備流量監控後的紀錄一、可設定用 E-MAIL 做寄發記錄通知二、可設定遠端 syslog server 做記錄存檔查詢管理可以搭配 TaskMaster 或是 sawmill 、 3CDaemon

系統特性：便利可以針對不同網路環境，做適當的切入，即可增加原有架構功能性以下展示相關情況，可以運用的方式

系統特性：便利原有網路架構下，為了要加強使用者頻寬管理

系統特性：便利原有網路架構下，為了加強郵件病毒跟垃圾的過��安全

系統特性：便利原有網路架構下，為了增加 VPN 功能

系統特性：便利原有網路架構下，為了取代原有故障路由器設備

系統特性：便利原有網路架構下，為了增加 p2p ， im 使用管制

系統特性：便利原網路架構下，為了增加異常流量 IP 的偵測阻擋，及協同防禦的功能

系統特性：便利提供介面狀態給管理者知道設備目前線路跟負載狀況跟運作時間

系統特性：便利提供流量排行掌握內部使用者使用歷史流量、服務記錄

系統特性：便利提供異常流量 IP 歷史紀錄查詢

系統特性：便利提供郵件過濾後的往來歷史紀錄查詢

ShareTech AW LB 基礎管理登入管理設備特性預設出廠值 LAN IP 192.168.1.1/255.255.255.0 預設有啟動 DHCP SERVER 管理 PC 可設 DHCP CLIENT 預設管理帳號密碼 admin / admin 預設管理介面 LAN 有開啟 PING ， HTTP 80 , HTTPS 443 使用只需幾個簡單 3 步驟：一、確定要安裝的模式（ NAT 、 TR 、 ROUTER ）二、將使用介面的 IP ，修改填入（ LAN 、 WAN 、 DMZ ）三、設定管制條例（開設相關介面條例）

ShareTech AW LB 基礎管理確認 PC 網卡設定好之後去 ping 192.168.1.1 預設 LAN 位置在去用瀏覽器開啟管理畫面做設定

ShareTech AW LB 基礎管理 NAT 運作模式：運作在內部電腦設備上網共用外部 IP 模式時 ROUTER 運作模式：運作在路由模式需求的網路環境運作時 Transparent 運作模式：需要在不變動網路架構、設備設定的環境運作時郵件過濾運作模式：需要過濾目前網路垃圾郵件及增加安全強度環境時 VPN 運作模式：需加密安全通道在異地存取內網路環境安全便利時 QOS 運作模式：需要保障特定目標給予頻寬使用時

AW LB 基礎管理 NAT 運作模式 NAT 運作模式：運作在內部電腦上網共用外部 IP 模式時 1. 此模式可以在 LAN DMZ 上面運作（看你內部設備要從哪）

AW LB 基礎管理 NAT 運作模式除了可以從介面位置去做設定外，還可以從系統管理 - 組態 -Multiple Subnet 這邊去做設定

AW LB 基礎管理 NAT 運作模式 2. 再去設定管制條例，相關設備取得 IP 資訊後即可使用

AW LB 基礎管理 ROUTER 運作模式 ROUTER 運作模式：運作在路由模式需求的網路環境運作時 1.Gateway--- 學校 Router 的 LAN-port 2.A 點 --- 學校 Router 的 WAN-port 3.B 點 --- 就是 ATU-R 的 LAN-port 4.D 點 --- 就位於縣網中心的 CISCO7206 上以 xx 高中為例： 1.Gateway--- 164.77.198.24 255.255.255.0 2. A 點 ---10.200.9.142 3. B 點 ---10.200.9.137 4.D 點 ---10.200.14.137

AW LB 基礎管理 ROUTER 運作模式 1. 去介面位置—外部網路將相關的 A 點 B 點的位置填入 2. 去系統管理—組態— Multiple Subnet 設定路由區段位置

AW LB 基礎管理 ROUTER 運作模式 3. 再去設定管制條例，相關設備取得 IP 資訊後即可使用

AW LB 基礎管理 Transparent 運作模式 TR 運作模式：需要在不變動網路架構、設備設定的環境運作時

AW LB 基礎管理 Transparent 運作模式

郵件過濾運作模式：需要過濾目前網路垃圾郵件及增加安全強度的環境時 AW LB 基礎管理郵件過濾運作模式

AW LB 基礎管理郵件過濾運作模式

AW LB 基礎管理 VPN 運作模式 VPN 運作模式：需加密安全通道在異地存取內網路環境安全便利時右圖為使用 IPSEC 加密方式建立

AW LB 基礎管理 VPN 運作模式右圖為使用 PPTP 加密方式建立

AW LB 基礎管理 VPN 運作模式右圖為利用通道建立連接的區段設定

AW LB 基礎管理 VPN 運作模式

AW LB 基礎管理 QOS 運作模式 QOS 運作模式：需要保障特定目標給予頻寬使用時

AW LB 基礎管理 QOS 運作模式

.ShareTech AW LB 維護如何獲知目前閘道器 LAN IP ？如何恢復管理者密碼？如何確認設備負載流量大小？如何製作設定備份檔案？如何回存備份設定檔案？如何限制只有特定 IP 能管理防火牆設備？如何確認網路是否正常連線或是斷線？如何恢復出廠預設值？如何更新軔體版本？搭配其他扶助軟體？

.ShareTech AW LB 維護如何獲知目前閘道器 LAN IP ？有幾個方式：預設設備會啟動 DHCP SERVER 功能，工作站電腦設定自��取得 IP 方式連線，可獲取得 IP 位置利用 ipconfig 去知道目前使用的閘道 IP （去看閘道位置就是設備 IP ）

.ShareTech AW LB 維護如何獲知目前閘道器 LAN IP ？使用有 console 的設備　使用超級終端機登入後輸入 ifconfig 獲得 IP 資訊 LB2215 AW5050 速率 115200 其他型號都是使用速率 9600 CONSOLE 管理密碼 AW ： mailsecurity LB ： multihoming Or itsecurity FW ： firewall

.ShareTech AW LB 維護如何恢復管理者密碼？無法登入管理畫面狀態下，高階設備有 console 的，使用超級終端機，操作速率 aw5050 115200,n,8,1 aw5150g 9600,n,8,1 aw5250g 9600,n,8,1 aw5350g 9600,n,8,1 lb2206,lb2206w 因為沒有 console 所以只能使用 RESET 按鈕 lb2225 9600,n,8,1 lb2235 9600,n,8,1 lb2411g 9600,n,8,1 進入後，輸入預設 CONSOLE 管理帳號密碼輸入 passwd_recover 即可恢復 admin / admin

.ShareTech AW LB 維護如何確認設備負載歷史使用流量大小？查看系統狀態，去看相關介面的運作使用負載比率，跟流量封包數量大小查看流量統計 -- 介面位置 -- 外部網路，觀看 MRTG 歷史流量

.ShareTech AW LB 維護如何確認設備負載歷史使用流量大小？查看流量排行，查看歷史累計使用者使用的總量

.ShareTech AW LB 維護如何製作設定備份檔案？如何回存備份設定檔案？

.ShareTech AW LB 維護如何限制只有特定 IP 能管理防火牆設備？

.ShareTech AW LB 維護如何確認網路是否正常連線或是斷線？

.ShareTech AW LB 維護如何恢復出廠預設值？無法登入管理畫面狀態下，高階設備有 console 的，使用超級終端機，操作速率 aw5050 115200,n,8,1 aw5150g 9600,n,8,1 aw5250g 9600,n,8,1 aw5350g 9600,n,8,1 lb2206,lb2206w 因為沒有 console 所以只能使用 RESET 按鈕 lb2225 9600,n,8,1 lb2235 9600,n,8,1 lb2411g 9600,n,8,1 進入後，輸入預設 CONSOLE 管理帳號密碼輸入 reset 即可恢復出廠預設值

.ShareTech AW LB 維護如何更新軔體版本？登入官方網站，下載專區，選取符合的型號版本下載再到管理介面，系統管理，軟體更新，上傳軔體檔案 www.sharetech.com.tw

.ShareTech AW LB 維護搭配利用其他扶助軟體？ Taskmaster ftp://download.sharetech.com.tw/setup_tm_v1.0.2.exe Sawmill http:// www.sawmill.net.tw/lite.html 3CDaemon http://support.3com.com/software/3cdv2r10.zip MRTG http://oss.oetiker.ch/mrtg/ PRTG http://www.paessler.com/prtg

2009-05 ShareTech Aw Lb

Related slideshows

More Related Content

2009-05 ShareTech Aw Lb