(UTM???U_935_938_955_958_959 V )

Size: px

Start display at page:

Download "(UTM???U_935_938_955_958_959 V2.1.9.1)"

慰邮湛
7 years ago
Views:

1 UTM 多功能防火牆管理者手冊 V

2 目錄第一章安裝與訊息建議的安裝設定圖軟體安裝設定首頁訊息型號與功能對照表第二章系統設定時間設定管理員帳號管理系統設定硬碟檢查與修復管理者的 IP 位址紀錄清除 SMTP 伺服器設定備份和升級系統備份自動備份韌體資訊軟體升級韌體下載紀錄套件管理語系訊息通知訊息通知訊息通知記錄統計報表 ( 模組功能 ) 報表基本設定報表收件者設定報表查詢區間資料匯出及掛載資料匯出遠端資料掛載

.. 45 2-3-1 系統備份... 46 2-3-2 自動備份... 47 2-3-3 韌體資訊... 50 2-3-4 軟體升級... 51 2-3-5 韌體下載紀錄... 52 2-4 套件管理... 53 2-5 語系... 5 4 2-6 訊息通知... 55 2-6-1 訊息通知.

3 2-9 特徵碼更新特徵碼更新 CMS CMS 基本設定 CMS 狀態監控 AP 管理 AP 管理設定 SSL 憑證設定第三章網路介面及路由網路介面內部網路外部網路 _ 外部網路 _ 非軍事區路由設定路由表動態路由 Q Q 第四章管制條例範例一 : 管理內部上網範例二 : 禁止上特定網站範例三 : 紀錄器運作範例四 :WAN 對 LAN 的管制範例五 :WAN 對 DMZ 的管制範例六 :WAN 對 Bridge 的管制第五章管理目標位址表內部 IP 位址表內部網路群組非軍事區 IP 位址非軍事區群組外部 IP 位址外部網路群組服務表 UTM 管理者手冊 2

.. 111 4-1 範例一 : 管理內部上網... 117 4-2 範例二 : 禁止上特定網站... 120 4-3 範例三 : 紀錄器運作... 124 4-4 範例四 :WAN 對 LAN 的管制... 125 4-5 範例五 :WAN 對 DMZ 的管制... 127 4-6 範例六 :WAN 對 Bridge 的管制.

4 5-2-1 基本服務表服務群組時間表頻寬管理應用程式管理 URL 管制 URL 管制範例一 : 僅允許內部使用者存取特定網站範例二 : 禁止內部使用者存取特定網站範例三 : 網站類別其他設定紀錄虛擬伺服器虛擬伺服器 IP 對映防火牆功能防火牆功能防護記錄上網認證認證設定本機使用者 POP3 RADIUS 使用者帳號設定 AD 使用者帳號設定使用者群組認證紀錄上網認證連線狀態電子白板認證設定已閱讀白板使用者 IP 第六章網路服務 DHCP 伺服器 DDNS 服務 DNS 伺服器 WEB 服務 FTP 服務 UTM 管理者手冊 3

.. 203 5-8-1 防火牆功能... 204 5-8-2 防護記錄... 206 5-9 上網認證... 207 5-9-1 認證設定... 209 5-9-2 本機使用者... 212 5-9-3 POP3 RADIUS 使用者帳號設定... 213 5-9-4 AD 使用者帳號設定... 216 5-9-5 使用者群組.

5 6-6 MSN 服務 QQ 服務共同設定 QQ 帳號管理未管理帳號 SKYPE 服務病毒引擎高可用性 SNMP 遠端記錄伺服器第七章進階防護異常 IP 分析記錄設定通知設定阻擋設定例外 IP 設定異常紀錄阻擋清單交換器管理交換器設定網路狀態圖綁定清單內網防護防護設定 ARP 紀錄 MAC 衝突紀錄 IP 衝突紀錄封鎖狀態第八章郵件管理郵件過濾與紀錄郵件過濾與紀錄有效帳號設定灰名單與 IP 反解設定流量封鎖防禦設定郵件掃毒 UTM 管理者手冊 4

.. 287 7-2 交換器管理... 288 7-2-1 交換器設定... 290 7-2-2 網路狀態圖... 293 7-2-3 綁定清單... 295 7-3 內網防護... 296 7-3-1 防護設定... 297 7-3-2 ARP 紀錄... 299 7-3-3 MAC 衝突紀錄... 300 7-3-4 IP 衝突紀錄.

6 8-2-1 郵件掃毒病毒信件隔離區垃圾郵件過濾基本設定垃圾郵件通知垃圾郵件自動學習個人黑白名單系統黑白名單郵件稽核稽核過濾設定稽核進階設定稽核過濾隔離區郵件紀錄查詢郵件紀錄郵件紀錄查詢 SMTP 通聯記錄查詢第九章 IDP & Botnet IDP 設定 IDP 紀錄 BotNet 設定 BotNet 紀錄第十章 SSL VPN SSL VPN 設定 SSL VPN 紀錄 SSL VPN 管制第十一章內容紀錄 WEB 紀錄 FTP 紀錄 MSN 紀錄 IM 紀錄 QQ 紀錄 SKYPE 紀錄郵件紀錄第十二章 V P N IPSec Tunnel UTM 管理者手冊 5

.. 363 第九章 IDP & Botnet... 365 9-1 IDP 設定... 366 9-2 IDP 紀錄... 369 9-3 BotNet 設定... 370 9-4 BotNet 紀錄... 373 第十章 SSL VPN... 374 10-1 SSL VPN 設定... 375 10-2 SSL VPN 紀錄... 381 10-3 SSL VPN 管制.

7 12-2 PPTP 伺服器 PPTP Client VPN 管制第十三章網路工具連線測試 PING Traceroute DNS Query Server Link IP Route Interface Information Wake Up Ipv SNMP 封包擷取排程中列表已完成列表第十四章日誌第十五章系統狀態系統狀態連線狀態流量分析 UTM 管理者手冊 6

.. 435 13-1-6 Interface Information... 436 13-1-7 Wake Up... 437 13-1-8 Ipv6... 438 13-1-9 SNMP... 439 13-2 封包擷取 -.

8 UTM 管理者手冊第一章安裝與訊息 UTM 記錄器硬體外部介面說明 (圖 1-1) UR-935 UR-955 UR-938 UR-958 UR-959 圖 1-1 UTM 多功能防火牆接孔指示燈說明 Power LED 電源顯示主機的電源供應正常它會恆亮 HDD LED 當電源開啟後 LED 燈會頻繁地閃爍表示系統正在開機狀態約 2 分鐘後系統開機程式結束當 LED 停止頻繁地閃爍進入不規則的閃爍狀態表示系統己開機成功 LAN 內部網路介面將企業內部的網路連結在此網路 WAN 1 / 2 / 3 / 4 外部網路介面 1 / 2 / 3 / 4 與外部路由器 DSL modem 或是 Cable modem 連結 DMZ 非軍事區網路介面將企業內的伺服器連結在此網路 Console Port 串接 Port 孔連接器用於檢查設置並恢復到出廠設定值７

停止頻繁地閃爍進入不規則的閃爍狀態表示系統己開機成功 LAN 內部網路介面將企業內部的網路連結在此網路 WAN 1 / 2 / 3 / 4 外部網路介面 1 / 2 / 3 / 4

9 1-1 建議的安裝設定圖建議的安裝設定圖如 ( 圖 1-2): 圖 1-2 建議的網路安裝設定圖 8

10 1-2 軟體安裝設定內部網路設定步驟 1. 首先將管理員的電腦和 UTM 多功能防火牆的 LAN 介面接到同一個 Hub 或 Switch, 再使用瀏覽器 ( IE 或 FireFox ) 進入 UTM 多功能防火牆的管理介面 UTM 多功能防火牆 LAN 的 IP 地址預設值為所以管理員電腦的 IP 位址必須是至其中之一, 子網路遮罩為步驟 2. 瀏覽器會詢問使用者名稱及密碼, 輸入管理員名稱與密碼 ( 圖 1-3) 使用者名稱 :admin 密碼 :admin 點選確定圖 1-3 鍵入使用者名稱與密碼步驟 3. 預設的管理介面是英文, 到 [Configuration >> Language] 將操作畫面改成 Traditional Chinese, 按下 Save 後系統會自動更換成中文環境 ( 圖 1-4) 圖 1-4 選擇操作語系步驟 4. 設定新的內部網路介面位址, 如果新的網路環境的 IP 網段不是預設的 /24, 首先要更換 UTM 多功能防火牆的 LAN IP 位址, 例如, 將內部網路介面位址改為 /24, 系統會重新啟動內部網路卡位址此時, 管理員必須更改電腦端的 IP 位址為 : 至中的任何一個 IP 位址, 管理員的電腦或許需要重新登入, 新的 IP 位址才能生效再以新的 IP 位址 ( ) 重複步驟 2, 進入管理介面 9

2.168.1.1, 所以管理員電腦的 IP 位址必須是 192.168.1.2 至 192.168.1.254 其中之一, 子網路遮罩為 255.255.255.0 步驟 2.

11 步驟 5. 進入 UTM 多功能防火牆的畫面後, 在左方的主功能選項中, 點選網路介面及路由中的網路介面, 再點選內部網路功能選項 ( 圖 1-5) IP 地址 : 預設值為 , 可以改成任何 IP 位址,IP 改好之後, 再以新的 IP 位址進入管理介面圖 1-5 輸入內部網路 IP 位址與子網路遮罩網路遮罩 : 預設值為上傳速度 : 單位為 Kbps, 如果是 100M 的網路可以設成 Kbps, 如果是 1Gbps, 可以設成 Kbps 下載速度 : 單位為 Kbps, 如果是 100M 的網路可以設成 Kbps, 如果是 1Gbps, 可以設成 Kbps MAC 位址 : 可以依照狀況更改 Speed and Duple Mode 可選用 Auto,MTU 初值設定為 1500 步驟 6. 選擇是否啟動 ARP 防偽 ( 圖 1-6) 圖 1-6 啟用 APR 防偽攻擊按下儲存按鍵後, 設定的數值就會生效 10

255.255.0 上傳速度 : 單位為 Kbps, 如果是 100M 的網路可以設成 102400 Kbps, 如果是 1Gbps, 可以設成 1024000 Kbps 下載速度 : 單位為 Kbps, 如果是 100M 的網路可以設成 102400

12 外部網路設定步驟 1. 進入 UTM 多功能防火牆的畫面後, 在左方的主功能選項中, 點選網路介面及路由中的網路介面, 再點選外部網路 _1 功能選項 ( 圖 1-7) 圖 1-7 外部網路介面設定介面名稱 -eth1: 輸入一個可供辨識外部網路名稱, 可以是任何中英文文字, 例如中國電信中華光纖連線模式 : 系統支援 3 種連線模式 1.Static: 固定 IP 位址 2.DHCP: 自動從 ISP 取得 IP 位址 3.PPPoE:PPPoE 連線 IP 地址 : 依照不同的連線模式設定, 只有在 Static 模式下才需要自訂 IP 位址, 在 DHCP 及 PPPoE 模式下都會由電信業者主動配發, 不需要設定網路遮罩 : 預設值為 , 在 DHCP 及 PPPoE 模式下都會由電信業者主動配發, 不需要設定預設閘道 : 依照不同的連線模式設定, 只有在 Static 模式下才需要設定預設閘道的 IP 位址, 在 DHCP 及 PPPoE 模式下都會由電信業者主動配發, 不需要設定 MAC 位址 : 可以依照狀況更改上傳速度 : 依照電信業者給的線路速度設定, 系統預設值 64Kbps 128 Kbps 256 Kbps 384Kbps 512 Kbps 640 Kbps 1Mbps 2 Mbps 3 Mbps 4 Mbps 5Mbps 8 Mbps 10 Mbps 12 Mbps 20Mbps 40 Mbps 50 Mbps 100 Mbps 1000 Mbps, 管理者也可選擇自訂下載速度 : 依照電信業者給的線路速度設定, 系統預設值 64Kbps 128 Kbps 11

字, 例如中國電信中華光纖連線模式 : 系統支援 3 種連線模式 1.Static: 固定 IP 位址 2.DHCP: 自動從 ISP 取得 IP 位址 3.

13 256 Kbps 384Kbps 512 Kbps 640 Kbps 1Mbps 2 Mbps 3 Mbps 4 Mbps 5Mbps 8 Mbps 10 Mbps 12 Mbps 20Mbps 40 Mbps 50 Mbps 100 Mbps 1000 Mbps, 管理者也可選擇自訂負載分配模式 : 自動分配依照設定的上下傳速度, 自動分配負載手動分配依照管理者的需求, 分配流量或者可依來源 IP 分配與依目的 IP 分配步驟 2. 線路偵測設定 ( 圖 1-8) 可採 DNS ICMP 或 NONE 3 種模式, 設備依照測試的數值, 判斷線路斷線與否, 如果選擇的是 DNS ICMP 都需要填入測試目標的 IP 位址, 必須要確認測試目標 IP 位址會回應 DNS 或是 ICMP 設定啟用的管理服務 : 計有 PING HTTP 與 HTTPS 三種模式, 如果希望更改預設的埠號, 則需到共同設定中更改步驟 3. 防火牆防護設定圖 1-8 線路偵測設定方式防護項目計有 SYN ICMP UDP 和 PortScan ( 圖 1-9) 圖 1-9 防火牆防護項目設定並可瀏覽防護記錄, 點選旁邊紀錄的按鈕, 就會列出這個網路介面遭受駭客攻擊的時間方法等攻防紀錄 ( 圖 1-10) 圖 1-10 防護紀錄 12

線路偵測設定 ( 圖 1-8) 可採 DNS ICMP 或 NONE 3 種模式, 設備依照測試的數值, 判斷線路斷線與否, 如果選擇的是 DNS ICMP 都需要填入測試目標的 IP 位址, 必須要確認測試目標 IP 位址會回應 DNS 或是 ICMP 設定啟用的管理服

14 步驟 4. 共同設定 : 外部網路 _1:( 圖 1-11) DNS Server1: 線路的 DNS 伺服器 IP 位址, 預設是 DNS Server2: 線路的 DNS 伺服器 IP 位址, 預設是管理的埠號, 預設是 80 管理的埠號, 預設是 443 偵測間隔時間 : 偵測線路的間隔時間, 預設是 5 秒管理介面閒置多久自動斷線 : 當管理者沒有操作 WEB 介面, 超過多少時間, 管理介面會自動關閉, 預設是 60 分按下儲存按鍵後, 設定的數值就會生效圖 1-11 鍵入共同設定資料步驟 5. 當將內部網路與外部網路設定完成時, 即表示安裝成功最後將內部所有電腦的 IP 位址須設定為 UTM 多功能防火牆內部網路介面的同一個網域與預設閘道設定為 UTM 多功能防火牆內部網路介面, 或將內部的電腦設為自動取得 IP, 內部網路可馬上連結至網際網路存取資料, 系統預設的管制動作是內部到外部全開放, 只要外部網路一通, 所有人都可以上網, 如欲使用 UTM 多功能防火牆的管制功能, 請在管制條例和管制目標功能中設定 13

60 分按下儲存按鍵後, 設定的數值就會生效圖 1-11 鍵入共同設定資料步驟 5.

15 1-3 首頁訊息登入 UTM 多功能防火牆的畫面後, 系統會提供豐富的訊息, 讓管理者清楚, 目前設備的運作狀況系統時間及伺服器系統資源顯示目前設備的時間及時區, 甚至是開機時間, 同時也顯示設備目前的 CPU RAM Flash HDD 等使用量 ( 圖 1-12) 圖 1-12 系統時間及資源 14

16 UTM 多功能防火牆的版本及開啟的服務如下圖, : 代表服務正常, : 代表服務每有啟用或無法順利運作 ( 圖 1-13) 圖 1-13 系統服務狀態管理者登入名稱 IP 位址及同時間有多少人登入等訊息, 也可以設定多久時間將首頁的訊息自動更新一次可自動設定系統更新的時間, 每三秒五秒十秒二十秒三十秒自動更新一次 ( 圖 1-14) 圖 1-14 管理員登入狀況 15

17 網路介面 UTM 多功能防火牆的詳細網路介面訊息 :( 圖 1-15) 實際介面 : 系統實際抓到的網路界面名稱連線狀態 : 網路是否暢通, : 代表線路暢通, : 代表線路斷線線路 : 實體網路介面是否有接上, : 代表沒接線, : 代表連線 IP 位址 : 系統綁定的 IP 位址總封包量 : 每個網路介面傳送接收的封包量總傳輸量 : 每個網路介面傳送接收的流量, 以 Bytes 為單位圖 1-15 系統服務狀態 16

18 1-4 型號與功能對照表 UTM 系列是一個多功能的防火牆設備, 因應客戶的需求有不同的型號跟功能的組合, 再進入操作手冊查看之前, 請務必詳閱 ( 圖 1-16) 的功能表 Model UR-935 UR-938 UR-955 UR-958 UR-959 時間設定管理員備份和升級報表 X X 語系系統設定訊息通知資料匯出及掛載特徵碼更新 CMS AP 管理 SSL 憑證設定位址表服務表時間表頻寬管理管理目標應用程式管理 URL 管理虛擬伺服器防火牆功能上網認證電子白板 DHCP 服務 DDNS 服務 DNS 伺服器 WEB 服務網路服務 FTP 服務 MSN 服務 QQ 服務 SKYPE 服務病毒引擎高可用性 17

知資料匯出及掛載特徵碼更新 CMS AP 管理 SSL 憑證設定位址表服務表時間表頻寬管理管理目標應用程式管理 URL 管理虛擬伺服器防火

19 SNMP 遠端記錄伺服器異常 IP 分析進階防護交換器管理內網防護郵件過濾與紀錄郵件掃毒郵件管理垃圾郵件過濾郵件稽核 X X 模組模組郵件紀錄查詢 SMTP 紀錄查詢 IDP 設定 X X IDP&Botnet IDP 記錄 X X Botnet 設定 X X Botnet 記錄 X X SSL VPN 設定 X X SSL VPN SSL VPN 記錄 X X VPN 管制 X X WEB 記錄 X X FTP 記錄 X X MSN 記錄 X X 內容記錄 IM 記錄 X X QQ 記錄 X X SKYPE 記錄 X X 郵件紀錄 X X IPSec Tunnel VPN PPTP 伺服器 PPTP Client VPN 管制網路工具連線測試封包擷取日誌系統操作系統效能系統狀態連線狀態流量分析圖 1-16 型號與功能對照表 18

VPN 管制 X X WEB 記錄 X X FTP 記錄 X X MSN 記錄 X X 內容記錄 IM 記錄 X X QQ 記錄 X X SKYPE 記錄 X X 郵件紀錄 X X IPSec Tunnel VPN

20 第二章系統設定系統設定的名詞解釋系統設定, 是指 UTM 多功能防火牆運作時必須的基本設定, 在本單元中則有時間設定管理員備份和升級套件管理語系訊息通知統計報表資料匯出及掛載特徵碼更新與 CMS 等項目時間設定名詞解釋時區與時間可自行設定系統的時區及時間, 將 UTM 多功能防火牆的系統時間與時區設定成當地的時間或是外部時間伺服器的時間同步化網路時間校定將 UTM 多功能防火牆系統的時區及時間與網際網路上的時間伺服器同步化 19

解釋時區與時間可自行設定系統的時區及時間, 將 UTM 多功能防火牆的系統時間與時區設定成當地的時間或是外部

21 2-1 時間設定設定時間與日期步驟 1. 手動設定時區及時間自行設定時區與時間, 輸入時區時間與日期, 再按下儲存 ( 圖 2-1) 步驟 2. 網路時間校正勾選網路時間校定, 選定採用獨立公開伺服器或者自訂時間伺服器, 系統會每 30 分鐘跟時間伺服器校正一次, 並將校正過的資料顯示在時區與時間中 : 如果需要馬上校正時間, 可以按下立即更新按鈕, 系統會立刻跟設定的時間伺服器校正資料 : 按鈕會顯示系統跟時間伺服器的校正資料, 所有的資料會保留 3 天圖 2-1 系統時間設定 20

22 2-2 管理員管理員名詞解釋 UTM 多功能防火牆, 它包含 spam, 內容紀錄等機密等級的資料, 如何避免同一個人的管理弊病呢? 自定義的管理者介面就是最好的答案設想一下幾個運作的情況 1. 某位管理者只能管理 VPN 的操作, 例如 VPN 通道的建立, 管制等, 至於其他功能就不方便讓他知道太多 2. 稽核人員可以進入 UTM 中詢紀錄下來的資訊 3. 網管人員可以管理設備, 但是沒辦法看到內容紀錄的資料按照傳統的管理介面, 要達成上述的功能幾乎不可能, 但是藉由自定義的管理者介面就可以輕鬆達到管理者帳號及權限 admin 為 UTM 多功能防火牆預設之系統主管理員名稱, 無法刪除, 其他管理員名稱則可刪除與變更註 1:UTM 多功能防火牆預設之系統管理員帳號 :admin 密碼 :admin 註 2: 預設之系統主管理員, 可新增或修改其他管理員為主管理員或次管理員, 亦可由其他主管理員更改其權限為次管理員系統管理員無論如何配置,UTM 多功能防火牆一定會強制保留一個主管理員的設定權限主管理員權限為讀 / 寫 / 瀏覽, 亦即可更改系統設定瀏覽系統報告內容新增和刪除其他次管理員 Read : 具有瀏覽功能, 沒有寫入的權限, 管理者可自訂瀏覽的功能項目 Write : 具有寫入瀏覽功能, 管理者可自訂讀寫的功能項目 All Privileges : 具有寫入瀏覽功能, 不能自訂讀寫功能選項系統設定為了方便管理者管理多據點 ( 分公司 ) 設備, 可自行設定登入標題首頁標題瀏覽器標題與 LOGO 圖示, 讓網管人員可以在第一時間立即掌握清除記憶體系統會依設定時間來檢查設備記憶體使用率狀況, 當使用率超過比率時會自動清除已關閉的程式占用記憶體空間 Pass-through Protocol 開啟此功能後, 所有經過 ShareTech UTM 多功能防火牆傳輸的 SIP 或者 H-323 封包, 都會被處理後再送出 21

23 登入失敗次數超過多少暫時封鎖為了預防被不法使用者嘗試測試使用者帳號登入, 管理者可設定當使用者透由認證登入失敗超過設定值時先暫時封鎖多久解除被暫時封鎖的 IP 管理者可設定被暫時封鎖的時間, 如設為 0 代表永不解除恢復出廠設定值清除所有設備裡面資料與設定, 回到最初原始設備狀態管理者可自行設定是否要保留網路介面設定與格式化硬碟重新啟動系統重新啟動設備, 一般約需 3~5 分鐘硬碟檢查與修復當硬碟出現異常時可嘗試自行修復管理者的 IP 位址限定特定的 IP 位址才能進入管理系統, 並可針對外部網路內部網路與非軍事區網路進行管制限制紀錄清除 UTM 多功能防火牆硬碟容量空間有限, 管理者可自行清除特定服務紀錄或設定內容紀錄保留的時間 SMTP 伺服器設定 ShareTech UTM 多功能防火牆提供多種通知訊息或放行信件, 管理者都可以先完成相關 SMTP 伺服器設定 22

24 2-2-1 帳號管理 Read ( 閱讀 ) 帳號管理權限步驟 1. 在管理員設定視窗中, 點選螢幕下方新增功能按鈕步驟 2. 在新增次管理員視窗中, 鍵入以下資料 :( 圖 2-2) 帳號 :read 密碼 :1234 密碼檢測 : 系統會自動幫您判別密碼強度, 要想讓您使用的密碼更安全可以利用下面幾種方式 : 1. 使用字母和數字 2. 使用特殊字元 ( 但是冒號與逗號禁止使用 ) 3. 混合使用大小寫密碼確認 : 系統需要您再次輸入設定的密碼, 避免您欲設定的密碼與輸入的字元有誤註解 : 次管理者方便辨識及記憶的描述權限 : 設定 read 的權限勾選自訂化選單功能, 可自行設定此管理者能使用功能的權限有哪些? 圖 2-2 新增 Read 次管理員 23

25 步驟 3. 勾選 read 次管理員管制權限, 設定 read 權限只能瀏覽時間設定資料匯出及掛載網路介面 LAN 的管制位址表 URL 管理 DHCP 服務 MSN 服務異常 IP 分析郵件過濾與記錄 IDP 設定與 SSL VPN 設定功能 ( 圖 2-3) 圖 2-3: 新增 read 次管理員控管權限步驟 4. 重新登入管理介面, 以 read 帳號密碼登入 ( 圖 2-4) 圖 2-4 以 read 帳號密碼登入 24

26 步驟 5. 以 Read( 閱讀 ) 權限登入後, 只能瀏覽裡面設定檔資料, 無法針對條例或功能做設定 ( 沒有確定的按鈕 ) ( 圖 2-5) 圖 2-5 權限 read 瀏覽畫面註 :Read 次管理者具有閱讀權限, 但是並沒有內容紀錄閱讀的權限 25

27 Write ( 寫入 ) 帳號管理權限步驟 1. 在管理員設定視窗中, 點選螢幕下方新增功能按鈕步驟 2. 在新增次管理員視窗中, 鍵入以下資料 :( 圖 2-6) 帳號 :write 密碼 :jean@sharetech 密碼檢測 : 系統會自動幫您判別密碼強度, 要想讓您使用的密碼更安全可以利用下面幾種方式 : 1. 使用字母和數字 2. 使用特殊字元 ( 但是冒號與逗號禁止使用 ) 3. 混合使用大小寫密碼確認 : 系統需要您再次輸入設定的密碼, 避免您欲設定的密碼與輸入的字元有誤註解 : 讀寫, 次管理者方便辨識及記憶的描述權限 : 設定 write 的權限勾選自訂化選單功能圖 2-6 新增 Write 次管理員 26

28 步驟 3. 勾選 write 次管理員管制權限, 設定 write 權限只能讀寫網路介面及路由管理目標功能 ( 圖 2-7) 圖 2-7: 新增 read 次管理員控管權限步驟 4. 重新登入管理介面, 以 write 帳號密碼登入 ( 圖 2-8) 圖 2-8 以 read 帳號密碼登入 27

29 步驟 5. 以 Write ( 寫入 ) 權限登入後, 可以設定條例與管制功能 ( 圖 2-9) 圖 2-9 以 write 帳號密碼登入 28

30 All Privileges ( 寫入 ) 帳號管理權限步驟 1. 在管理員設定視窗中, 點選螢幕下方新增功能按鈕步驟 2. 在新增次管理員視窗中, 鍵入以下資料 :( 圖 2-10) 帳號 :All 密碼 :1234 密碼檢測 : 系統會自動幫您判別密碼強度, 要想讓您使用的密碼更安全可以利用下面幾種方式 : 1. 使用字母和數字 2. 使用特殊字元 ( 但是冒號與逗號禁止使用 ) 3. 混合使用大小寫密碼確認 : 系統需要您再次輸入設定的密碼, 避免您欲設定的密碼與輸入的字元有誤註解 : 讀寫, 次管理者方便辨識及記憶的描述權限 : 設定 All Privileges 的權限勾選自訂化選單會自動開啟所有管控功能, 無法自訂圖 2-10 新增 All Privileges 次管理員 29

31 步驟 3. 重新登入管理介面, 以 All 帳號密碼登入 ( 圖 2-11) 圖 2-11 以 All 帳號密碼登入步驟 4. 以 All( 寫入 ) 權限登入後, 管理權限與 admin 相同 ( 圖 2-12) 圖 2-12 All 管理權限 30

32 2-2-2 系統設定登入時名稱設定 UTM 多功能防火牆的登入及 WEB 管理介面, 都可以依照輸入的資料, 改成管理者想要或是方便記憶的樣式範例 : 在一般設定視窗中, 鍵入下列資料 :( 圖 2-13) 登入標題 :on line demo 首頁標題 :UR on line demo 瀏覽器標題 :UR online demo 圖 2-13 登入時顯示名稱設定重新登入管理介面時會出現登入標題已經被改成 on line demo ( 圖 2-14) 圖 2-14 登入標題顯示頁面 31

33 首頁標題已經被改成 UR online demo ( 圖 2-15) 圖 2-15 首頁標題顯示頁面瀏覽器標題已經被改成 UR online demo ( 圖 2-16) 圖 2-16 瀏覽器標題顯示頁面 32

34 更新 LOGO 上傳解析度為 150x90pix 的 gif 圖檔,UTM 多功能防火牆會自動將這個圖形放在設備的左上角 ( 圖 2-17) 圖 2-17 LOGO 顯示畫面清除記憶體在 v7.10 版本之前,ShareTech UTM 設備是每隔 60 分鐘, 達到 90% 才做記憶體空間釋放動作, 現在開放讓管理者自行設定, 最小值為 10 分鐘, 比率最小需達 70% ( 圖 2-18) 圖 2-18 清除記憶體 33

35 Pass-through Protocol 在使用網路電話時, 若發生網路電話與多功能防火牆不合導致網路電話無法使用時, 啟用 SIP/H323 protocol pass-through 可修正此問題 ( 圖 2-19) 圖 2-19 清除記憶體註 :H323 與 SIP 的差異比較表通訊協定 H323 SIP 發展時間較早較晚開發動機節省電話費彌補 H.323 MGCP 缺點技術差異性廠商進入門檻語音話質對公司員有網路的影響系統當機時容量限制相容性 H.323 為較老舊的網路電話協定, 雖然已升級到第六版, 但仍究建構在舊有的技術之上低較差會將網路速度減慢 50%, 且對網路頻寬要求較多所有安裝客戶均無法相互通話約僅能支援 300~500 個客戶較難與以後微軟所推的 SIP 新協定相通 SIP 為最新的 VoIP 通訊協定, 開發起因為改善舊有技術的瓶頸和缺點較高有品質控管機制來確保話質, 較優可支援網路環境下各種不同 IP 型態, 頻寬要求較小客戶通話完全不受影響, 一樣繼續保持暢通無容量限制, 可以無上限地擴充可以和 H.323 MGCP 協定相通, 無被排擠的窘境 34

36 Session timeout of established 透過系統設備做前端偵測連線, 當超過多少秒數都沒有封包在傳送時, 會自動將這條連線收回 ( 圖 2-20) 圖 2-20 清除記憶體 WatchDog Timer 主要偵測系統是否有因特殊事故發生當機現象, 如果發生當機時會立即重新啟動, 系統預設值為 90 秒, 如果設備都沒有反應時會立即重新啟動 ( 圖 2-21) 圖 2-21 清除記憶體登入失敗封鎖設定 ShareTech UTM 管理介面登入安全限制要求, 可以針對當登入 UTM 主控台密碼錯誤到達限制次數, 阻檔該 IP 一段時間 (ex 密碼錯 2 次, 阻檔 20 分鐘 ) ( 圖 2-22) 圖 2-22 登入失敗封鎖設定 35

恢復出廠設定值和重新啟動系統按下恢復出廠設定值旁的確定恢復按鈕,UTM 多功能防火牆會清掉所有的設定值, 並將 LAN IP 位址改為 19

37 恢復出廠設定值和重新啟動系統按下恢復出廠設定值旁的確定恢復按鈕,UTM 多功能防火牆會清掉所有的設定值, 並將 LAN IP 位址改為管理者可自行決定執行恢復出廠設定值時, 是否保留網路介面設定與格式化硬碟, 當勾選保留網路介面設定, 按下確定恢復鍵, 則系統會保留目前網路介面資料, 方便管理者遠端作業時可以利用原來的 IP 資訊登入系統按下重新啟動系統旁的確定恢復按鈕, 系統會自動重新開機 ( 圖 2-23) 圖 2-23 恢復出廠預設值與重新啟動系統畫面註 : 當勾選保留網路介面設定, 在按確定恢復鍵, 則系統在 reset 時候會保留目前網路介面設定資料 36

38 2-2-3 硬碟檢查與修復系統運作最怕硬碟資料發生錯亂現象, 影響設備運用為了降低因為硬碟而產生的問題, ShareTech UTM 提供硬碟檢查與修復功能, 管理者可以透過每周每月或指定日期與時間進行硬碟檢修, 當符合排程時間時, 系統會自動重新開機檢修但是如果硬碟損壞程度過於嚴重, 則可能無法透過此功能做好修正, 此時可能有需更換硬碟之心理準備 ( 圖 2-24) 圖 2-24 硬碟檢查與修復之設定畫面 37

39 2-2-4 管理者的 IP 位址 UTM 多功能防火牆可以限制從網際網路進來管理介面的 IP 位址, 預設是不限定來源, 如果在管理者的 IP 位址中輸入特定的 IP 位址或範圍, 對於不是屬於設定範圍內的連線要求, UTM 多功能防火牆會通通拒絕管理者的來源 IP 限制, 預設是套用在外部網路介面上, 從內部網路來的連線則不受這個限制, 當內部網路非軍事區網路的選項啟用時, 來源 IP 的限制一樣會套用在這 2 個介面上但是如果要限制只能有部分內部人員可以登入管理位址時, 只要在新增加內部管理者的 IP 位址在套用來源網路設定值即可新增一筆內部管理者 IP 位址, 註解輸入內部 IP ( 圖 2-25) 輸入 IP 與網路遮罩 : / (/24) 按下新增鍵完成設定 ( 圖 2-26) 圖 2-25 設定內部管理者 IP 位址圖 2-26 完成內部管理者 IP 位址設定 38

40 勾選內部網路, 就可以將這個限制套用在來源 IP 的管制中 ( 圖 2-27) 圖 2-27 套用來源網路設定值註 : 當外部網路 _1 外部網路 _2 介面的 Http Https 服務都關掉時, 會導致無法從外面連進 UTM 多功能防火牆的管理介面如果要限制特定外部人員可以登入管理位址時, 只要在新增外部位址在套用來源網路設定值即可進入到管理員之管理者的 IP 位址介面時, 設定一個外部 IP 與網路遮罩設定註解為外部 IP ( 圖 2-28) IP 與網路遮罩 : 設為 / (/32) 按下新增鍵圖 2-28 新增外部 IP 管理者位址完成設定, 此時從外部連到管理介面只能透過 IP 位址 ( 圖 2-29) 圖 2-29 完成外部 IP 管理者 IP 位址設定 39

41 2-2-5 紀錄清除為了節省 UTM 多功能防火牆硬碟容量的空間, 管理者可自行清除特定服務並設併內容紀錄的保存時間目前提供清除紀錄服務選項計有系統設定 : 時間更新記錄訊息通知記錄網路介面及路由 :PPPOE 撥接記錄管制條例 :LAN 的管制封包追蹤記錄 DMZ 的管制封包追蹤紀錄 WAN 的管制封包追蹤記錄 ) 管理目標 : 防火牆功能防護記錄上網認證記錄 URL 記錄網路服務 :DDNS 更新記錄病毒引擎更新記錄異常 IP 分析記錄郵件管理 : 垃圾信學習記錄郵件記錄 IDP&Botnet:IDP 記錄 Botnet 記錄內容紀錄 :WEB 記錄 FTP 記錄 MSN 記錄 IM 記錄 VPN:IPSec Tunnel 記錄 PPTP 伺服器記錄 PPTP Client 記錄日誌 : 日誌記錄系統狀態 : 流量分析紀錄 40

42 內容記錄保存時間, 可針對訊息通知記錄 URL 記錄異常 IP 分析記錄應用程式管制防火牆防護 IDP 記錄 BOTNET 記錄郵件記錄 Web 記錄 FTP 記錄 MSN 記錄 IM 記錄設定系統日誌記錄, 保存時間最長可達三年時間只有稽核過濾隔離區郵件檔案保留與流量分析記錄保存時間最久 999 天 ( 圖 2-30) 圖 2-30 紀錄清除畫面註 1: 郵件記錄保留按下變更鍵會刪除郵件記錄 ( 包含隔離區 ), 以及郵件檔案註 2: 稽核 / 郵件過濾隔離區按下變更鍵會刪除郵件過濾隔離區的郵件檔案註 3: 郵件檔案保留按下變更鍵會刪除郵件檔案 41

43 2-2-6 SMTP 伺服器設定 ShareTech UTM 為了讓管理者能更順手管控設備, 提供多種人性化簡易工具, 例如通知信件放行信件等, 而 SMTP 伺服器設定功能就是方便網管人員操作運用的起始者 ( 圖 2-31) 寄件者 : 用戶名稱以登入 SMTP 伺服器 ; 例如 jean@sharetech.com.tw 伺服器 :SMTP 伺服器主機 ; 例如 ShareTech.com.tw 或帳號 : 使用者郵件帳號名稱, 可以輸入帳號或是完整 , 例如 jean 或是 jean@sharetech.com.tw 密碼 : 輸入使用者郵件帳號密碼, 例如 1234 需要驗證 : 若你的伺服器需要認證, 請勾選此格 TLS: 依照郵件帳號登入的方式, 選擇是否要啟動 TLS TLS 是利用密鑰演算法在網際網路上提供端點身份認證與通訊保密郵件寄送網域 : 選擇此封通知信函欲寄送的網域位址, 例如 scan.sharetech.com.tw 資料設定完成, 點選新增鈕 ( 圖 2-32) 圖 2-31 SMTP 伺服器設定畫面註 1: 郵件寄送網域使用郵件放行與垃圾郵件清單時, 若收件者的網域符合這項設定, 會以這組設定寄送若沒有符合的設定, 會使用第一組設定寄送 42

44 圖 2-32 完成 SMTP 伺服器設定如果擔心設定資料有誤, 無法順利收取到信件 ShareTech 提供 SMTP 測試郵件功能, 讓管理者在完成設定之後可以馬上進行驗證, 以確認設定資料無誤步驟 1. 步驟 2. 按下測試鍵, 輸入收件人郵件位址, 例如輸入完按下確定鈕 ( 圖 2-33) 寄件者信箱會收到一封主旨名稱為 This is a SMTP TestMail 的信件, 代表您 SMTP 伺服器設定資料正確無誤 ( 圖 2-34) 圖 2-33 測試 SMTP 伺服器 43

45 圖 2-34 SMTP 測試信件 44

46 2-3 備份和升級系統備份名詞解釋 : 系統備份系統管理員可在此備份或匯入系統設定檔,UTM 多功能防火牆可以將所有的設定檔匯出自動備份管理者可依日期時間備份設定檔, 當有意外狀況發生時可快速還原至特定時間韌體資訊當管理者啟動自動下載, 則設備會自動跟 sharetech 伺服器定期連線檢查是否有新版本, 並自動下載軟體升級從螢幕上目前軟體版本資訊中, 獲知目前軟體使用版本的號碼再經由瀏覽器到 Internet 取得最新軟體版本, 並將更新軟體下載儲存至管理 ShareTech UTM 多功能防火牆之電腦硬碟中韌體下載記錄記錄所有系統韌體下載記錄, 包含起始時間結束時間傳輸時間版本檔案大小等資訊 45

47 2-3-1 系統備份系統備份系統備份功能中, 按下備份鍵, 就可將目前系統之設定檔匯出 ( 圖 2-35) 圖 2-35 系統備份設定視窗系統還原輸入系統還原檔案路徑, 選擇以前備份出來的備份檔, 按下確定鍵, 即可完成系統更新還原動作 ( 圖 2-36) 圖 2-36 系統還原設定視窗 46

48 2-3-2 自動備份自動備份為了節省管理者備份時間, 也為了保護設備資料不遺漏,UTM 多功能防火牆提供自動備份功能, 管理者只要自行設定備份的日期與時間並選擇需備份的數量, 系統會依管理者設定時間自動進行備份動作步驟 1. 點選系統設定, 於備份和升級視窗中, 選擇自動備份步驟 2. 勾選啟用, 並選擇自動備份時間步驟 3. 輸入選擇備份的數量, 預設值為 1 ( 圖 2-37) 圖 2-37 UTM 多功能防火牆軟體更新註 : 自動備份時間, 管理者可設定每隔多少天數自動備份或者限定每一天備份時間系統目前備份時間以整點為單位 47

定檔, 點選還原鍵, 系統會再次進行確認動作, 確認無誤後會自動進行還原動作 ( 圖 2-40) 刪除 : 直接刪除備份資

49 所有備份資訊都有紀錄可尋, 系統會顯示備份時間紀錄軟體版本, 管理者可針對備份資料進行下載還原刪除紀錄四種運行方式 ( 圖 2-38) 下載 : 直接從系統下載備份檔案資料 ( 圖 2-39) 還原 : 如果系統要還原到某一時期設定檔, 點選還原鍵, 系統會再次進行確認動作, 確認無誤後會自動進行還原動作 ( 圖 2-40) 刪除 : 直接刪除備份資料紀錄 : 紀錄有關設定值更改的資料 ( 圖 2-41) 圖 2-38 自動備份紀錄圖 2-39 下載備份檔案圖 2-40 備份還原 48

50 圖 2-41 修改紀錄查詢 49

51 2-3-3 韌體資訊韌體資訊以往管理者韌體更新必須透過到眾至官網下載版本後才能更新, 為了減少管理者維護的困擾, 只要啟動 ShareTech UTM 自動下載功能, 系統會自動跟 ShareTech 伺服器定期連線檢查是否有新版本, 並自動下載 : 步驟 1. 啟動韌體資訊頁面中, 自動下載功能步驟 2. 設定系統定時更新時間 ( 圖 2-42) 圖 2-42 韌體資訊設定步驟 3. 當有新版本時, 系統會自動列出所有更新版本步驟 4. 只要點選升級服務, 系統就會自動更新 ( 圖 2-43) 圖 2-43 韌體升級更新 50

2-3-4 軟體升級軟體升級到 www.sharetech.com.tw 的網站中下載 UTM 多功能防火牆最新的韌體, 再到備份和升級之軟體升級功能中, 可依下列步驟更新韌體 : 步驟 1.

52 2-3-4 軟體升級軟體升級到的網站中下載 UTM 多功能防火牆最新的韌體, 再到備份和升級之軟體升級功能中, 可依下列步驟更新韌體 : 步驟 1. 由螢幕上首頁資訊中, 獲知目前韌體使用版本, 再經由瀏覽器到 Internet 取得最新韌體版本, 並將韌體下載至管理 UTM 多功能防火牆的管理者電腦硬碟中步驟 2. 點選瀏覽, 於選擇檔案視窗中, 選擇最新的韌體版本檔案名稱步驟 3. 點選螢幕右下方升級功能按鈕, 執行軟體自動更新升級 ( 圖 2-44) 圖 2-44 UTM 多功能防火牆軟體更新升級紀錄所有的歷史升級紀錄都會顯示在升級紀錄中註 : 軟體更新需 3 分鐘的時間, 更新後系統將會自動重新開機而在系統更新期間請勿關機斷線或是離開網頁, 這可能會造成 UTM 多功能防火牆不可預期之錯誤 ( 強力建議於內部網路來更新軟體, 以避免不必要的錯誤 ) 51

53 2-3-5 韌體下載紀錄韌體下載紀錄凡走過必留下痕跡, 凡升級過必留下紀錄,ShareTech UTM 韌體下載紀錄記錄所有系統升級服務資訊, 包含起始時間結束時間傳輸時間版本大小事件等, 管理者可以透過搜尋條件快速找出相關下載紀錄 : 步驟 1. 由韌體下載紀錄版本功能中, 選取要搜尋的條件欄位步驟 2. 再勾選事件功能, 然後按下搜尋, 系統就會帶出符合搜尋條件的相關紀錄 ( 圖 2-45) 圖 2-45 韌體下載搜尋紀錄 52

54 2-4 套件管理 Sharetech UTM 提供 Report 報表模組郵件稽核與卡巴斯基防毒引擎功能, 要開啟此功能, 眾至會依各設備啟用碼序號提供套件模組啟動碼序號 ( 圖 2-46) 圖 2-46 套件模組預設啟動畫面註 1: 為了讓使用者在購買使用前, 可以瞭解功能是否符合單位的需要, 眾至貼心提供試用功能, 只要點選試用系統會自動啟動該功能, 但是提供試用時間只有 15 天, 時間一到系統自動又會將功能關閉註 2: 模組功能會因各型號不同而有所差異, 詳細功能規格請參考官網比較表 53

55 2-5 語系設定語言 UTM 多功能防火牆支援 3 種語言版本, 英文繁體中文簡體中文等透過下列步驟可以選擇適當的語系, 一旦選擇完畢, 系統會立刻更新為選擇的語系系統設定之語系功能中, 選擇欲使用之語言介面按下確定鍵, 就完成了 ( 圖 2-47) 圖 2-47 語言版本設定 54

56 2-6 訊息通知訊息通知名詞解釋 : 訊息通知防火牆最怕的就是當斷線的時候, 管理者是最後一位知道 ; 或者是網路遭到攻擊卻不知道為了讓管理者可以在第一時間掌控設備網路訊息, 眾至 UTM 多功能防火牆提供訊息通知功能管理者需先設定基本 SMTP 伺服器與收件者帳號訊息通知記錄 UTM 多功能防火牆提供訊息通知功能, 藉由快速搜尋機制, 可檢視外部線路斷線 DDNS 更新失敗 SLB 主機偵測斷線 HA 狀態切換防火牆攻擊防護 (SYN,ICMP,UDP,PortScan) 異常流量 IP IDP 攻擊紀錄病毒阻擋 ( 上網收信..) 系統操作日誌管理者使用帳號, 登入錯誤事件 SSL-VPN, 上網認證, 登入錯誤事件軟體更新通知硬碟容量過低自動備份系統設定檔協同防禦 ARP 防護衝突記錄 BOTNET 攻擊 CMS 通知資料庫異常通知 AP 管理通知郵件流量封鎖防禦 IPSec 斷線通知等狀況 55

57 2-6-1 訊息通知訊息通知, 管理者只需選定 SMTP 伺服器設定中之寄件者帳號, 並輸入收件者之完整帳號範例 : 在訊息通知視窗中, 鍵入下列資料 :( 圖 2-48) 寄件者帳號 : 選定我們在管理員 - SMTP 伺服器設定中所設定寄件者帳號, 例如 :joe@yourdomain.com 如果選擇自動方式, 代表系統將偵測收件者的網域並選擇相對應網域的 SMTP 伺服器帳號寄出通知信, 若無對應設定將以 SMTP 伺服器設定的第一筆帳號寄出, 沒設定則不寄出收件者 : 輸入收件者帳號, 多筆建立以隔行區隔圖 2-48 訊息通知設定畫面 56

58 勾選需傳達的訊息事項, 並可設定該事項信件主旨名稱 ( 圖 2-49) 圖 2-49 設定訊息通知項目 57

59 2-6-2 訊息通知記錄訊息通知記錄搜尋說明如下可依照日期事件收件者每頁顯示, 來尋找儲存在 UTM 多功能防火牆內所有符合條件之訊息通知記錄 ( 圖 2-50) 日期 : 設定搜尋指定時間區間內的紀錄事件 : 可自選事件項目, 包含外部線路斷線 DDNS 更新失敗 SLB 主機偵測斷線 HA 狀態切換防火牆攻擊防護 (SYN,ICMP,UDP,PortScan) 異常流量 IP IDP 攻擊紀錄病毒阻擋 ( 上網收信..) 系統操作日誌管理者使用帳號, 登入錯誤事件 SSL-VPN, 上網認證, 登入錯誤事件軟體更新通知硬碟容量過低壞軌與自動備份系統設定檔收件者 : 可以以 * 為搜尋關鍵字, 例如 *@ShareTech.com.tw 每頁顯示筆數 : 預設值為 10 筆, 最多為 200 筆圖 2-50 訊息通知紀錄搜尋 58

60 搜尋出來的結果是以紀錄的時間為排序, 操作方式跟上面的描述一樣, 點選內容圖示後就會出現更詳細的資料, 以下為其中一筆防火牆防護記錄牆資料 :( 圖 2-51) 圖 2-51 IM 紀錄搜尋結果 59

61 2-7 統計報表 ( 模組功能 ) 要作 UTM 的報表是一件難事, 因為他管得東西太多, 又是網路安全內容紀錄及管理機制, 全做不僅複雜且不容易看懂, 作太少又效果不佳 UR 的報表系統克服了上述 2 難的困境, 將需要報表的族群分成 2 類, 高階管理者及一般網管人員一般而言高階管理者不會太在乎誰用的流量最多, 使用什麼 port, 到哪邊去等細節資訊, 他會關心網路安全嗎? 有人在管理 UTM 嗎? 等行政的事情, 送個詳細的流量分析報表給他, 反而模糊的焦點一般網管人員就不一樣了, 他需要知道每一個人 / 伺服器的流量狀況, 有無異常的行為等詳細的報表 60

62 2-7-1 報表基本設定步驟 1. 步驟 2. 啟動 / 關閉設定 : 是否決定要開啟報表功能, 並可設定報表發送時間定時發送的時間會延遲 15 分鐘, 例如 : 設定時間為 00:00, 則發送時間為 00:15 ( 圖 2-52) SMTP : 設定寄件者帳號, 系統會自動顯示目前寄件者位址 SMTP 伺服器與使用者帳號相關資訊圖 2-52 自動產生報表設定步驟 3. ShareTech 郵件主機除了提供多元化報表外, 管理者還可以依自己企業需求制訂報表形式, 包含圖表的類型 ( 橫條圖圓形圖 ) 每份報表取前幾名排行內容是否包含文字與圖形等, 多樣化呈現的方式, 讓網管人員能快速掌握內部使用者郵件使用狀況 ( 圖 2-53) 圖 2-53 共用設定內容包含 : 可設定收到的圖表是圓形圖或橫條圖, 及其擷取的名次排行包含其他合計 ( 剩餘 ) : 除了排行前幾名之外, 剩餘部份合計併為其他一項圓餅圖角度 : 角度 0 與報表成水平 ( 等同平面效果 ) 角度 >0 與報表成指定夾角最大不能超過 65 度夾角 61

63 步驟 4. 報表類別選擇 : 各選項說明如下 : 依共用, 則依照共用設定啟用, 關閉或選擇的圖表類別排行取前名設定, 若留白則依共用設定目前計有系統回報與安全系數管理者修改設定次數設備狀態 CPU/RAM 設備狀態介面流量 Outgoing 流量排行 Outgoing 依據流量目的排行 Outgoing 依據流量通訊協定排行 Incoming 流量排行內容紀錄 Web 排行內容紀錄 Mail 流量排行內容紀錄 Mail 信件類型分佈內容紀錄 Mail 垃圾郵件來源排行等圖表類別 ( 圖 2-54) 圖 2-54 報表類別選擇設定備註 : 以下為使用者收到報表圖形圖 2-55~2-63 圖 2-55 系統回報與安全系數 62

64 圖 2-56 管理者修改設定次數圖 2-57: 設備狀態 CPU/RAM 圖 2-58 設備狀態介面流量 63

65 圖 2-59 Outgoing 流量排行圖 2-60 Outgoing 依據流量目的排行 64

66 圖 2-61 Outgoing 依據流量通訊協定排行圖 2-62 Mail 流量排行 65

67 圖 2-63 內容紀錄 Mail 信件類型分布 66

68 2-7-2 報表收件者設定針對報表要提供哪些使用者收取, 可以從報表收件者中進行設定步驟 1. 輸入報表收件者群組名稱報表 ( 圖 2-64) 步驟 2. 輸入報表收件者帳號 jean@sharetech.com.tw,peter@sharetech.com.tw, 報表收件者郵件信箱可以輸入包含一筆以上之郵件帳號, 以逗號分隔圖 2-64 設定報表收件者註 : 管理者報表可以自行選擇是否要套用共用模式或者自行設定報表模式 67

69 2-7-3 報表查詢區間針對當使用者遇到狀況是 smtp mail server 是在 UTM 外部, 因連線問題, 才發現過去幾天的 r 報表是沒有寄出的, 但在連線狀況排除之後, 想回過頭去看前幾天的報表卻是沒有介面可以讓它 " 預覽 " 或是 "download", 該怎麼辦呢?ShareTech UTM 報表查詢區間功能提供完整傳送成功或失敗 log 查詢介面 ( 圖 2-65) 圖 2-65 UTM 報表查詢介面 68

70 2-8 資料匯出及掛載資料匯出及掛載名詞解釋 : 資料匯出資料保存備份對系統來說是一件非常重要的工作, 眾至 UTM 多功能防火牆提供管理者以網路芳鄰 (Samba) 模式進行資料備份, 管理者可自行設定備份的時間及備份的項目, 方便簡單管理遠端資料掛載遠端資料掛載功能提供系統當遇到緊急狀況需從匯出資料進行搜尋時, 可透過系統介面快速搜尋 69

71 2-8-1 資料匯出 ShareTech 資料匯出採用網路芳鄰 (Samba) 備份模式進行 : 網路芳鄰的備份模式, 它是利用 TCP 中的協定跟網路上任何一台分享儲存空間的伺服器溝通, 並將紀錄的郵件備份過去步驟 1. 匯出目的地系統主機 IP: 輸入網路芳鄰 (Samba) 主機的 IP 位址或是網域名稱, 例如或是 backup.yourdomain.com 選擇使用網域名稱作為備份主機時, 要注意 DNS 是否能夠正常的解析, 萬一備份時無法利用 DNS 找到備份的主機, 就會導致備份失敗資料夾目錄 : 輸入網路芳鄰 (Samba) 備份主機, 分享出來的資料夾名稱, 此資料夾需有寫入的權限, 因為一台備份主機可能有多台伺服器在使用, 所以用目錄來區隔不同的使用目的 UTM 會根據目前的日期建立目錄結構, 每天一個目錄, 把這一天所有的信件統統放在這個目錄下登入帳號 : 針對 2 次備份的主機, 輸入具有寫入權限的帳號登入密碼 : 針對 2 次備份的主機, 輸入具有寫入權限帳號的密碼密碼確認 : 系統會要求管理者再次確認密碼 ( 圖 2-66) 圖 2-66 資料匯出 - 匯出目的地設定 70

72 步驟 2. 匯出設定 :UTM 會在這個地方顯示最後一次備份的狀況, 包含, 備份是否成功失敗, 執行備份的最後時間點 ( 圖 2-67) 定時自動匯出 : 這個選項的另一個意義就是每天備份, 挑一個 UTM 多功能防強比較不繁忙的時間執行記錄郵件的備份動作, 備份時間以小時為單位訊息通知匯出結果 : 是否要通知管理者每一次匯出備份狀況立即匯出資料至目的地 : 啟動, 代表馬上進行資料匯出備份圖 2-67 匯出設定步驟 3. 設定匯出的項目, 目前計有流量分析網頁記錄 FTP 記錄 MSN 記錄與郵件記錄等五項匯出項目提供管理者自行設定 ( 圖 2-68) 圖 2-68 匯出項目設定 71

73 2-8-2 遠端資料掛載管理者可以針對系統裡面的資料進行匯出備份, 如果遇到緊急狀況需要從匯出的資料進行搜尋時, 該怎麼辦呢? 最方便的還是透過系統的搜尋介面來尋找,UTM 多功能防火牆提供遠端資料掛載功能, 方便管理者可以將匯出資料 ( 以月份為單位 ) 重新掛載到系統當中步驟 1. 檢視遠端磁碟內容, 勾選需遠端掛載項目 ; 如 : 流量分析網頁記錄與郵件記錄步驟 2. 點選遠端資料掛載按鍵 ( 圖 2-69) 步驟 3. 完成遠端資料掛載 ( 圖 2-70) 圖 2-69 設定遠端磁碟掛載項目圖 2-70 完成遠端資料掛載 72

74 2-9 特徵碼更新特徵碼更新名詞解釋 : 特徵碼更新眾至 UTM 多功能防火牆提供特徵碼自動更新功能, 要讓用戶端的 URL 黑名單資料庫 IDP 特徵碼 Botnet 特徵碼的辨識能力維持在最佳狀態 73

75 2-9-1 特徵碼更新 UTM 防火牆的 URL 資料庫 IDP 特徵值 BotNet 特徵值, 可以定時地向資料庫更新, 取得最新的特徵值, 保護內部網路的安全步驟 1. 選擇需要自動更新的項目, 並將自動更新的選項啟用 ( 圖 2-71) 步驟 2. 點選馬上檢查按鍵, 可以立即地更新特徵值圖 2-71 特徵碼自動更新 74

76 2-10 CMS CMS 名詞解釋 : CMS 基本設定眾至多功能防火牆可以提供管理者, 建立與遠端設備之間的連線, 將該公司的防火牆等設備, 納入單一介面的集中管理架構, 以簡化公司整體環境的網管工作尤其網管人員可節省遠端控管所需花費的時間成本交通費用以技術觀點而言 ShareTech CMS 擁有人性化的使用者介面, 可幫助管理者更容易的進行機器配置作為一個提供加值服務的供應業者, 系統整合商可以藉由 ShareTech CMS 的即時訊息去幫助用戶去設定管制連線或遠端操作設定以及降低客戶裝置維護的費用 CMS 狀態監控對於中心端的管理者而言, 他想及時地看到遠端設備的狀態, 包含線路是否正常, 能否進入遠端設備管理, 對於這些虛求, 只要進入管理端的設備, 就可以清楚掌握所有設備資訊, 包含狀態名稱型號 IP 即時監控備份與相關紀錄 75

77 CMS 基本設定眾至多功能防火牆 CMS 中央管控功能, 適合企業多分點管理, 主要模式區分為 Client 端與 Server 端如果是要當主機管理所有分點設備則啟用模式需選為 Server, 被管理的設備啟用模式選為 Client 步驟 1. 點選啟用, 則啟動 CMS 管理機制 ( 圖 2-72) 步驟 2. 基本設定模式非為 Client 與 Server 兩模式, 由管理者依實際需求自訂模式 : Client 模式圖 2-72 CMS 基本設定項目當設定模式選擇為 Client 模式時, 在被管理端之設備上需設定相關之伺服器名稱更新時間與管者帳號步驟 1. 伺服器需輸入這台 Client 端 IP 位址, 如 ( 圖 2-73) 步驟 2. 步驟 3. 為了方便管理者辨識被管理之設備名稱, 可在名稱欄位上自訂當名稱欄位輸入台北時, 則管理者可清楚在監控狀態中馬上知道這是台北防火牆設備當更新時間設為 1 時, 代表 Client 端每隔一分鐘與 Server 端做連線檢查機制, 當連線狀態異常備份失敗或還原失敗時, 可即時藉由訊息通知管理人員步驟 4. 為了方便管理者監控,Client 可指定管理帳號快速藉由 Server 端主機操控管理, 但是相對必須也在 Server 擁有同樣管理帳號才可進行控管圖 2-73 Client 設定項目 76

78 模式 :Server 模式當設定模式選擇為 Server 模式時, 主要管理 Client 設備, 則管理者可以自行設定是否將 Client 備份到自己本機裡, 當有事故發生時可直接從 Server 端進遠端管理還原, 保持設備正常運作步驟 1. 勾選啟用 Client 設定檔自動備份至本機 ( 圖 2-74) 步驟 2. 管理者可自行選擇採天數備份或是星期備份, 並可自訂備份的時間與保留數量, 建議備份的時間盡量用晚上非上班時間進行圖 2-74 Client 設定檔自動備份至本機 77

79 CMS 狀態監控當 CMS 作為 Server, 透過 CMS 狀態監控可以掌握每一台 Client 運作狀態, 包含設備是否正常運作名稱型號 IP 位址備份情形紀錄等 ( 圖 2-75) 圖 2-75 CMS 狀態監控畫面眾至多功能防火牆 CMS 管理的好處是可以掌握每一台 Clietn 運作狀態, 想知道哪一台設備目前的運作狀況, 只要點選即時監控功能, 系統就會帶出這台監控設備的相關資訊, 包含伺服器資訊 ( 型號版本與時間 ) 伺服器系統資源 ( 記憶體硬碟容量 ) 與網路介面運作情形, 最方便的是還可以直接透過一 Server 端進入到 Client 端管理介面 ( 圖 2-76) 圖 2-76 CMS 即時監控畫面 78

80 透過連線檢視可掌握目前 Server 與 Client 連線狀況, 詳細記錄所有通聯 log ( 圖 2-77) 圖 2-77 CMS 連線紀錄除了連線紀錄外, 所有控制紀錄也詳細記載 ( 圖 2-78) 圖 2-78 CMS 控制紀錄畫面 79

81 2-11 AP 管理首先, 在談論到內網無線網路環境布局必須先了解 Thin AP 與 Fat AP 之間的差異,Thin AP 是這幾年才被提出的概念名詞, 和一般無線路由器 (Fat AP) 最大不同, 在於 Thin AP 功能比較單純, 大多只負責無線訊號的傳遞, 無法像 FAT AP 一樣進行有關管控安全性等功能 ShareTech Higuard soho 防毒路由器提供雙 AP 功能, 亦即可以當作 Fat AP, 提供安全防護 ( 防病毒入侵防駭客攻擊 ) 上網管理 ( 網頁過濾應用程式管理頻寬管理 ) 與虛擬加密通道 VPN 功能 ; 也可以作純 AP(Thin AP) 模式, 這方式主要是讓集中無線管理更有效率, 也因此多數企業在內網無線網路規劃上大多採 Thin AP 模式, 然而一旦要管控多台無線 AP, 如果沒有一個好的集中管控平台, 只要當遇到無線無法上網使用時, 勢必得一台一台查詢 ; 另外使用者在不同無線 AP 之間漫遊, 如何擁有高穩定性與安全性也是值得重視的問題 ShareTech UTM 整合無線 AP 管理功能於一機, 可以讓企業不用擔心無線網路擴充的困擾, 結合自身 AP(HiGuard soho), 將每個 AP 通過的流量整合到 ShareTech UTM 平台, 且 AP 彼此之間可以無縫聯繫, 讓使用者在行動轉移時不會感覺到網路切換 ShareTech UTM 提供了一個單獨的控制平台來管理有線與無線通聯, 透由管理介面, 管理者可清楚掌握每台 AP 路由器運作狀態 ( 運作或掛點 ) 上傳與下載流量, 與目前該 AP 路由器線上人數最重要的管理者可直接透過控制平台直接管控每個 AP 路由器, 大大減輕管理者負擔,ShareTech 無線 AP 管控平台可以提供強大完整無線網路保護部屬空間打造辦公網路環境無線熱點後, 相信多數網管人員接著面臨的困擾就是該如何管控使用者利用 WiFi 上網, 由於智慧型手機平板的普及, 加上 NB 筆記型電腦的廣泛使用, 無線網路控管是多數企業未來必須去面對的挑戰 Thin AP 主要是傳遞無線網路訊息, 對於安全的控管就比較薄弱, 對於一些惡意的攻擊行為就不能有效防護, 對眾至 UTM 而言, 除了上述可以管控每一台無線 AP 運作狀況外, 還提供身分認證機制服務, 使用者利用無線上網必須通過認證, 取得合法權限後才可通行此外, 透由眾至 ShareTech UTM 亦可以針對無線上網之使用者進行行為控管與記錄存檔, 可以限制使用者瀏覽的網頁應用程式 ( 即時通訊 P2P 影音..) 使用, 且記錄所有使用之行為對於網管人員來說, 以一台 ShareTech UTM 做為主要管理工具, 透過單一管理介面, 就可以管控到所有無線 AP 運作狀況, 最重要的可以遠端關閉設備下管制指令等, 讓網管人員不用疲於奔命管理, 大幅提高效率除了給管理者帶來便利外, 對使用者來說也可以輕鬆使用, 相對地對企業採購來說是一個無痛導入解決方案 80

2-11-1 AP 管理設定眾至多功能防火牆 AP 管理設定功能, 適合企業管理多台無線 AP, 主要模式區分啟動與關閉步驟 1. 點選啟用, 則啟動 AP 管理設定 ( 圖 2-79) 圖 2-79 啟動 AP 管理功能步驟 2.

82 AP 管理設定眾至多功能防火牆 AP 管理設定功能, 適合企業管理多台無線 AP, 主要模式區分啟動與關閉步驟 1. 點選啟用, 則啟動 AP 管理設定 ( 圖 2-79) 圖 2-79 啟動 AP 管理功能步驟 2. ShareTech UTM 提供了一個單獨的控制平台來管理有線與無線通信步驟 3. 步驟 4. 透由 ShareTech UTM AP 管理介面, 管理者可清楚掌握每台 AP 路由器運作狀態 ( 運作或掛點 ) 上傳與下載流量, 與目前該 AP 路由器線上人數 ( 圖 2-80) 最重要的管理者可直接透過控制平台直接管控每個 AP 路由器線上成員及當日線上人數圖 ( 圖 2-81) 圖 2-80 ShareTech UTM AP 管控平台 81

83 圖 2-81 清楚掌握每一 AP 路由器人數使用狀況步驟 5. ShareTech UTM 為了減輕管理者維護痛苦, 提供派送設定功能, 管理者只要從 UTM 管理介面中, 設定 AP 路由器項目 ( 包含 AP 設定頻寬設定管理介面密碼與管理介面存取設定 ), 即可透由遠端派送執行 ( 圖 2-82) 圖 2-82 ShareTech UTM AP 派送設定註 : 目前 AP 管理,SHARETECH 只支援 Higuard home 與 soho 路由器 82

84 2-12 SSL 憑證設定用來匯入或產生電子憑證, 以供連線 UTM SSL VPN 驗證所需步驟 1. 設定 SSL 憑證, 輸入二碼國碼, 如 TW ( 圖 2-83) 步驟 2. 步驟 3. 輸入州 / 省別名稱, 如 TAIWAN 填入所在城市資料, 如 TAIPEI 步驟 4. 設定組織名稱單位名稱網站名稱與申請人員相關資訊步驟 5. 按下下載 server.csr server.key 檔案, 就可獲取 server.csr 與 server.key 資訊圖 2-83 SSL 憑證設定步驟 6. 透由與憑證中心申請獲得新的 key crt 檔與中繼憑證檔後, 在匯入 ( 圖 2-84) 圖 2-84 匯入 SSL 憑證 83

85 第三章網路介面及路由網路介面包括了 UTM 多功能防火牆系統的內部網路和外部網路和非軍事區等設定值, 在網路介面中, 系統管理員可定義企業網路架構之內部網路外部網路和非軍事區的 IP 位址子網路遮罩閘道位址等介面設定網路介面名詞解釋 : 內部網路設定系統管理員可在此設定 UTM 多功能防火牆的內部網路之網路範圍 MAC 位址可依架設環境所需, 適時設定 UTM 多功能防火牆網路介面的 MAC 位址 Speed and Duplex Mode 設定說明如下 : 可藉由此項功能設定 WAN Port 與其他設備連接時的傳輸速率和模式, 目前系統提供有六種方式, 分別為 Auto 10baseT/Half 10baseT/Full 100baseT/Half 100baseT/Full 1000baseT/Full MTU MTU 為 Maximum Transmission Unit 的縮寫, 一般預設值為 1,500 但是在不同的網路環境中, 應該是有不同的數值以下列出各種 Maximum MTU EtherNet Used:1,500( 一般的預設值 ) EtherNet Actually:1,496( 因為 1,500 比較方便記憶 ) PPPoE( 撥接 ADSL 用的 ):1,492 Dial-up(Modem 用的 ):576 ARP 防偽 ARP 的攻擊是駭客行為的一種, 它的目的是混淆內部網路上網行為, 藉以攔截網路封包或是讓內部網路無法正常上網遭受此攻擊時會讓 PC 的閘道器 MAC 位址換成攻擊者或是其他不相關的位址, 又因為 ARP 攻擊是用廣播的方式, 管理者不容易偵測出攻擊者的 IP 及位置, 造成管理上的困擾 UTM 多功能防火牆藉由固定周期主動更新 MAC 位址的技術, 跟內部網路的 PC 溝通更新閘道器的 MAC 位址, 避免被 ARP 攻擊者換掉介面名稱 -eth1 / 2 外部網路 _1/2 名稱, 讓管理者辨識線路連線模式顯示目前外部網路介面連線模式, 可分為 Static DHCP PPPOE 等 3 種連線型態 84

86 Static 固定模式 ( 固接式或 ADSL 專線使用者 ) DHCP 模式 ( 纜線數據機使用者 ) PPPoE 模式 (ADSL 撥接使用者 ) 上傳速度 & 下載速度系統管理員必須在此設定該外部網路介面的正確頻寬, 以作為 UTM 多功能防火牆頻寬管理運作的依據負載分配模式自動分配 :UTM 多功能防火牆依照外部網路下載和上傳頻寬使用情形, 會自動調整對外線路的負載分配手動分配 : 由管理者決定對外線路的負載分配比例依來源 IP 分配 : 判別連線是由內部哪用戶來進行連線, 維持由此連線路徑, 彼此互傳封包依目的 IP 分配 : 判別內部用戶是透過 SHARETECH UTM 多功能防火牆的哪條對外線路, 和遠端設線路偵測方式備建立連線, 於終止 ( 完成 ) 所有和同一設備的連線前, 維持由此連線路徑, 彼此互傳封包測試外部網路是斷連線的狀態, 測試之方法, 分為下列三種 : DNS: 以查詢網域名稱的方式來測試是否斷連線 ICMP: 以 ICMP 測試, 所設定的 IP 之方式來測試是否斷連線 NONE: 線路不偵測, 永遠是連線狀態啟用的管理服務 Ping : 使用者可 Ping 到該網路介面之 IP 位址, 以確認 UTM 多功能防火牆的網路介面是否存活 HTTP : 勾選時, 使用者可從該網路介面之 IP 位址, 透過 HTTP 協定進入 UTM 多功能防火牆的管理介面 HTTPS: 勾選時, 使用者可從該網路介面之 IP 位址, 透過 HTTPS 協定進入 UTM 多功能防火牆的管理介面偵測間隔時間系統管理者可輸入系統每隔多少間隔時間做檢測, 單位以秒為計算管理介面閒置多久自動斷線系統管理員在外部網路介面為 PPPoE 設定 (ADSL 撥接使用者 ) 連線模式時, 可輸入當該條線路未被使用的情況下, 多久之後自動斷線的時間 ( 單位 : 分鐘 ) 非軍事區網路介面位址系統管理員可在此設定 UTM 多功能防火牆的非軍事區之網段或運作模式非軍事區有 2 種模式 : 85

87 NAT: 在此模式中, 非軍事區為一獨立虛擬網段, 該虛擬網段可由系統管理員設定 ( 但不可和內部網路介面為同一網段 ) BRI: 在此模式中, 外部網路 _1 與 DMZ Port 處於橋接 (bridge) 模式下列表格為標準虛擬 IP 位址範圍, 不可使用外部真實 IP 位址 ~ ~ ~ IPv6 設定說明如下 : 為次世代網際網路協定 (Internet Protocol Next Generation), 主要目的是能與目前版本的 IP (IPv4) 共存, 以應付日漸增加的網路主機數目及資料傳輸量 IP 位址採二進位制, 由 128 位元的 0 1 代碼組成, 例如 : , 可以下列方法來表示 IP 位址 : 冒號分十六進位法 : 將 128 位元代碼分成 8 組每組 16 位元中間用 : 分隔, 代碼就可以 : : : : : : : 表示 ; 再用十六進位法則將 8 組 16 位元代碼用數字來表示, 它就變成 21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A 壓縮形式 : 在冒號分十六進位格式中, 設為 0 的一串連續 16 位元區塊可壓縮為 ::, 例如 :FE80:0:0:0:2AA:FF:FE9A:4CA2 可以壓縮為 FE80::2AA:FF:FE9A:4CA2 混合形式 : IPv4 相容位址 : 雙堆疊節點使用 IPv4 相容位址 0:0:0:0:0:0:w.x.y.z 或 ::w.x.y.z ( 此處 w.x.y.z 是 IPv4 位址的點分十進位表示法 ), 在 IPv4 基礎結構上與 IPv6 通訊, 例如 :IPv4 當中的位址 , 在 IPv6 當中成為 0:0:0:0:0:0: ; 雙堆疊節點是具有 IPv4 和 IPv6 網際協定的節點, 當使用 IPv4 相容位址做為 IPv6 目的位址時, IPv6 通訊自動使用 IPv4 標頭進行壓縮, 並使用 IPv4 基礎結構傳送到目的 IPv4 對映位址 :0:0:0:0:0:FFFF:w.x.y.z 或 ::FFFF:w.x.y.z 用來將只用於 IPv4 的節點表示為 IPv6 節點, 例如 :IPv4 當中的位址 , 在 IPv6 當中成為 0:0:0:0:0:FFFF: IPv4 建置通常使用點分十進位數字表示前置字元 ( 稱為子網路遮罩 );IPv6 不使用子網路遮罩, 只支援前置字元長度表示法位址中的前置位元定義了特定 IPv6 位址類型, 含有這些前置字元的可變長度欄位稱為格式前置字元 (Format Prefix,FP), 功能有如 IPv4 中的前幾個位元用來代表各 class 分類表示 IPv6 位址 / 前置字元組合的簡潔方法 :IPv6 位址 / 前置字元長度, 例如 : 3FFE:FFFF:0:CD30:0:0:0:0/64, 前置字元是 3FFE:FFFF:0:CD30, 表示成壓縮形式為 3FFE:FFFF:0:CD30::/64; 帶有前置字元的節點位址可用於衍生子網路識別碼, 例如 : 86

88 21DA:D3:0:2F3B:2AA:FF:FE28:9C5A/64, 所衍生的子網路識別碼為 21DA:D3:0:2F3B::/64 可以沿位元邊界定義前置字元, 但 IPv6 位址的冒號分十六進位表示法以半位元組 (4 位元 ) 為界, 要正確表示一個字首長度不是 4 的倍數的子網路, 必須將十六進位轉換為二進位, 才能確定適當的子網路識別碼例如 : 要表示位址和字首為 21DA:D3:0:2F3B:2AA:FF:FE28:9C5A/59 的子網路, 就必須將 2F3B 中的 3 轉換為二進位 (0011), 在第 3 個和每 4 個二進位數字之間畫分半位元組, 然後轉換回到十六進位, 結果子網路識別碼為 21DA:D3:0:2F20::/59 87

89 3-1 網路介面 UTM 多功能防火牆的網路介面, 都在這裡設定, 這個部份是要讓 UTM 多功能防火牆正常運作必須要設定的第一個項目內部網路更改內部網路介面位址步驟 1. 在網路介面之內部網路功能中, 鍵入以下資料 :( 圖 3-1) 輸入內部網路 IP 位址為輸入網路遮罩為輸入上傳下載速度為 , 單位為 Kbps 選擇 Speed and Duplex Mode 模式設定 MTU 數值, 並按下儲存鍵步驟 2. 勾選是否啟動 ARP 防偽, 為了避免遭受 ARP 攻擊, 管理者可設定間隔時間, 讓系統自動更新目前使用者 IP 與 MAC 位址, 並免遭受竄改圖 3-1 內部網路介面位址 Web UI 設定畫面註 :UTM 多功能防火牆的預設內部網路位址為 , 系統管理員在更動內部網路位址後, 必須使 PC 重新取得跟內部網路同網段的 IP 位址, 這樣才可以變更後的內部網路位址進入管理介面 88

90 Multiple Subnet : 內部網路可支援多個區段的網路位址可讓內部網路設定多個網段位址, 並可經由不同的外部位址與網際網路建立連線例如 : 公司的專線申請到多個真實 IP 位址 /24, 公司內部也分為許多的部門, 研發部客服部業務部採購部會計室等, 為了方便管理可將各部門以不同 IP 網段來區分設定方式如下 : 客服部網段 /24(Internal) (External) 業務部網段 /24(Internal) (External) 採購部網段 /24(Internal) (External) 會計室網段 /24(Internal) (External) 在 Multiple Subnet 設定完成後每個部門就會從不同的外部 IP 位址出去, 以業務部的範例, /24 的電腦, 會使用的 IP 位址 NAT 出去 ( 圖 3-2) 圖 3-2 Multiple Subnet 的設定如果想讓內部某個 IP 位址使用特定的外部 IP 位址, 則只要在 subnet 中輸入 , 代表只有這個內部 IP 位址使用選定的外部 IP 位址以下圖為範例, 的 IP 位址, 會使用的外部 IP 為 NAT 的位址 ( 圖 3-3) 圖 3-3 一對一 Multiple Subnet 的設定註 1: 記得在內部網路介面上設定 Multiple Subnet, 可以切出許多 vlan 註 2:Multiple Subnet 的 Routing 模式只在 Static 連線模式下才能使用 89

91 3-1-2 外部網路 _1 外部網路 _1: 範例一設定外部網路介面位址為 Static 步驟 1. 於網路介面功能中, 點選外部網路 _1 選單步驟 2. 設定連線模式為 Static( 固接或 ADSL 專線使用者 )( 圖 3-4) 在介面名稱 -eth1 中輸入任何文字, 管理者可以辨識這個線路鍵入 ISP 所提供的 IP 位址網路遮罩預設閘道鍵入上傳速度及下載速度, 可以用下拉式選單選擇預設的速度, 或是自行輸入速度, 自行輸入時的單位為 Kbps ( 依照 ISP 提供的速度 ) 勾選負載分配模式為自動分配手動分配依來源 IP 分配依目的 IP 分配的選項針對某些特定服務, 當連線建立完成後, 不合適切換 WAN 的線路, 則需要選以來源 IP 位址分配 WAN 的線路 : 代表斷線, : 代表連線按下儲存鈕圖 3-4 外部網路介面位址連線方式為 Static 模式 90

92 線路偵測方式設定線路偵測設定方式 ( 有 DNS ICMP 和不偵測三種方式 )( 圖 3-5) DNS: 用 DNS 查詢的方式, 確認線路斷線或是連線, 輸入被偵測伺服器 IP 位址, 必須確認設定的 IP 位址會回應 DNS 封包要求 ICMP: 用 ICMP 查詢的方式, 確認線路斷線或是連線, 輸入被偵測的 IP 位址, 必須確認設定的 IP 位址會回應 ICMP 封包要求不偵測 : 如果確認線路不會斷線, 可以選它啟用管理的服務, 包含 Ping Http Https 防火牆防護設定圖 3-5 線路偵測方式外部 IP 位址要不要接受防火牆的保護,UTM 多功能防火牆目前提供 SYN 攻擊 ICMP 攻擊 UDP 攻擊及 PortScan 等 4 種攻擊防護 ( 圖 3-6) 圖 3-6 防火牆防護設定 : 管理者可以點選紀錄按鈕, 查看這個 IP 位址的遭受駭客攻擊的方式時間等攻防紀錄 91

93 共同設定共同設定是指外部網路 _1 跟外部網路 _2 會共同使用的參數部份, 設定資料如下 :( 圖 3-7) 鍵入 DNS Server1 為或是該線路 ISP 提供的 DNS 伺服器 IP 位址鍵入 DNS Server2 為或是該線路 ISP 提供的 DNS 伺服器 IP 位址設定外部網路 HTTP 與 HTTPS 管理埠號,HTTP 預設埠號是 80,HTTPS 預設埠號是 443 設定偵測間隔時間, 預設是 3 秒測試一次, 測試連線為 UTM 多功能防火牆偵測該外部網路是否斷線或是連線的依據在測試連線中所設定之測試 DNS 伺服器或 IP 位址皆必須永久運作, 否則會造成 UTM 多功能防火牆的判斷錯誤管理介面閒置多久自動斷線, 預設是 60 分鐘, 管理者進入管理介面, 超過這個設定時間, 就需要重新登入圖 3-7 完成共同設定註 : 當在外部網路介面中勾選 Ping 時, 使用者將可從外部網路 Ping 的到 UTM 多功能防火牆與進入 UTM 多功能防火牆的外部介面這有可能會影響到網路的安全性, 建議系統管理員在確定所有設定皆無虞之後, 能將 Ping 的選項取消 92

94 3-1-3 外部網路 _2 外部網路 _2: 範例二設定外部網路介面位址為 DHCP 步驟 1. 於網路介面功能中, 點選外部網路 _2 選單鈕步驟 2. 設定連線模式為 DHCP 自動取得 IP 位址, 它會自動從 DHCP 伺服器取得 IP 資訊 ( 圖 3-8) 在介面名稱 -eth2 中輸入任何文字, 管理者可以辨識這個線路鍵入上傳速度及下載速度, 可以用下拉式選單選擇預設的速度, 或是自行輸入速度, 自行輸入時的單位為 Kbps ( 依照 ISP 提供的速度 ) 系統會自動取得 IP 位址網路遮罩預設閘道負載分配模式只可手動設定, 當外部網路 _1 設為自動分配時, 它無法選擇, 只有外部網路 _1 設為手動分配時, 它才可以選擇分配比例 : 代表斷線, : 代表連線圖 3-8 外部網路介面位址連線方式為 DHCP 模式步驟 3. 設定線路偵測設定方式 ( 有 DNS ICMP 和不偵測三種方式 )( 圖 3-9) DNS: 用 DNS 查詢的方式, 確認線路斷線或是連線, 輸入被偵測伺服器 IP 位址 ICMP: 用 ICMP 查詢的方式, 確認線路斷線或是連線, 輸入被偵測的 IP 位址啟用管理的服務, 包含 Ping Http Https 圖 3-9 線路偵測設定 93

95 步驟 4. 設定 SYN 攻擊 ICMP 攻擊與 UDP 攻擊設定值 :( 圖 3-10) 圖 3-10 防火牆防護設定 : 管理者可以點選紀錄按鈕, 查看這個 IP 位址的遭受駭客攻擊的方式時間等攻防紀錄註 : 在外部網路 _2 中, 指定 IP 位址的連線方式並不需要設定 DNS 伺服器, 因為他是屬於跟外部網路 _1 共同設定值 94

96 範例三 : 設定外部網路介面位址為 PPPoE 步驟 1. 於網路介面功能中, 點選外部網路 _2 的選單鈕步驟 2. 設定連線模式為 PPPoE(ADSL 撥接使用者 )( 圖 3-11) 在介面名稱 -eth2 中輸入任何文字, 管理者可以辨識這個線路選擇 PPPoE 連線模式輸入帳號, 申請帳戶之名稱輸入密碼, 申請帳戶之密碼鍵入上傳速度及下載速度, 可以用下拉式選單選擇預設的速度, 或是自行輸入速度, 自行輸入時的單位為 Kbps ( 依照 ISP 提供的速度 ) 負載分配模式只可手動設定, 當外部網路 _1 設為自動分配時, 它無法選擇, 只有外部網路 _1 設為手動分配時, 它才可以選擇分配比例 : 會顯示這一條線路的斷連線時間 : 代表斷線, : 代表連線按下儲存鈕圖 3-11 外部網路介面位址連線方式為 PPPoE 模式 95

97 步驟 3. 設定線路偵測設定方式 ( 有 DNS ICMP 和不偵測三種方式 )( 圖 3-12) DNS: 用 DNS 查詢的方式, 確認線路斷線或是連線, 輸入被偵測伺服器 IP 位址 ICMP: 用 ICMP 查詢的方式, 確認線路斷線或是連線, 輸入被偵測的 IP 位址啟用管理的服務, 包含 Ping Http Https 圖 3-12 完成線路偵測方式步驟 4. 設定防火牆防護設定 ( 圖 3-13) 防護項目計有 SYN ICMP UDP Port Scan 四種防護方式點選記錄鍵可細看防護記錄圖 3-13 完成防火牆防護設定方式 : 管理者可以點選紀錄按鈕, 查看這個 IP 位址的遭受駭客攻擊的方式時間等攻防紀錄 96

98 3-1-4 非軍事區範例一設定非軍事區介面位址 (NAT 模式 ) 步驟 1. 選取網路介面中的非軍事區步驟 2. 選擇非軍事區運作模式為 NAT 模式 ( 圖 3-14) 選取非軍事區介面位址為 NAT 設定 IP 位址與網路遮罩設定上傳速度下載速度如果需要更改 MAC 位址, 在 MAC 位址欄填入新的 MAC 位址就可以步驟 3. 按下儲存鈕圖 3-14 非軍事區域網路 NAT 模式 Web UI 設定畫面 97

99 範例二設定非軍事區介面位址 (Transparent Bridge 模式 ) DMZ Bridge 模式是將 WAN1 跟 DMZ 設成橋接模式, 所有 DMZ 下的 IP 位址跟 WAN 介面使用相同的 IP 區段及閘道器位址, 此時 WAN 1 必須設為 STATIC 模式步驟 1. 選取介面位址中的非軍事區域網路步驟 2. 選擇非軍事區運作模式為透通路由模式 :( 圖 3-15) 選取非軍事區域介面位址為 Transparent Bridge 設定上傳速度下載速度如果需要更改 MAC 位址, 在 MAC 位址欄填入新的 MAC 位址就可以按下儲存鈕, 啟用這個模式,UTM 多功能防火牆會將設備重新開機, 套用新的模式圖 3-15 非軍事區域網路橋接模式 Web UI 設定畫面 98

100 範例三設定非軍事區介面位址 (Transparent Routing 模式 ) DMZ Transparent Routing 模式是將 WAN1 跟 DMZ 設成路由模式, 所有 DMZ 下的 IP 位址跟 WAN 介面使用相同的 IP 區段, 此時 WAN 介面必須設為 STATIC 模式步驟 1. 選取介面位址中的非軍事區域網路步驟 2. 選擇非軍事區運作模式為路由模式 : 選取非軍事區域介面位址為 Transparent Routing 設定上傳速度下載速度如果需要更改 MAC 位址, 在 MAC 位址欄填入新的 MAC 位址就可以設定路由要用的 IP 位址按下儲存鈕, 啟用這個模式,UTM 多功能防火牆會將設備重新開機, 套用新的模式註 : 在 DMZ 切換運作模式時, 都需要重新開機 99

101 3-2 路由設定路由設定名詞解釋 : 路由表用來將傳送至特定目的端之封包導向固定網路節點, 可採用 IPV4 或 IPV6 網際網路協定動態路由和路由器彼此交換路由資訊產生的路由, 會隨著網路架構的調整變化而更新, 期更新收斂時間因網路架構大小及路由通訊協定不同而改變 RIPv2 路由訊息設定 (Route Information Protocol), 對鄰近的路由器發送 RIPv2 要求封包, 接受到的封包的路由器也採用 RIPv2 協定, 便會將其路由表傳回來, 發送要求的設備藉此統計抵達每個目的所要經過的轉節點, 並在自己的路由表中紀錄最快的路徑 100

102 3-2-1 路由表範例 : 使串接於眾至 UTM 多功能防火牆下之 Router, 將互連的網段透過多功能防火牆連上網際網路 ( 圖 3-16) 甲公司 :WAN 1 WAN 2 和 ATU-R 連接, 連上網際網路,LAN 網段為 /24, 串接於 LAN 之 Router1(Lan1 : ,wan: , 支援 RIPv2) 乙公司 :Router2(wan: , 支援 RIPv2), 其 LAN 網段為 /24 甲公司 Router1( ) 和乙公司 Router2( ) 直接以專線相連圖 3-16 指定路由表運用環境 101

103 步驟 1. 於路由設定之路由表功能中新增下列設定 :( 圖 3-17) 目的位址輸入子網路遮罩輸入閘道位址輸入介面選擇 LAN 按下新增鈕圖 3-17 新增第一筆路由表步驟 2. 再次於路由設定之路由表功能中新增下列設定 :( 圖 3-18) 目的位址輸入子網路遮罩輸入閘道位址輸入按下新增鈕圖 3-18 完成第二筆路由表 102

104 步驟 3. 再次於路由設定之路由表功能中新增下列設定 :( 圖 3-19) 目的位址輸入子網路遮罩輸入閘道位址輸入按下新增鈕圖 3-19 完成第三筆路由表步驟 4. 新增完成, 此時 /24 和 /24 網段下之電腦可互相連通, 且皆可由 UTM 多功能防火牆轉換成真實 IP 連上網際網路註 1: 如果路由的網路或 IP 隸屬於不同的網路介面時, 要在管制條例 LAN TO LAN 或 DMZ TO DMZ 頁面中, 設定來源網路為 Inside Any 目的網路為 Inside Any 的規則, 讓內部網路或非軍事區網路可互相存取 103

105 3-2-2 動態路由 UTM 防火牆支援 RIP 協定, 以 RIP V2 協定, 將內外的路由網段, 自動學習 ( 圖 3-20) 步驟 1. 於路由設定之動態路由功能中選擇要套用的網路界面, 啟用的界面將會自動交換學習到的網路區段步驟 2. 設定路由更新週期, 預設值為 30 步驟 3. 路由逾時時間設定, 預設值為 180 圖 3-20 動態路由設定畫面 104

106 Q 用於建立多個內部網段, 以利內部各區塊的網路配置 802.1Q 名詞解釋名稱為 802.1Q 識別名稱 IP 位址 / 網路遮罩該 802.1Q 採用的網際網路協定網路遮罩與閘道位址介面 802.1Q 的網路介面, 可為內部 LAN 或非軍事區網路 NAT VLAN ID 讓眾至多功能防火牆的網路介面支援 VLAN tag, 來辨識隸屬於內部或非軍事網路的 VLAN 網段 105

107 Q 我們藉以網路環境案例, 讓您更深入了解 802.1Q 範例 : 透過 802.1Q 建立內部 VLAN 網段之閘道位址, 藉以控管 VLAN 存取網路資源權限環境設定 LAN( ,NAT / 路由模式 ) 和內部網路連接, 為 x/24 網段內部網路有 VLAN 1 的 x/24 VLAN2 的 x/24 網段 WAN1 為 ( ) 和 ATUR 對接, 連上網際網路 ( 圖 3-21) 圖 Q 架構圖 106

108 步驟 1. 在網路介面及路由 802.1Q 頁面中做第一筆 VLAN 相關設定按下新增鈕輸入 VLAN ID 名稱 VLAN1 IP 位址輸入網路遮罩輸入輸入 VLAN 1 按下新增鈕, 完成設定 ( 圖 3-22) 圖 3-22 設定第一筆 VLAN 107

步驟 2. 新增第二筆 VLAN 相關設定按下新增鈕輸入 VLAN ID 名稱 VLAN2 IP 位址輸入 192.168.3.1 網路遮罩輸入 255.255.255.0 輸入 VLAN 2 按下新增鈕, 完成設定 ( 圖 3-23) 圖 3-23 設定第二筆 VLAN 步驟 3.

109 步驟 2. 新增第二筆 VLAN 相關設定按下新增鈕輸入 VLAN ID 名稱 VLAN2 IP 位址輸入網路遮罩輸入輸入 VLAN 2 按下新增鈕, 完成設定 ( 圖 3-23) 圖 3-23 設定第二筆 VLAN 步驟 3. 完成兩筆 VLAN 相關設定 ( 圖 3-24) 圖 3-24 完成 LAN 設定註 1: 在眾至多功能防火牆的網路介面上設定多個 VLAN 網斷之閘道位址, 控管各 VLAN 的 PC 透過多功能防火牆上網註 2: 若設定的網段或 IP 隸屬於不同的網路介面時, 要在管制條例 LAN to LAN 頁面中, 設定來源網路為 Inside Any, 目的網路為 Inside Any 服務名稱為 ANY 的規則, 讓內部網路的電腦可以相互存取 108

110 步驟 4. 在管理目標 > 位址表 > 內部 IP 位址表頁面中, 做下列設定 :( 圖 3-25) 圖 3-25 內部網路位址表設定步驟 5. 在管理目標 > 位址表 > 內部網路群組頁面中, 做下面設定 :( 圖 3-26) 圖 2-26 內部網路群組設定 109

111 步驟 6. 在管理目標 > LAN 的管制 > LAN 對 WAN 管制頁面中, 做下列設定 : 按下新增鈕 ( 圖 3-27) 來源網路選擇所設定的內部網路位址表規則 VLAN_GROUP 動作選擇允許按下新增鈕 ( 圖 3-28) 圖 3-27 LAN 管制條例套用位址表規則圖 3-28 完成管制條例設定 110

112 第四章管制條例預設的管制行為是內對外全開放, 當外部網路通了, 內部就可以全部上網際網路每一個封包在通過 UTM 多功能防火牆時, 需要逐條檢查是否符合管制條例, 當封包的條件符合某條管制條例時, 就會按該管制條例的設定來通過 UTM 多功能防火牆, 而不會再向下檢查其他的管制條例如封包無法符合任何管制條例時, 該封包就會被放行, 如果不想放行這類型的封包, 可以在最後一條加上全部禁止的條例管制條例的參數包含基本設定管制行為與記錄器設定 3 大區塊 1. 基本設定 : 管制條例名稱來源網路 (IP 位址 MAC 位址 ) 目的網路 (IP 位址 ) 與動作 2. 管制行為設定 : 通訊協定通訊埠或群組應用程式管理頻寬管理時間表 URL 管制上網認證使用的外部網路每個來源 IP 能使用的最大連線數禁止使用 SKYPE WEB FTP 掃毒 IDP BOTNET 封包追踪流量分析與流量配額 / 天並不是每一個管制方向都有上述所有的管制目標物, 外到內或是外到 DMZ 只可以管制通訊埠頻寬表時間內到 DMZ 之間多了一項應用程式的管理 3. 記錄器設定 :WEB 紀錄 FTP 紀錄郵件紀錄 IM 紀錄 MSN 紀錄註 : 所有經過 UTM 多功能防火牆管制的應用程式頻寬時間表 URL 管制. 等, 都必須要有管制條例許可才能通過 111

113 管制條例名詞解釋 : 管制條例名稱 : 為該管制條例所管制的名稱, 可以輸入任何中英文字來源網路位址 ( 來源網路 )& 目的網路位址 ( 目的網路 ): 來源網路位址 ( 來源網路 ) 與目的網路位址 ( 目的網路 ) 是以 UTM 多功能防火牆為觀察點, 主動連線的一端為來源網路位址, 被連線的一端為目的網路位址, 除了從管制目標中選擇外, 也可以直接輸入使用者 IP 位址與 MAC 位址為了方便管理者對來源網路與目的網路的辨識,ShareTech 針對不同來源位址以不同顏色區別, 來源網路為單一位址以黑色字體呈現來源為網路群組以藍色字體表現, 如來源網路是 Multiple Subnet 則以綠色字體呈現, 讓管理者可以快速方便管控動作 : 主要動作有兩種, 分別為拒絕與允許, 當設為允許動作時, 任何滿足基本設定管制行為設定記錄器設定的封包就會被放行, 設為拒絕則此封包會被丟棄當啟動 LAN 對 WAN 管制或 DMZ 對 WAN 管制時, 系統會詢問管理者是要以 NAT 或 ROUTE 進行動作連線通訊協定 : 可單獨管制 UDP 或 TCP 埠號, 或全部管控通訊埠或群組 : 系統管理員可以在服務表的服務群組選項中, 新增服務群組名稱, 將要提供的服務包含進去有了服務群組的功能, 管理員在制訂管制條例時可以簡化許多流程例如, 有 10 個不同 IP 位址可以對伺服器存取 5 個不同的服務, 如 HTTP FTP SMTP POP3 和 TELNET, 如果不使用服務群組的功能, 總共需制定 10x5=50 條管制條例, 但使用服務群組名稱套用在服務選項上, 則只需一條管制條例即可達到 50 條管制條例的功能應用程式管制 : 可管制 P2P 即時通訊軟體 WEB 應用娛樂軟體其他軟體的連線頻寬管理 : 設定該條管制條例的最大頻寬與保證頻寬 ( 頻寬由符合該管制條例之使用者共享 ) 時間表 : 設定該條管制條例的生效時間 URL 管制 : 管制通過該條管制條例的 URL 網址過濾上網認證 : 被管制的 IP 位址使用 WEB 服務時, 需不需要輸入帳號密碼, 藉以取得上網路的權利 112

114 使用的外部網路 : 指定封包進出 UTM 多功能防火牆時, 所經由的路徑 (WAN1 WAN2 或全部 ) 每個來源 IP 能使用的最大連線數 : 指定每個 IP 透過管制條例存取網路資源的同時連線數, 如連線數超過設定值, 則超過的連線數的連線要求會被丟棄禁止使用 Skype: 限定來源目標透過管制條例禁止使用 SKYPE WEB FTP 掃毒 : 偵測通過該管制條例, 以 Web FTP 協定存取的檔案, 是否夾帶病毒 IDP: 通過該管制條例的封包, 皆會透過入侵偵測防禦機制過濾 Botnet: 針對內部出去的封包進行檢查, 是否包含殭屍木馬等特徵值, 如果有則可以將它封鎖或是監控封包追蹤 : 記錄通過該條管制條例的所有封包, 可以在管制條例中這個條例的封包通聯記錄流量分析 : 開啟管制條例流量分析功能後, 系統才會追蹤分析流量配額 / 天 : UTM 多功能防火牆的主要靈魂是管制條例, 目前支援每一個管制條例的流量限額, 一旦超過管理者的使用額度, 這個條例的服務就會被禁止使用在管制條例的顯示限制的上下傳限額及剩下的數量 WEB 紀錄 : 可詳細記錄使用者上網瀏覽過之網頁及其網址 FTP 紀錄 : 可記錄使用者藉由 FTP 下載檔案的紀錄郵件紀錄 : 針對所有進出外部郵件伺服器或郵件閘道器的郵件, 連同夾帶檔案, 通通記錄下來 IM 紀錄 : 詳細記錄使用者使用即時通訊軟體 (YAHOO, ICQ, IRC, Gadu, Jabber) 之對話內容 IP 與暱稱傳送的檔案 MSN 紀錄 : 詳細記錄使用者使用 MSN 之對話內容 IP 與暱稱傳送的檔案 113

115 圖示說明 : 圖示名稱說明頻寬管理頻寬管理功能已開啟時間排程啟動時間表, 在設定時間範圍內自動執行條例 URL 管制 URL 管制功能已開啟外部網路管制使用哪一條外部網路線路最大頻寬限制限制每來源 IP 位址最大頻寬量或連線數 SKYPE 管制禁止使用 SKYPE 掃毒管制 WEB FTP 掃毒認證需登入帳號密碼, 才可上網連線 IDP BotNet 入侵偵測防禦殭屍木馬病毒偵測及阻擋紀錄管制 HTTP FTP 內對外郵件 IM 或 MSN 的紀錄流量配額每日最多上傳下載頻寬量上網認證該條例使用者需要通過上網認證允許 NAT 運作模式, 允許符合該管制條例的封包進出拒絕拒絕符合該管制條例的封包進出暫停暫停該管制條例的運作啟動啟動該管制條例的運作修改修改該管制條例的內容刪除刪除該管制條例紀錄開啟新視窗, 顯示這個管制條例下的封包通聯記錄 114

116 如何運用管制條例 UTM 多功能防火牆依據不同來源介面過濾封包, 將管制條例設定功能區分為下列六項 ( 在 DMZ 設成 Bridge 模式下只有 5 項 ), 以便利系統管理員, 針對來自不同介面的封包執行管制動作 ( 一 ) LAN 對 WAN 管制 : 來源網路位址是在內部網路區, 目的網路位址是在外部網路區系統管理員在此功能中, 訂定內部網路至外部網路間所有封包的管制服務項目的管制規則 ( 二 ) LAN 對 DMZ 管制 : 來源網路區是內部網路區, 目的網路區是在非軍事區系統管理員在此功能中, 訂定內部網路至非軍事區間所有封包的管制服務項目的管制規則 ( 三 ) DMZ 對 WAN 管制 : 來源網路區是非軍事區, 目的網路區是在外部網路區系統管理員在此功能中, 訂定非軍事區至外部網路間所有封包的管制服務項目的管制規則 ( 四 ) DMZ 對 LAN 管制 : 來源網路區是非軍事區, 目的網路區是在內部網路區系統管理員在此功能中, 訂定非軍事區至內部網路間所有封包的管制服務項目的管制規則,DMZ 設成 Bridge 模式下, 沒有這個管制 ( 五 ) WAN 對 LAN 管制 : 來源網路位址是在外部網路區, 目的網路位址是在內部網路區 ( 如 IP 對映虛擬伺服器 ) 系統管理員在此功能中, 訂定外部網路至內部網路間所有封包的管制服務項目的管制規則 ( 六 ) WAN 對 DMZ 管制 : 來源網路區是外部網路區, 目的網路區是在非軍事區 ( 如 IP 對映虛擬伺服器 ) 系統管理員在此功能中, 訂定外部網路至非軍事區間所有封包的管制服務項目的管制規則 115

117 以範例來說明管制條例如何運作, 在範例中, 總共假設了 6 種管制條例應用環境, 如下表說明編號適用範圍範例環境範例 1 LAN 至 WAN 建立可監控內部使用者上網之管制條例 ( 以應用程式管理頻寬管理時間表為例 ) 範例 2 LAN 至 WAN 禁止使用者存取特定之網路資訊 ( 以特定外部網路 IP 和 URL 管制為例 ) 範例 3 LAN 至 WAN 紀錄內部使用者所有 HTTP 內對外郵件紀錄 IM 紀錄與 MSN 紀錄範例 4 WAN 至 LAN 外部使用者透過遠端遙控軟體操控內部網路之電腦 ( 以 PcAnywhere 為例 ) 範例 5 WAN 至 DMZ 在非軍事區為 NAT 的模式下, 架設 FTP Server, 並限制外部使用者下載的頻寬每日下載時間和最多同步下載連線數範例 6 WAN 至 DMZ DMZ 至 WAN LAN 至 DMZ 在非軍事區為橋接模式下, 架設 Mail Server, 允許內部和外部網路使用者, 透過其收發 116

118 4-1 範例一 : 管理內部上網目的內部某一個特定 IP 位址或是群組, 開放他們在指定的時間內 ( 時間表的應用 ), 限定的頻寬下 ( 頻寬表的應用 ) 使用 P2P 協定下載時對於這使用者使用非 P2P 協定, 則沒有任何限制步驟大綱先將要管理的 P2P 協定管制的時間及頻寬表在管理目標中設定完畢, 再到 LAN to WAN 的管制中建立一條新的管制條例步驟 1. 於管理目標之應用程式管理功能中, 輸入該管制條例名稱, 並在應用程式分類中選擇 P2P 軟體, 並決定是否啟動記錄功能步驟 2. : 按輔助選取按鈕選取要管理的應用程式 :( 圖 4-1) 圖 4-1 設定應用程式管制步驟 3. 按下新增按鈕後, 系統就會將這筆資料建立, 並且顯示出來 ( 圖 4-2) 圖 4-2 應用程式管制列表 117

119 步驟 4. 於管理目標之頻寬管理功能中, 新增一筆頻寬管理管制條例 :( 圖 4-3), UTM 多功能防火牆可以管理對 WAN LAN 介面的上傳及下載頻寬圖 4-3 設定頻寬管制步驟 5. 按下新增按鈕後, 系統就會將這筆資料建立, 並且顯示出來 ( 圖 4-4) 圖 4-4 完成頻寬管制設定步驟 6. 於管理目標之時間表功能中, 完成一筆時間表管制 :( 圖 4-5) 圖 4-5 建立時間表管制 118

120 步驟 7. 於管制條例之 LAN 對 WAN 管制功能中, 新增一條管制條例 UTM 管理者手冊步驟 8. 基本設定區 : 選擇要管制的內部 IP 位址 ( 來源網路 ) 或是自行填入 IP MAC 位址, 在目的網路中可以選擇 (Outside_Any) 或是自行填入 IP MAC 位址, 動作上選擇 ( 允許 ) ( 圖 4-6) 圖 4-6 基本設定步驟 9. 管制行為區 : 將剛剛在管理目標中建立的 3 個管理目標 (P2P 軟體頻寬表時間表 ) 分別選入, 並按下新增按鈕 ( 圖 4-7) 圖 4-7 設定 LAN 對 WAN 管制條例設定步驟 10. 完成內部使用者 (LAN) 對外部網路 (WAN) 之應用程式管理頻寬管理時間表管制行為設定 ( 圖 4-8) 圖 4-8 完成內對外上網管制行為 119

121 4-2 範例二 : 禁止上特定網站目的內部某一個特定 IP 位址或是群組, 不可以上某些網站 ( 或是只允許上這一些網站步驟大綱步驟 1. 先將要管理的網站或外部 IP 位址在管理目標中設定完畢, 再到 LAN to WAN 的管制中建立一條新的管制條例並套用這個 URL 管制 ( 圖 4-9) 步驟 2. 於管理目標之 URL 管理黑白名單設定功能中, 按下新增按鈕, 並輸入名稱及要管制的網站, 每一個網站都是獨立一行,URL 的輸入數量不限步驟 3. 也可以點選預設黑名單設定, 將黑名單的資料庫納進管制中圖 4-9 設定 URL 管制 120

122 步驟 4. 於 URL 設定建立一筆 URL 群組名稱 ( 圖 4-10) 圖 4-10 設定 URL 群組名稱步驟 5. 於位址表之外部 IP 位址表與外部網路群組功能中, 新增外部 IP 位址或群組 ( 圖 4-11) 圖 4-11 設定欲阻擋的外部 IP 註 : 系統管理員可利用位址表內的群組功能, 將自訂的位址表群組化, 這可使在設定管制條例時能更方便 121

123 步驟 6. 在管制條例的 LAN 至 WAN 管制功能中, 新增規則 : 步驟 7. 基本設定區 : 選擇要管制的內部 IP 位址 ( 來源網路 ) 或是自行填入 IP MAC 位址, 在目的網路中可以選擇剛剛制定的外部 IP 位址或是群組, 也可以自行填入 IP MAC 位址步驟 8. 動作上選擇 ( 允許 ), 代表允許用戶瀏覽 URL 設定的網址, 選擇 ( 拒絕 ), 代表拒絕用戶瀏覽 URL 設定的網址 ( 圖 4-12) 圖 4-12 基本設定區步驟 9. 管制行為區 : 將剛剛在管理目標中建立的管理目標 (URL 管制 ) 選入, 並按下新增按鈕 ( 圖 4-13) 圖 4-13 設定具阻擋功能之管制條例 122

124 步驟 10. 完成管制使用者存取特定網路資源之管制條例設定 ( 圖 4-14) 圖 4-14 管制使用者存取特定網路資源之管制條例設定完成註 :URL 管制不一定要搭配外部 IP 位址或是群組 123

125 4-3 範例三 : 紀錄器運作目的內部某一個特定 IP 位址或是群組, 所有 WEB FTP 郵件紀錄 ( 套用在內對外或是外對內的管制條例 ) IM(yhaoo icq irc gadu jabber) MSN 紀錄步驟大綱選擇要紀錄的 IP 位址或是群組, 勾選要紀錄的項目即可步驟 1. 基本設定區 : 輸入管制條例名稱紀錄管制步驟 2. 基本設定區 : 選擇要管制的內部 IP 位址 ( 來源網路 ) 或是自行填入 IP MAC 位址, 在目的網路中可以選擇自訂的外部 IP 位址或是群組, 也可以自行填入 IP MAC 位址, 動作上選擇 ( 允許 ) ( 圖 4-15) 圖 4-15 基本區設置步驟 3. 於 LAN 對 WAN 管制之記錄器設定功能中, 勾選 WEB FTP QQ 紀錄 IM 紀錄 MSN 紀錄與 QQ 紀錄輸入下列設定 :( 圖 4-16) 圖 4-16 新增記錄器設定管制條例步驟 4. 完成紀錄內部使用者所有 WEB FTP 郵件紀錄 IM 紀錄 MSN 紀錄的設定 ( 圖 4-17) 圖 4-17 完成紀錄設定管制 124

126 4-4 範例四 :WAN 對 LAN 的管制目的將外部 IP 位址的特定埠號對應到內部某一個特定 IP 位址的相同或是不同埠號步驟大綱先在虛擬伺服器上選一個外部 IP 位址, 並將要轉到內部網路的埠號及 IP 位址設定好, 再到管制條例的外對內中增加一條允許的條例即可步驟 1. 在虛擬伺服器中選擇一個可以使用的 IP 位址步驟 2. 於對外虛擬伺服器功能中, 新增下列設定 : 外部通訊埠選定 PC_Anywher(5631 埠 5632 埠 ) 對應到內部的 IP 位址 : 按下新增鈕 ( 圖 4-18) 圖 4-18 設定虛擬伺服器步驟 3. 於管制條例之 WAN 對 LAN 管制功能中, 新增下列設定 :( 圖 4-19) 按下新增鈕輸入管制條例名稱外對內管制來源網路設定為 Outside_Any 目的網路選擇 Virtual Server 通訊埠或群組設定為 ALL,ALL 代表所有在虛擬服器上設定的埠對應, 以這個案例是,TCP 5631 與 5632 設定頻寬管理時間表每個來源 IP 能使用的最大連線數啟動外部對內部的郵件記錄啟動 IDP 入侵偵測封包追蹤流量分析與 NAT 啟動防護攻擊設定 125

127 圖 4-19 設定外部遙控內部電腦之管制條例步驟 4. 完成由外部遠端電腦操控內部網路電腦之管制條例設定 ( 圖 4-20) 圖 4-20 完成外部遙控內部電腦之管制條例設定註 : 在服務中顯示 ALL 並不是指所有的通訊埠, 而是定義在虛擬伺服器中的所有通訊埠 126

128 4-5 範例五 :WAN 對 DMZ 的管制目的將外部 IP 位址的特定埠號對應到 DMZ 區的某一個特定 IP 位址的相同或是不同埠號, 並限制外部使用者下載的頻寬和最多同步下載連線數步驟大綱先在虛擬伺服器上選一個外部 IP 位址, 並將要轉到 DMZ 區的埠號及 IP 位址設定好, 再到管制條例的外對 DMZ 中增加一條允許的條例即可步驟 1. 於非軍事區架設一 FTP 伺服器, 其 I P 為 ( 非軍事區的界面位址設為 /24) 步驟 2. 於虛擬伺服器選定外部網路位址, 可藉由輔助選取按鈕選取所需要的項目 ( 圖 4-21) 圖 4-21 設定虛擬伺服器對外 IP 位址步驟 3. 於對外虛擬伺服器功能中, 新增下列設定 : 外部通訊埠選定 FTP(21 埠 ) 虛擬伺服器 IP 位址設定為按下新增鈕 ( 圖 4-22) 圖 4-22 設定虛擬伺服器 IP 位址 127

129 步驟 4. 於頻寬表功能中, 新增下列設定 :( 圖 4-23) 圖 4-23 設定頻寬表步驟 5. 於管制條例之 WAN 對 DMZ 管制功能中, 新增下列設定 : 鍵入管制條例名稱外部至非軍事區管制來源網路設定為 Outside_Any 目的網路選擇 Virtual Server ( ) 通訊埠或群組設定為 ALL, 範例中為 TCP 21 埠設定頻寬管理管制行為按下新增鈕 ( 圖 4-24) 圖 4-24 新增管制條例 128

130 完成限制外部使用者存取非軍事區網路伺服器服務及佔用網路資源之管制條例設定 ( 圖 4-25) 圖 4-25 管制條例設定完成 129

131 4-6 範例六 :WAN 對 Bridge 的管制目的在非軍事區為橋接的模式下, 架設 Mail Server, 允許內部和外部網路使用者, 透過其收發 E- mail 步驟大綱選一個外部 IP 位址, 並將要轉到 DMZ 區的 IP 位址設定好, 管制條例的外對 DMZ 中增加一條允許的條例即可步驟 1. 於非軍事區架設一 Mail 伺服器, 其對外網路 IP 位址為 ( 圖 4-26) 圖 4-26 Mail 伺服器外部網路 IP 位址設定步驟 2. 於虛擬伺服器之內外部通訊埠功能中, 新增 SMTP(25) POP3(110) IMAP(143) DNS(53) 通訊埠 :( 圖 4-27) 圖 4-27 設定含有 POP3 IMAP SMTP 與 DNS 的服務群組 130

步驟 3. 於管制條例之 WAN 對 DMZ 管制功能中, 新增下列設定 : 鍵入管制條例名稱外對內收信管制來源網路設定為 Outside_Any 目的網路選擇 Virtual Server (211.22.

132 步驟 3. 於管制條例之 WAN 對 DMZ 管制功能中, 新增下列設定 : 鍵入管制條例名稱外對內收信管制來源網路設定為 Outside_Any 目的網路選擇 Virtual Server ( ) 通訊埠或群組設定為 ALL ( 包含 POP3 IMAP SMTP DNS) 按下新增鈕 ( 圖 4-28) 圖 4-28 設定外部至非軍事區存取電子郵件服務之管制條例步驟 4. 完成外部至非軍事區存取電子郵件服務之管制條例 ( 圖 4-29) 圖 4-29 完成外部至非軍事區存取電子郵件服務之管制條例設定 131

133 第五章管理目標 5-1 位址表 UTM 多功能防火牆在此單元中提供系統管理員, 定義內部 IP 位址表內部網路群組非軍事區 IP 位址表非軍事區群組外部 IP 位址表外部網路群組的介面位址位址表記錄的 IP 位址可能是一個主機 IP 位址, 也可能是一個網域多個 IP 位址, 系統管理員可以自行設定一個易辨識的名字代表此一 IP 位址或區段基本上位址表根據不同的網路區可分為三種 : 內部網路 IP 位址 (Internal IP Address) 外部網路 IP 位址 (External IP Address) 和非軍事區網路 IP 位址 (DMZ IP Address) 當系統管理員欲將不同 IP 位址封包的過濾規則, 加入相同管制條例時, 可先將這些 IP 位址建立一個內部網路群組外部網路群組或是非軍事區群組, 以簡化設立管制條例工作程序註 : 當位址表設定完成後, 系統管理員在設定管制條例時, 就可選用此位址表名稱, 套用在管制條例的來源網路或目的網路所以位址表的設定應該在管制條例的設定之前, 如此在設定管制條例時, 才可在位址表中挑出正確的 IP 位址名稱位址表名詞解釋 : 電腦名稱系統管理員自訂一個易辨識的名字代表所設定之 IP 位址 IP 位址可以是一個主機 IP 位址, 也可以是一個網域多個 IP 位址可分為三種不同的網路區段 : 內部網路 IP 位址 (Internal IP Address) 外部網路 IP 位址 (External IP Address) 和非軍事區網路 IP 位址 (DMZ IP Address) MAC 位址將特定單一主機之網卡 MAC Address 與其 IP 對映, 可防止使用者更改 IP 位址, 透過它條管制條例, 存取非授權之網路服務 132

134 5-1-1 內部 IP 位址表進入位址表後會出現內部 IP 位址列表, 他把管理者設定的位址表條列出來 ( 圖 5-1) 圖 5-1 內部 IP 位址表 : 如果管理者不知道使用者 MAC 位址, 可藉由輔助選取功能, 快速列出目前 UTM 多功能防火牆蒐集到的電腦名稱 IP 位址與 MAC 位址關係實體位置 : 如果內部有 SNMP 交換器或是協同防禦交換器, 這裡會顯示這個 IP 實際的位置 Port Lock: 內部有協同防禦交換器, 除了顯示這個 IP 實際的位置外, 管理者還可以將這個 IP 跟 MAC 鎖在這個 PORT 上面, 一但互鎖後, 如果使用者將這部電腦換網路孔, 則網路不會通進階 : 可以將這個位址表的內容匯入匯出管理者也可以在這個畫面直接修改電腦名稱 IP 位址及 MAC 位址, 按儲存後就完成修改 ( 圖 5-2) 圖 5-2 內部 IP 位址表輔助選取 133

135 位址表新增方式有兩種方式 : 以 IP 位址方式設定 IP 與 MAC 位址綁定方式設定一 : 以 IP 位址方式設定步驟 1. 於新增電腦名稱及 IP 位址中新增下列設定 : 電腦名稱輸入王建忠 IP 位址輸入設定方式選擇僅設定 IP 位址 ( 圖 5-3) 圖 5-3 以 IP 方式設定位址表 134

136 二 : 以 IP 和 MAC 位址方式設定步驟 2. 於新增電腦名稱及 IP 位址中新增下列設定 : 電腦名稱輸入王建忠 IP 位址輸入 Mac 輸入 00:0C:29:39:C1:05 : 如果此部電腦有透過設備上網過, 按下取得 MAC, 設備會自動填入 MAC 位址 : 如果電腦是用 DHCP 取得 IP 位址, 啟用這個功能, 每次都會取得固定 IP 位址按下新增鈕 ( 圖 5-4) 步驟 3. 完成單筆 IP 位址表設定 ( 圖 5-5) 圖 5-4 新增內部 IP 位址表圖 5-5 完成內部 IP 位址表 135

137 5-1-2 內部網路群組 UTM 多功能防火牆內部網路群組增加方式有七種 : 從位址表選擇成員從範圍選擇成員從 IP/Mask 選擇成員從 DHCP 用戶選擇成員使用者自訂選擇 MAC 位址群組與從 AP 選擇成員 ( 圖 5-6) ( 一 ) 從位址表選擇成員圖 5-6 內部網路群組建立方式步驟 1. 於從位址表選擇成員中新增下列設定 : 群組名稱輸入工程部門設定群組成員, 從左列所有使用者名單挑選群組成員, 移至右列被選擇的使用者按下新增鈕 ( 圖 5-7) 圖 5-7 新增內部網路群 136

138 步驟 2. 完成內部網路群組設定 ( 圖 5-8) 圖 5-8 完成內部網路群組 ( 二 ) 從範圍表選擇成員步驟 1. 於從範圍選擇成員中新增下列設定 : 群組名稱輸入工程部門設定群組成員, 可輸入網段內開始跟結束的 IP 位址, 並可選擇是否要綁定 MAC 帳號 ( 圖 5-9) 圖 5-9 新增內部網路群 137

139 步驟 2. 完成內部網路群組設定 ( 圖 5-10) 圖 5-10 完成內部網路群組 138

140 ( 三 ) 從 IP/Mask 表選擇成員步驟 1. 於從 IP/Mask 選擇成員中新增下列設定 : 群組名稱輸入工程部門設定群組成員, 可直接輸入 IP 與網路遮罩 ( 圖 5-11) 步驟 2. 完成內部網路群組設定 ( 圖 5-12) 圖 5-11 新增內部網路群圖 5-12 完成內部網路群組 139

141 ( 四 ) 從 DHCHP 用戶選擇成員步驟 1. 於從 DHCP 用戶選擇成員中新增下列設定 : 群組名稱輸入工程部門可以啟用 IP-MAC 位址綁定的功能 ( 圖 5-13) 圖 5-13 新增內部網路群步驟 2. 完成內部網路群組設定 ( 圖 5-14) 圖 5-14 完成內部網路群組 140

142 ( 五 ) 使用者自訂步驟 1. 於使用者自訂中新增下列設定 : 群組名稱輸入工程部門設定群組成員, 可直接輸入 IP 位址可以啟用 IP-MAC 位址綁定的功能 ( 圖 5-15) 圖 5-15 新增內部網路群, 使用者自訂 141

143 ( 六 ) 選擇 MAC 位址群組步驟 1. 於 MAC 位址群組中新增下列設定 : 群組名稱輸入工程部門設定群組成員, 可直接輸入 MAC 位址可以啟用 IP-MAC 位址綁定的功能 ( 圖 5-16) 圖 5-16 新增內部網路群, 選擇 MAC 位址群組 142

144 ( 七 ) 從 AP 選擇成員步驟 1. 於從 AP 選擇成員中新增下列設定 : 群組名稱輸入工程部門 AP 成員可依 SSID 群組名稱或 AP 名稱做選擇, 並依 IP 位址 MAC 位址或 IP&MAC 位址做選擇 ( 圖 5-17) 圖 5-17 新增內部網路群, 從 AP 選擇成員 143

145 5-1-3 非軍事區 IP 位址非軍事區 IP 位址表非軍事區位址表建立方式同之前我們所介紹內部 IP 位址建立方式一樣, 在此單元我們僅以 IP 結合 MAC 方式闡述步驟 1. 於新增電腦名稱及 IP 位址中新增下列設定 : 電腦名稱輸入 WEB IP 位址 / 網路遮罩輸入 Mac 可藉由輔助選取增加 : 如果此部電腦有透過設備上網過, 按下取得 MAC, 設備會自動填入 MAC 位址按下新增鈕 ( 圖 5-18) 圖 5-18 新增單筆非軍事 IP 位址表步驟 2. 完成單筆非軍事 IP 位址表設定 ( 圖 5-19) 圖 5-19 完成非軍事 IP 位址表建立 144

146 5-1-4 非軍事區群組 UTM 多功能防火牆非軍事區群組增加方式有五種 : 從位址表選擇成員從範圍選擇成員從 IP/Mask 選擇成員從 DHCP 用戶選擇成員使用者自訂 ( 圖 5-20) ( 一 ) 從位址表選擇成員圖 5-20 非軍事區群組建立方式步驟 1. 於新增群組名稱及選擇成員中新增下列設定 : 群組名稱輸入工程部門設定群組成員, 從左列所有使用者名單挑選群組成員, 移至右列被選擇的使用者按下新增鈕可以啟用 IP-MAC 位址綁定的功能 ( 圖 5-21) 圖 5-21 新增非軍事區網路群 145

147 步驟 2. 完成非軍事區群組設定 ( 圖 5-22) 圖 5-22 完成非軍事區網路群組 ( 二 ) 從範圍表選擇成員步驟 1. 於新增群組名稱及選擇成員中新增下列設定 : 群組名稱輸入工程部門設定群組成員, 可輸入網段內開始及結束 IP 位址, 並可選擇是否要綁定 MAC 帳號 ( 圖 5-23) 圖 5-23 新增非軍事區網路群步驟 2. 完成非軍事區網路群組設定 ( 圖 5-24) 圖 5-24 完成非軍事區網路群組 146

148 ( 三 ) 從 IP/MASK 選擇成員步驟 1. 於新增群組名稱及選擇成員中新增下列設定 : 群組名稱輸入工程部門設定群組成員, 可直接輸入 IP 與網路遮罩 ( 圖 5-25) 圖 5-25 新增非軍事內部網路群步驟 2. 完成非軍事網路群組設定 ( 圖 5-26) 圖 5-26 完成非軍事網路群組 147

149 ( 四 ) 從 DHCHP 用戶選擇成員步驟 1. 於新增群組名稱及選擇成員中新增下列設定 : 群組名稱輸入工程部門選定是否綁定 IP-MAC 位址 ( 圖 5-27) 圖 5-27 新增非軍事網路群步驟 2. 完成非軍事網路群組設定 ( 圖 5-28) 圖 5-28 完成非軍事網路群組 148

150 ( 五 ) 使用者自訂步驟 1. 於使用者自訂中新增下列設定 : 群組名稱輸入工程部門設定群組成員, 可直接輸入 IP 位址可以啟用 IP-MAC 位址綁定的功能 ( 圖 5-29) 圖 5-29 新增內部網路群, 使用者自訂 149

151 ( 六 ) 選擇 MAC 位址群組訂步驟 1. 於使用者自訂中新增下列設定 : 群組名稱輸入工程部門設定群組成員, 可直接輸入 MAC 位址 ( 圖 5-30) 圖 5-30 新增內部網路群, 使用者自訂 150

152 ( 七 ) 從 AP 選擇成員步驟 2. 於從 AP 選擇成員中新增下列設定 : 群組名稱輸入工程部門 AP 成員可依 SSID 群組名稱或 AP 名稱做選擇, 並依 IP 位址 MAC 位址或 IP&MAC 位址做選擇 ( 圖 5-31) 圖 5-31 新增內部網路群, 從 AP 選擇成員 151

5-1-5 外部 IP 位址外部 IP 位址表步驟 1. 於外部 IP 位址表中新增下列設定 : 電腦名稱輸入王建忠家裡 IP 位址 / 網路遮罩輸入 172.68.95.85/255.

153 5-1-5 外部 IP 位址外部 IP 位址表步驟 1. 於外部 IP 位址表中新增下列設定 : 電腦名稱輸入王建忠家裡 IP 位址 / 網路遮罩輸入 / , 按下新增鈕 ( 圖 5-32) 圖 5-32 單筆外部 IP 位址表步驟 2. 完成單筆外部 IP 位址表設定 ( 圖 5-33) 圖 5-33 單筆外部 IP 位址表建立 152

154 5-1-6 外部網路群組外部網路群組建立方式有四種 : 從位址表選擇成員從範圍選擇成員從 IP/Mask 選擇成員從 DHCP 用戶選擇成員 ( 一 ) 從位址表選擇成員步驟 1. 於新增群組名稱及選擇成員中新增下列設定 : 群組名稱輸入工程部門設定群組成員, 從左列所有使用者名單挑選群組成員, 移至右列被選擇的使用者按下新增鈕 ( 圖 5-34) 圖 5-34 新增外部網路群組 153

155 步驟 2. 完成外部網路群組設定 ( 圖 5-35) 圖 5-35 完成外部網路群組 154

156 ( 二 ) 從範圍表選擇成員步驟 1. 於新增群組名稱及選擇成員中新增下列設定 : 群組名稱輸入業務部門設定群組成員, 可輸入網段內開始及結束 IP 位址 ( 圖 5-36) 圖 5-36 新增外部網路群步驟 2. 完成外部網路網路群組設定 ( 圖 5-37) 圖 5-37 完成外部網路群組 155

157 ( 三 ) 從 IP/MASK 選擇成員步驟 1. 於新增群組名稱及選擇成員中新增下列設定 : 群組名稱輸入工程部門設定群組成員, 可直接輸入 IP 與網路遮罩 ( 圖 5-38) 圖 5-38 新增外部網路群組步驟 2. 完成外部網路群組設定 ( 圖 5-39) 圖 5-39 完成外部網路群組 156

158 ( 四 ) 使用者自訂 IP 步驟 1. 於使用者自訂中新增下列設定 : 群組名稱輸入工程部門設定群組成員, 可直接輸入 IP 位址 ( 圖 5-40) 圖 5-40 新增外部網路群組, 使用者自訂步驟 2. 完成外部網路群組設定 ( 圖 5-41) 圖 5-41 完成外部網路群組 157

159 註 1:LAN 或 DMZ 下以自動透過 SHARETECH UTM 多功能防火牆內建的 DHCP 伺服器取得 IP 之 PC, 就會被配發在位址表內指定之 IP 給相對映的 MAC Address 註 2: 在位址表之內部 IP 位址表功能中,SHARETECH UTM 多功能防火牆會自動預設一條 Inside_Any 的位址表, 此位址表代表了整個內部網路其他如外部 IP 位址表非軍事區 IP 位址表一樣有代表整個網域的 Outside_Any 與 DMZ_Any 預設位址表設定註 3: 位址表之內部 IP 位址表與非軍事區 IP 位址表其設定模式與內部 IP 位址表相同 ; 唯一的不同是外部 IP 位址表無法設定 MAC 位址 158

160 ( 五 ) 使用者自訂 Domain 步驟 1. 於使用者自訂中新增下列設定 : 群組名稱輸入工程部門設定群組成員, 可直接輸入 domain 名稱 ( 圖 5-42) 圖 5-42 新增外部網路群組, 使用者自訂步驟 2. 完成外部網路群組設定 ( 圖 5-43) 圖 5-43 完成外部網路群組 159

161 5-2 服務表 TCP 協定和 UDP 協定提供各種不同的服務, 每一個服務都有一個 TCP 埠 (TCP Port) 號碼或 UDP 埠 (UDP Port) 號碼代表, 如 TELNET(23),FTP(21),SMTP(25),POP3(110), 等基本服務表包含了比較常用已預告定義的 TCP 服務或 UDP 服務此類服務不能修改也不可刪除此外使用者也可依自己的需求到自訂服務表設定適當 TCP 埠和 UDP 埠號碼在自訂服務時, 客戶端埠 (Client Port) 設定的區間一般為 1024:65535, 伺服器端埠 (Server Port) 號碼則是設定在 0:65535 之間 UTM 多功能防火牆在此單元中, 將一些常用的網路服務列入各項表列的服務選單中 ( 基本服務自訂服務與服務群組 ) 系統管理員只需依照下列操作說明, 將網路協定與出入埠號碼定義在各種網路通訊應用中, 用戶端即可與各種不同伺服器連線, 傳輸資料如何運用服務表系統管理員可以在服務表的服務群組選項中, 新增服務群組名稱, 將要提供的服務包含進去有了服務群組的功能, 管理員在制訂管制條例時可以簡化許多流程例如, 有 10 個不同 IP 位址可以對伺服器存取 5 個不同的服務, 如 HTTP FTP SMTP POP3 和 TELNET, 如果不使用服務群組的功能, 總共需制定 10x5=50 條管制條例, 但使用服務群組名稱套用在服務選項上, 則只需一條管制條例即可達到 50 條管制條例的功能 160

162 5-2-1 基本服務表服務表名詞解釋 : 基本服務 :: 視窗表格內圖示與名詞名稱 :( 圖 5-44) 基本服務列表 : 圖 5-44 基本服務表圖示說明任何服務 TCP 服務, 如 :Gepher ICQ Ident LDAP NTTP over SSL PPTP SFTP SSH Terminal WINFRAME AFPoverTCP FTP H323 L2TP MSN Messenger POP2 SMTP over SSL Yahoo AOL Finger HTTP IMAP over SSL LDAP Admin NNTP POP3 over SSL RLOGIN SMTP VNC BGP GNUTella HTTPS IMAP LDAPover SSL POP3 Real Audio Telnet WAIS UDP 服務, 如 :DNS TFTP NTP SNMP IKE SYSLOG RIP UUCP 等服務群組名稱系統管理員可在此為自訂的服務命名通訊協定設備彼此之間溝通所需求之協定, 一般常用為 TCP 和 UDP 模式使用的通訊埠自訂服務時, 客戶端埠 (Client Port) 設定的區間一般為 1024:65535, 伺服器端埠 (Server Port) 號碼則是設定在 0:65535 之間 161

163 5-2-2 服務群組新增單筆服務表步驟 1. 在服務表的服務群組功能中, 新增下列設定 :( 圖 5-45) 設定服務群組名稱為預定的名稱 VoIP 通訊協定選擇為 TCP, 使用的通訊埠設為 0:65535( 代表所有的通訊埠都屬於 VoIP), 按下新增鈕 : 按下輔助選取按鈕, 系統會開啟, 讓管理者選取預設的服務系統預設為 8 組通訊埠組合, 按下 More 按鍵後可以擴充到 16 組圖 5-45 自訂服務 Web UI 設定畫面完成後列表如下 :( 圖 5-46) 圖 5-46 VoIP 自訂服務設定完成 162

164 新增服務群組將所需的服務群組化, 並限制特定使用者僅能透過管制條例上網存取此群組提供之服務資源 ( 群組 :HTTP POP3 SMTP DNS) 步驟 1. 在服務表的服務群組功能中, 新增下列設定 : 按下新增鈕 ( 圖 5-47) 設定名稱為預定的名稱 Main_Service 圖 5-47 新增 Main_Server 服務群組 163

165 藉由輔助選取, 在可選取的服務欄位中選取 HTTP POP3 SMTP DNS, 按下選擇鈕, 每次只能選取一個服務 ( 圖 5-48) 圖 5-48 藉由輔助選取新增服務群組完成後列表如下 :( 圖 5-49) 圖 5-49 完成服務群組新增 164

166 5-3 時間表 UTM 多功能防火牆在此單元中提供系統管理員, 在時間表中定義網路系統連結與執行的時間區段以便在管制條例功能中, 選擇特定時間內開放資料封包的出入利用時間表的自動執行功能, 系統管理員可以節省許多管理時間, 同時讓網路系統發揮最大的效能如何運用排程表系統管理員可利用時間表功能, 設定系統在多個不同的時間區段內, 自動執行設定封包流向的管制條例 165

167 內部使用者一週中每天透過管制條例, 存取網路資料的有效時段步驟 1. 在時間表功能中, 新增下列設定 : 設定時間表名稱為 worktime 設定每天時間表運作之時間, 包含開始時間及結束時間, 按下新增鈕, 完成設定 ( 圖 5-50) 圖 5-50 時間表 Web UI 設定畫面完成後列表如下 :( 圖 5-51) 圖 5-51 時間表設定完成註 :UTM 多功能防火牆時間表讓管理者可以一目了然掌握控管的時間 166

168 步驟 2. 將時間表套用至管制條例上 ( 圖 5-52) 圖 5-52 建立 LAN 對 WAN 管制條例設定完成後列表如下, 在管制行為中會出現的圖示 :( 圖 5-53) 圖 5-53 完成時間表套用至管制條例設定註 1: 時間表必須配合管制條例使用註 2: 當您設定全天候時間 (00:00~24:00), 則建立該筆時間表時會以表示 167

169 5-4 頻寬管理 UTM 多功能防火牆經由頻寬表的參數設定, 可以控管其上傳下載的頻寬, 管理人員可依據外部網路所能提供的頻寬, 來設定下載速度 : 保證頻寬及最大頻寬上傳速度 : 保證頻寬及最大頻寬優先權 : 設定上傳或下載未設定使用的頻寬分配優先權 UTM 多功能防火牆依據不同頻寬表, 來設定對外的頻寬, 並藉由管制條例選擇適合的頻寬表設定加以控管, 可有效分配頻寬, 便利系統管理員, 針對所能使用的頻寬達到最佳之利用 UTM 多功能防火牆採用 IMQ 技術, 所以跟傳統作 NAT / Routing 的 linux 伺服器的頻寬管理機制不一樣, 他可以單獨控制每一個網路介面的上下載速度例如, 可以控制 LAN 介面的上下載速度, 就可以控制內部用戶的上下載速度, 而不需要將上下載速度分別在 LAN 及 WAN 的介面上目前 UTM 多功能防火牆支援 3 種頻寬控制機制, 分別是每個條例能使用的頻寬每個內部來源 IP 能使用的頻寬每個外部來源 IP 能使用的頻寬其中每個內部來源 IP 能使用的頻寬又可以選擇啟用 Smart QoS 機制, 啟用這個機制後, 系統會根據內部使用者目前開機狀態, 每隔 2 分鐘, 根據剩餘的頻寬, 動態調整 Smart QoS 機制只控制內部網路或是非軍事區的介面頻寬, 因為 IMQ 技術的關係, 所以控制單一個網路介面就可以完整控制上下載速度頻寬管理名詞解釋 : 介面指內部網路 LAN 非軍事區網路 DMZ 外部網路 WAN 1 WAN2 的線路上傳速度所申請線路運用的上傳頻寬之保證頻寬及最大頻寬設定下載速度所申請線路運用的下載頻寬之保證頻寬及最大頻寬設定優先權設定上傳或下載未使用的頻寬分配優先權, 分成 1 ~7 個不同等級, 數字越小, 優先權越高保證頻寬該頻寬表的最少基本頻寬, 套用此頻寬表的管制條例, 將會至少保留所設定的頻寬最大頻寬該頻寬表的最大頻寬, 有套用此頻寬表的管制條例其頻寬將不會超過所設定的頻寬 Smart QoS 根據條例下的電腦開機數量, 每 2 分鐘動態的上調或下降每個人可以分配的頻寬 168

170 模式一每個條例能使用的頻寬套用此頻寬管理, 條例上的所有 IP 位址及服務均共用設定的頻寬步驟 1. 在頻寬表功能中, 新增下列設定 : 按下新增鈕 ( 圖 5-54) 於名稱處設定此頻寬表之名稱選擇頻寬設定模式為每個條例能使用的頻寬在網路介面 LAN DMZ WAN1 WAN2 中, 輸入所要限定之頻寬大小決定頻寬表之優先權, 按下新增鈕圖 5-54 頻寬表 Web UI 設定畫面 169

171 模式二每個內部來源 IP 能使用的頻寬套用此頻寬管理, 條例上的每一個 IP 位址及服務, 可以分配到的頻寬, 例如, 分配給每個 IP 位址可以下載 512K, 當內部有 100 台電腦上網時, 總頻寬可能用到 512K*100 = 51.2Mbps 的需求步驟 1. 在頻寬表功能中, 新增下列設定 : 按下新增鈕 ( 圖 5-55) 於名稱處設定此頻寬表之名稱選擇頻寬設定模式為每個內部來源 IP 能使用的頻寬在網路介面 LAN DMZ WAN1 WAN2 中, 輸入所要限定之頻寬大小決定頻寬表之優先權, 按下新增鈕圖 5-55 內部每個來源 IP 頻寬設定啟用 Smart QoS 機制後, 除了內部網路 / 非軍事區外, 其他的頻寬設定都無法輸入, 因為會自動調整分配到 WAN 的頻寬, 所以一開始給 LAN 的上下載速度, 系統會自動調整分配頻寬到 WAN 的介面 170

172 模式三每個外部來源 IP 能使用的頻寬套用此頻寬管理, 條例上的每一個外部來源 IP 位址, 可以分配到的頻寬, 例如, 不希望某一個外部 IP 位址將對外伺服器的頻寬用完, 就可以套用此規則, 來自外面的 IP 位址對伺服器最多只能用多少上下載速度, 確保頻寬服務正常步驟 1. 在頻寬表功能中, 新增下列設定 : 按下新增鈕 ( 圖 5-56) 於名稱處設定此頻寬表之名稱選擇頻寬設定模式為每個外部來源 IP 能使用的頻寬在網路介面 LAN DMZ WAN1 WAN2 中, 輸入所要限定之頻寬大小決定頻寬表之優先權, 按下新增鈕圖 5-56 外部每個來源 IP 頻寬設定 171

173 套用完畢後, 在頻寬表列表中會清楚地列出, 每一個頻寬表的控制方式及方法 ( 圖 5-57) None: 每個條例能使用的頻寬 Outgoing: 每個內部來源 IP 能使用的頻寬 Outgoing (Smart) : 每個內部來源 IP 能使用的頻寬, 並啟用 Smart Qos 機制 Incoming: 每個外部來源 IP 能使用的頻寬圖 5-57 頻寬列表說明 172

174 5-5 應用程式管理應用程式管理的項目非常多, 但是有很多是使用者比較少再使用的, 如果將這些管制全開的話, 可能或多或少會影響系統運作效能因此, 為了維持系統運作的順暢,ShareTech 將應用程式區分為常用與不常用類別, 方便管理者進行管制 : 常用 :P2P 軟體管制即時通訊軟體管制 VOIP 管制 WEB 的應用管制 WEB Mail 管制娛樂軟體管制其他不常用 :2P 軟體管制即時通訊軟體管制 WEB 副檔名下載管制 WEB 副檔名上傳管制影音應用軟體管制娛樂軟體管制防病毒惡意軟體管制禁用股票軟體其他 ( 一 ) 常用 : P2P 軟體管制 : 管制 ares (Ares) bittorrent (Bit Torrent) edonkey (Edonkey) ezpeer (ezpeer) foxy (Foxy) gogobox (GoGoBox) clubbox(clubbox) imesh (imesh) soulseek (P2P) winmx (WinMX) xunlei(thunder5) 使用即時通訊軟體 : 管制 aim (ICQ/AIM) googletalk (Google Talk) msnmessenger (MSN) qq (QQ) webim (WebIM) yahoo (Yahoo) 登入的權限 VOIP 管制 : 管制 h323 (H.323) jabber (An open instant messenger protocol) sip (SIP) 使用的權限 WEB 的應用管制 http-audio (Audio over HTTP) http-video (Video over HTTP) WEB Mail 管制 webmail_163 (163/126/Yeah) webmail_gmail (Gmail) webmail_hinet (Hinet) webmail_live (Hotmail) webmail_pchome (PChome) webmail_qq (QQ) webmail_seednet (Seednet) webmail_sohu (Sohu) webmail_yahoo (Yahoo) 娛樂軟體管制管制 ppstream (PPStream ) cradio (Tornado Broadcast) hinedo (Hinedo Broadcast) qqlive ( QQLive ) funshion (Funshion Video) kuaibo (Kuaibo Video ) pplive (PPLive ) baofeng ( baofeng ) 其他管制管制 facebook(facebook) netpas (NETPAS ACC) phproxy (HTTP proxy written in PHP) rdp (Remote Desktop) vnc (VNC) teamviewer(teamviewer) 173

175 ( 二 ) 不常用 P2P 軟體管制管制 100bao (100bao) fasttrack (Fasttrack) freenet (Anonymous information retrieval) gnotella (Gnotella) gnucleuslan (LAN-only P2P) gnutella (P2P) goboogy (Korean P2P) hotline (An old P2P) limewire (Limewire) mactella (gnutella) morpheus (Morpheus) mute (MUTE) mxie (bittorrent, edonkey) napster (P2P) openft (A P2P filesharing protocol) poco (Chinese P2P) soribada (A Korean P2P) thecircle (P2P) vagaa (P2P) tesla (P2P) applejuice (AppleJuice) audiogalaxy (AudioGalaxy) bearshare (BearShare) directconnect (DirectConnect) kazaa (KaZaa) 即時通訊軟體管制管制 aimwebcontent (AIM web content) chikka (Chikka - SMS service) cimd (SMSC protocol by Nokia) irc (Internet Relay Chat) msn-filetransfer (MSN File Transfer) stun (Simple Traversal of UDP Through NAT) ) 使用的權限 WEB 副檔名下載管制 exe flash gif html jpeg mp3 ogg pdf perl png postscript rar rpm rtf tar zip WEB 副檔名上傳管制 uexe uflash ugif uhtml ujpeg ump3 uogg updf uperl upng upostscript urar urpm urtf utar uzip 影音應用軟體管制 Live365(An Internet radio site) feplaytv-ivs(replaytv Internet Video Sharing) shoutcast(streaming audio) 娛樂軟體管制 armagetron (Armagetron Advanced) battlefield1942 (Battlefield 1942) battlefield2 (Battlefield 2) battlefield2142 (Battlefield 2142) counterstrike-source (network game) dayofdefeat-source (game Half-Life2 mod) doom3 (Doom3-computer game) halflife2- deathmatch (Half-Life 2) liveforspeed (A racing game) mohaa (Medal of Honor Allied Assault) quake-halflife (Half-Life 1) quake1 (Quake) subspace (Subspace) teamfortress2 worldofwarcraft (World of Warcraft) xboxlive (Xbox Live) 登入的權限防病毒惡意軟體管制 : 管制 code_red nimda 禁用股票軟體 : 管制 cjis ( 中投卓越 ) dqs ( 大趨勢 ) dzh ( 大智慧 ) gtja ( 國泰君安 ) gzs ( 廣州證券 ) hexun ( 和訊股道 ) pobo ( 博易大師 ) qianlong ( 錢龍 ) stockstar ( 證券之星 ) westfutu ( 西部期貨 ) whsp ( 文華財經 ) 174

176 其他 ciscovpn (Cisco VPN server ) citrix (Citrix ICA ) ncp (Novell Core Protocol ) pcanywhere ( pcanywhere ) radmin (Famatech Remote Administrator ) ssh (Secure SHell ) uucp (Unix to Unix Copy ) validcertssl httpcachehit (Proxy Cache hit ) httpcachemiss (Proxy Cache miss ) http-dap (Download Accelerator Plus ) http-freshdownload ( Fresh Download ) http-itunes (itunes ) http-rtsp (RTSP tunneled ) skypetoskype (Skype-to- Skype ) teamspeak ( Teamspeak ) ventrilo (Ventrilo ) 175

177 限制內部使用者以點對點軟體存取網路上之檔案步驟 1. 在應用程式管理之 P2P 軟體功能中, 設定下列資料 : 管制名稱設定為 P2P 管制在應用程式分類中選 P2P 軟體, 按下輔助選取鈕, 會出來一個新的視窗, 選擇要管制的軟體或者是全選, 再按新增鈕, 就完成一個 P2P 的管制 ( 圖 5-58) 圖 5-58 點對點軟體管制表設定畫面完成後列表如下 :( 圖 5-59) 圖 5-59 完成 P2P 管制設定畫面 176

178 步驟 2. 於應用程式管制條例裡, 可立即看出目前 P2P 管制項目有哪些 ( 圖 5-60) 圖 5-60 顯示目前控管哪些 P2P 項目步驟 3. 就算管制條例目前正在運作, 管理者還是可以直接從應用程式管理直接增加管制項次, 點選 P2P 欄位直接選取, 按下選擇鍵後, 新的應程式管制馬上生效 177

179 即時通訊軟體管制步驟 1. 在應用程式管理之即時通訊軟體功能中, 設定下列資料 : 管制名稱設定為即時通訊管制在應用程式分類中選即時通訊軟體, 按下輔助選取鈕, 會出來一個新的視窗, 選擇要管制的軟體或者是全選, 再按新增鈕, 就完成一個即時通訊軟體的管制 ( 圖 5-61) 圖 5-61 即時通訊管制表設定畫面 178

180 步驟 2. 於應用程式管制條例裡, 可立即看出目前即時通訊管制項目有哪些 ( 圖 5-62) 圖 5-62 顯示目前控管哪些即時通訊管制項目步驟 3. 就算管制條例目前正在運作, 管理者還是可以直接從應用程式管理直接增加管制項次, 點選即時通訊欄位直接選取, 按下選擇鍵後, 新的應程式管制馬上生效 179

181 WEB 應用服務管制步驟 1. 在應用程式管理之 WEB 的應用管制功能中, 設定下列資料 : 管制名稱設定為 WEB 管制在應用程式分類中選 WEB 應用, 按下輔助選取鈕, 會出來一個新的視窗, 選擇要管制的軟體或者是全選, 再按新增鈕, 就完成一個 WEB 應用的管制 ( 圖 5-63) 圖 5-63 HTTP 管制設定畫面 180

182 步驟 2. 於應用程式管制條例裡, 可立即看出目前 WEB 管制項目有哪些 ( 如 5-64) 圖 5-64 顯示目前控管哪些 WEB 應用程式就算管制條例目前正在運作, 管理者還是可以直接從應用程式管理直接增加管制項次, 點選 WEB 應用欄位選取, 按下選擇鍵後, 新的應程式管制馬上生效 181

183 娛樂軟體管制步驟 1. 在應用程式管理之娛樂軟體管制功能中, 設定下列資料 : 管制名稱設定為遊戲管制在應用程式分類中選娛樂軟體, 按下輔助選取鈕, 會出來一個新的視窗, 選擇要管制的軟體或者是全選, 再按新增鈕, 就完成一個娛樂軟體的管制 ( 圖 5-65) 圖 5-65 設定娛樂軟體管制名稱 182

184 步驟 2. 於應用程式管制條例裡, 可立即看出目前娛樂軟體管制項目有哪些 ( 圖 5-66) 圖 5-66 顯示目前控管哪些娛樂軟體步驟 3. 就算管制條例目前正在運作, 管理者還是可以直接從應用程式管理直接增加管制項次, 點選娛樂軟體欄位選取, 按下選擇鍵後, 新的應程式管制馬上生效其他通訊軟體防病毒惡意病毒管制在應用程式管理之其他功能中, 設定下列資料, 動作跟 P2P 體管制一樣 183

185 5-6 URL 管制可控管使用者瀏覽的網站, 避免員工摸魚降低工作效率 ; 亦可預先過濾惡意網站, 避免使用者在不知情的狀況下遭植入惡意程式病毒, 以確保區域網路安全系統管理員可透過完整網域名稱關鍵字針對特定網站作允許或拒絕進入的制訂,URL 名稱必須為完整的域名名稱或者關鍵字名稱, 並透過管制條例達到管制功能 UTM 多功能防火牆對網站的控管基準, 分為白名單黑名單網站類別與群組四種 ( 一 ) 群組 : 系統管理員可組合所設定的白名單黑名單或網站類別項目, 制定網站管制規則 ( 二 ) 黑名單 : 系統提供完整與模糊的黑名單比對方式, 完整比對方式是必須符合所有設定字元才會過濾, 模式則是只要有相關的字元符合就過濾 ( 三 ) 白名單 : 系統提供完整與模糊的白名單比對方式, 完整比對方式是必須符合所有設定字元才會過濾, 模式則是只要有相關的字元符合就過濾 ( 四 ) 預設黑名單設定 : 系統管理員可針對網站分類, 設定阻擋存取的規則 184

186 位址表名詞解釋 : URL 設定管理者可以輸入關鍵字眼進行 URL 管制, 例如要管制最夯的 Facebook 網站, 只要輸入 facebook 關鍵字即可, 需注意事項, 系統只針對網域名稱進行關鍵比對, 在網域名稱後來所帶位址並不能有效過濾阻擋例如 : 下列網址所列,UTM 多功能防火牆只會針對藍色名稱位址進行關鍵比對過濾, 而 / 後方所列網址並不能過濾阻擋並需列入詳細網址才能管制阻擋結果網頁設定可在此設定連線被被阻擋的網站時, 於瀏覽器所顯示的警訊黑名單設定系統管理員可透過完整網域名稱關鍵字或 IP 位址, 設定組檔存取的特定網址白名單設定系統管理員可透過完整網域名稱關鍵字或 IP 位址, 設定開放存取的特定網址預設黑名單可分為語言暴力線上影音藥品賭博駭客成人網站代理過濾器轉頁後門程式不信任網站暴力網站與非法盜版預設頁面阻擋設定可在此設定 UTM 多功能防火牆阻擋網站時, 於使用者瀏覽器所顯示的警訊比對模式提供兩種比對模式, 分別為完整與模糊完整模式為需全部都符合才行, 模糊模式是只要關鍵字有部分符合就可以了例如 : 要封鎖 yahoo 網站如果使用完整模式, 則需輸入或兩種網址, 如選擇模糊模式, 則只要輸入 yahoo, 就可以將相關與 yahoo 網址有關的封鎖記錄 UTM 多功能防火牆可將其網站管制記錄做成記錄, 使企業可以了解到整體網站存取的狀況項目適用範圍範例環境範例一僅允許內部使用者存取特定網站使用白名單與黑名單來限制內部使用者存取特定網址範例二禁止內部使用者存取特定網站使用白名單與黑名單來限制內部使用者存取特定網址範例三網站類別限制內部使用者連線特定類型的網站 185

187 5-6-1 URL 管制範例一 : 僅允許內部使用者存取特定網站目的僅開放特定網站可進入步驟大綱先將欲開放網站一一加入網站管制中, 可輸入完整名稱或模糊名稱 ( 如 : 或 gov) 在所有欲開放的網站設定完成後, 於網站管制中, 動作行為設定為允許指令, 並在下一條條例將所有的 HTTP 服務設為拒絕, 則除了開放網站外, 其他網站一律禁止步驟 1. 在 URL 管理的黑白名單設定功能中, 新增並鍵入下列資料 : 名稱設為 google 名單模式選取白名單模式自訂黑白名單設定中,URL 白名單輸入 google.com, 每一行為一筆資料, 如果想管理多個 URL, 可以在下一行中輸入新的域名 ( 圖 5-67) 也可自行設定 IP 白名單圖 5-67 URL 管制建置畫面 186

188 步驟 2. 於 URL 設定中設定一筆 google 放行群組名稱 ( 圖 5-68) 管理者可以選擇是否要啟動自訂頁面阻擋, 並設定顯示頁面的內容與主題名稱圖 5-68 設定 URL 群組名稱步驟 3. 套用管制條例, 於管制條例之 LAN 對 WAN 管制功能中新增一條管制條例, 並套用 URL 管制, 並把動作設為允許 ( 圖 5-69) 圖 5-69 套用 URL 管制條例 187

189 步驟 4. 再新增一條所有其他的 HTTP 要求全部禁止步驟 5. 於管制條例之 LAN 對 WAN 管制功能中, 完成僅允許內部使用者透過管制條例存取特定網站的資料, 如下圖所示 :( 圖 5-70) 圖 5-70 完成 url 管制之管制條例設定 188

190 範例二 : 禁止內部使用者存取特定網站目的禁止內部用戶進入特定網站步驟大綱先將欲管制網站一一加入網站管制中, 可輸入完整名稱或模糊名稱 ( 如 : 或 gov) 在所有欲禁止的網站設定完成後, 於網站管制中, 動作行為設定為禁止指令, 則所有人要進入這些網站都會被禁止掉步驟 1. 在 URL 管理的黑白名單設定功能中, 新增並鍵入下列資料 : 名稱設為 pchome 限制名單模式選取黑名單模式自訂黑白名單設定中,URL 黑名單輸入每一行為一筆資料, 如果想管理多個 URL, 可以在下一行中輸入新的域名 ( 圖 5-71) 也可自行設定 IP 黑名單圖 5-71 URL 管制建置畫面 189

191 步驟 2. 於 URL 設定中設定一筆 pchome 上網限制群組名稱 ( 圖 5-72) 勾選啟動自訂頁面阻擋設定阻擋主題名稱及欲顯示的內容, 管理者可先藉由顯示瀏覽網頁設定名單選取 pchome 限制按下新增鈕, 完成 URL 群組名稱設定 ( 圖 5-73) 圖 5-72 設定 URL 群組名稱圖 5-73 完成 URL 群組名單設定 190

192 步驟 3. 於管制條例之 LAN 對 WAN 管制功能中新增一條管制條例, 並套用 URL 管制, 並把動作設為拒絕 ( 圖 5-74) 圖 5-74 URL 管制之管制條例設定步驟 4. 於管制條例之 LAN 對 WAN 管制功能中, 完成禁止內部使用者透過管制條例存取特定網站的資料, 如下圖所示 :( 圖 5-75) 圖 5-75 完成 url 管制之管制條例設定註 1: 如果要優先管制特定使用者上網情形, 需先將管制條例優先權往前面調整 191

193 範例三 : 網站類別目的限制內部使用者連線特定類型的網站步驟大綱步驟 1. 在 URL 管理的黑白名單設定功能中, 新增並鍵入下列資料 :( 圖 5-76) 名稱設為 URL 網站類別勾選語言暴力成人網站暴力網站等類別按下儲存鈕, 完成設定 ( 圖 5-77) 圖 5-76 設定網站類別 192

194 圖 5-77 完成網站類別設定步驟 2. 於 URL 設定中設定一筆 URL 網站類別管製群組名稱 ( 圖 5-78) 勾選啟動自訂頁面阻擋設定阻擋主題名稱及欲顯示的內容, 管理者可先藉由顯示瀏覽網頁設定名單選取 URL 網站類別按下新增鈕, 完成 URL 群組名稱設定 ( 圖 5-79) 圖 5-78 設定 URL 群組名稱圖 5-79 完成 URL 群組名單設定 193

195 步驟 5. 於管制條例之 LAN 對 WAN 管制功能中新增一條管制條例, 並套用 URL 管制, 並把動作設為拒絕 ( 圖 5-80) 圖 5-80 URL 管制之管制條例設定步驟 6. 管制條例之 LAN 對 WAN 管制功能中, 完成禁止內部使用者透過管制條例存取特定網站的資料, 如下圖所示 :( 圖 5-81) 圖 5-81 完成 url 管制之管制條例設定 194

196 5-6-2 其他設定可在此設定連線被被阻擋的網站時, 於瀏覽器所顯示的警訊 ( 圖 5-82) 圖 5-82 頁面阻擋初值設定當內部使用者連線至阻擋的網站時, 會顯示下列畫面 ( 圖 5-83) 圖 5-83 網站阻擋警訊 195

197 5-6-3 紀錄搜尋說明如下 : 可依照網站管制之日期來源 IP 阻擋類型等關鍵字或特徵, 來尋找儲存在 UTM 多功能防火牆內所有符合條件之記錄如在此功能中做下列設定 : 1. 阻擋類型選取全部 2. 開啟並設定搜尋指定時間區間內的記錄 3. 按下搜尋鈕 ( 圖 5-84) 圖 5-84 搜尋特定記錄知畫面 196

198 5-7 虛擬伺服器系統管理員在向 ISP 申請網路連線時,ISP 所配發的真實 IP 位址往往不夠分配給所有使用者為了有足夠的 IP 位址分配給每一使用者, 大都是使用私有 IP 位址 ( Private IP Address ), 透過 UTM 多功能防火牆的 NAT ( Network Address Translation ) 功能, 轉換成真實 IP 位址 ( Real IP Address ) 如果對外提供服務的伺服器是置於內部網路時, 它的私有 IP 位址將無法讓外部的使用者直接連線使用, 對於此類問題, 可使用 UTM 多功能防火牆的虛擬伺服器功能得以解決所謂虛擬伺服器是將 UTM 多功能防火牆外部介面一個真實 IP 位址, 藉由 UTM 多功能防火牆 IP 轉換的功能, 對映至提供服務的伺服器之私有 IP 位址虛擬伺服器還擁有一項特色, 一對多的對映功能, 即一個真實 IP 位址可對映到多部提供相同服務的內部網路伺服器的私有 IP 位址於本章節, 將針對虛擬伺服器 IP 對映作詳細的介紹與使用說明 : IP 對映 : 因為內部網路是透過 NAT(Network Address Translation) 機制轉換的私有 IP 位址, 是一對一對映, 即一個外部介面真實 IP 位址的所有服務, 對映到一個內部網路私有 IP 位址虛擬伺服器 : 與 IP 對映作用類似, 但虛擬伺服器是一對多對映, 即一個真實 IP 位址, 對映到多個內部網路私有 IP 位址, 只是埠號不能相同 197

199 虛擬伺服器名詞解釋 : 外部網路位址 : 外部網路 IP 位址 ( 真實 IP 位址 ), 提供輔助選取功能對映到虛擬網路位址 : 將外部網路真實 IP 對映至內部伺服器之私有 IP 位址外部通訊埠號 : 虛擬伺服器所提供的對外服務埠號若所選擇的服務只有使用單一埠號時, 則可在此變更其對外的埠號 ( 如將 http 的埠號改為 8080; 則外部使用者若欲瀏覽網站, 就必須更改埠號, 方可進入網站 ) 虛擬伺服器 IP 位址 : 虛擬伺服器所對映的外部網路 IP 位址啟用伺服器負載 : 可將尋求服務的連線, 依照連線數分配給內部網路的伺服器群組, 可減少單一伺服器的負載, 提高伺服器的工作效率內部通訊埠 ( 埠號 ): 虛擬伺服器所提供的對內服務埠號, 同對外埠號我們在此範例設定中, 總共架設了 2 種虛擬伺服器應用環境適用範圍虛擬伺服器 IP 對映範例環境將內部提供單一服務之多台伺服器, 以虛擬伺服器的方式透過管制條例來對外服務 ( 以 Web 服務為例 ) 將內部提供 FTP Web Mail 等多項服務之單一伺服器, 透過管制條例來對外服務 198

200 5-7-1 虛擬伺服器虛擬伺服器是將一個外部 IP 位址, 對應到內部 IP 的管理動作, 以 TCP / UDP 各有 0 ~ 個埠號, 如果將一個通訊協定的埠號, 對應到內部一個 IP 位址的相同埠號, 總共可以建立 * 2 = 131,072 個虛擬伺服器虛擬伺服器建立 IP 位址及埠號對映完畢後, 還必須到管制條例的外對內或是外對 DMZ 中將對應的埠號設為允許, 這樣才完成一個虛擬伺服器範例 : 外部使用者使用 VoIP, 對內部網路 VoIP 閘道器連線 (VoIP 使用的埠號 :tcp/udp 1720), 網路示意圖如下 :( 圖 5-85) 圖 5-85 虛擬伺服器的網路示意圖 199

201 步驟 1. 內部網路中提供 VOIP 伺服器, 其 IP 位址分別為步驟 2. : 可以選取目前外部網路可以使用的 IP 位址步驟 3. 在虛擬伺服器的新增虛擬伺服器功能中, 輸入外部網路 IP 位址, 可藉由輔助選取, 按下新增鈕 ( 圖 5-86) 圖 5-86 VOIP 虛擬伺服器對外 IP 設定畫面在虛擬伺服器列表中, 選定要增加的虛擬伺服器 IP 位址, 在編輯 / 刪除中選擇, 他會在這個外部 IP 位址下新增虛擬伺服器 ( 圖 5-87) 圖 5-87 完成 VOIP 虛擬伺服器對外 IP 設定在鍵入虛擬伺服器相關設定, 外部通訊埠為 TCP 1720 ( 圖 5-88) 圖 5-88 新增 VOIP 虛擬伺服器相對應埠號設定 200

202 按下新增鈕 VOIP 的虛擬伺服器對外設定完成 ( 圖 5-89) 圖 5-89 完成 VOIP 虛擬伺服器相對應埠號設定畫面再到管制條例的內對外新增一個管制條例這樣就可以讓外面的 VOIP 可以跟內部的 VOIP 閘道器互通 201

203 5-7-2 IP 對映一樣是透過 NAT(Network Address Translation) 機制轉換的私有 IP 位址, 但是 IP 對映是一對一對映, 即一個外部介面真實 IP 位址的所有服務, 對映到一個內部網路私有 IP 位址雖然是所有的服務對映, 但是要讓哪些服務通過跟不通過, 依然是由管制條例控制一樣是使用前面 VoIP 的示意圖, 只不過將它改成用 IP 對映的方式達成步驟 1. 內部網路中提供 VOIP 伺服器, 其 IP 位址分別為步驟 2. 在虛擬伺服器的 IP 對映功能中, 輸入外部網路 IP 位址及對映到虛擬網路位址, 按下新增按鈕即可建立完畢, 外部網路 IP 位址可以用輔助選取的方式取得 ( 圖 5-90) 圖 5-90 VOIP 虛擬伺服器對外 IP 設定畫面目前為止, 只是跟 UTM 多功能防火牆說, 哪一個外部 IP 位址對映到內部那一個 IP 位址, 至於開方哪些服務, 則需要到管制條例中放行如果 DMZ 也是設成 NAT 模式, 設備會根據對映到虛擬網路位址上所設定的 IP 判斷是屬於那個介面, 在那個介面管制區的基本設定就會出現 mapped IP 字樣 ( 圖 5-91) 圖 5-91 IP 對映的管制最後再選擇要開放哪些服務進來 ( 圖 5-92) 圖 5-92 IP 對映的埠開放 202

204 5-8 防火牆功能內建 SPI 技術, 主動攔截阻擋駭客攻擊, 不論是 DOS DDOS UDP Flood 等攻擊方式都可以阻擋, 甚至可以抵擋疾風病毒的攻擊, 確保內部用戶的安全如果攻擊者不是從外部到內部, 而是由內部互相攻擊呢? 在 ICSA 中就沒有定義這樣的攻擊模式, 可是在現實的環境中, 這樣的任意攻擊卻是真實的存在 ShareTech 套用合理流量及連線數的觀念, 認為同一部電腦, 不會同時產生太多的連線數, 萬一超過合理的流量及連線數時, 結合管制條例的運用, 防火牆會要求將多餘的連線阻擋常見的駭客攻擊方式 ( 阻斷服務攻擊 ) SYN 攻擊 : SYN Flood 是當前最流行的 DoS( 拒絕服務攻擊 ) 與 DDoS( 分散式拒絕服務攻擊 ) 的方式之一, 這是一種利用 TCP 協議缺陷, 發送大量偽造的 TCP 連接請求, 使得被攻擊方資源耗盡 (CPU 滿載或記憶體不足 ) 的攻擊方式 ICMP 攻擊 : ICMP(Internet Control Message Protocol) 是 TCP/IP 通訊協定中定義封包的一種, 主要功能是用來在網路上傳遞一些簡單的控制訊號 ICMP DoS 攻擊主要有以下兩種手法 : Ping of Death 與 Smurf 攻擊 UDP 攻擊 : 利用 UDP 協議, 發送大量偽造的 UDP 連接請求, 使得被攻擊方資源耗盡 (CPU 滿載頻寬被占滿或記憶體不足 ) 的攻擊方式 Land 攻擊 : 運用 IP Spoofing 技術送出一連串 SYN 封包給目標主機, 讓目標主機系統誤以為這些封包是由自己發送的由於目標主機在處理這些封包的時候, 它自己並無法回應給自己 SYN-ACK 封包, 因而造成系統當機 Smurf 攻擊 : Smurf 攻擊是以最初發動這種攻擊的程序名 Smurf 來命名這種攻擊方法結合使用了 IP 欺騙和 ICMP 回複方法使大量網絡傳輸充斥目標系統, 引起目標系統拒絕爲正常系統進行服務 Tear Drop 攻擊 : Teardrop 攻擊則是利用 IP 封包重組的漏洞當資料經由網路傳送,IP 封包經常會被切割成許多小片段每個小片段和原來封包的結構大致都相同, 除了一些記載位移的資訊而 Teardrop 則創造出一些 IP 片段, 這些片段包含重疊的位移值當這些片段到達目的地而被重組時, 可能就會造成一些系統當機 Ping of Death 攻擊 : Ping of Death 是經由發送過大的 ping 請求 (ICMP echo request), 以造成緩衝區溢位 (Overflow), 繼而導致無法正常運作或當機 203

205 5-8-1 防火牆功能設定 SYN 攻擊 ICMP 攻擊與 UDP 攻擊設定值 :( 圖 5-93) 步驟 1. 設定 SYN 攻擊設定值允許最大流量 : 每一個防火牆保護的外部 IP 位址能夠承受的每秒最大封包要求, 預設值是 10,000 封包 / 秒, 超過這個數值, 防火牆就會認為受保護的 IP 位址遭受攻擊允許每個來源位址最大流量 : 網路上同一個 IP 位址同一時間能傳送的數量, 預設值是 100 封包 / 秒, 超過這個數值, 防火牆就會認為受保護的 IP 位址遭受攻擊阻擋時間 : 一旦防火牆判斷被攻擊, 自動丟棄來自攻擊者 IP 位址封包的時間, 預設是 60 秒步驟 2. 設定 ICMP 攻擊設定值允許最大流量 : 預設值是 10,000 封包 / 秒, 超過這個數值, 防火牆就會認為受保護的 IP 位址遭受攻擊允許每個來源位址最大流量 : 預設值是 100 封包 / 秒, 超過這個數值, 防火牆就會認為受保護的 IP 位址遭受攻擊阻擋時間 : 一旦防火牆判斷被攻擊, 自動丟棄來自攻擊者 IP 位址封包的時間, 預設是 60 秒步驟 3. 設定 UDP 攻擊設定值允許最大流量 : 預設值是 10,000 封包 / 秒, 超過這個數值, 防火牆就會認為受保護的 IP 位址遭受攻擊允許每個來源位址最大流量 : 預設值是 100 封包 / 秒, 超過這個數值, 防火牆就會認為受保護的 IP 位址遭受攻擊阻擋時間 : 一旦防火牆判斷被攻擊, 自動丟棄來自攻擊者 IP 位址封包的時間, 預設是 60 秒 204

206 圖 5-93 防火牆的防護設定步驟 4. 設定其他項目除了可以偵測 SYN 攻擊 ICMP 攻擊與 UDP 攻擊外,UTM 提供管理者可以阻斷網路常見的攻擊手法, 像 IP Options, Land 攻擊 Smurf 攻擊封鎖 Trace Route 封鎖 Fraggle 封鎖 Tear Drop 攻擊封鎖 ICMP Fragment 封包封鎖 Ping of Death 攻擊封鎖 TCP Flags 封鎖 SYN Fragment 封包與不明封包偵測 ( 圖 5-94) 圖 5-94 其他項目防護設定這些防護規則, 可以套用在 UTM 多功能防火牆的外部 IP 位址, 或是使用 IP 對應的虛擬伺服器上, 只要來自網際網路的攻擊超過設定值,UTM 多功能防火牆就會自動將攻擊者 IP 位址的封包阻擋, 確保對外伺服器的安全 205

207 5-8-2 防護記錄 UTM 多功能防火牆記錄所有攻擊行為, 管理者可針對攻擊類型攻擊來源 IP 位址被攻擊 IP 位址進行搜尋, 系統會詳細列出遭受攻擊時間攻擊類型協定通訊埠攻擊來源 IP 位址與被攻擊 IP 位址 ( 圖 5-95) 圖 5-95 防護記錄 206

208 5-9 上網認證 ShareTech UTM 多功能防火牆可經由認證表的設定, 來控管使用者的連線權限使用者必須通過 SHARETECH UTM 多功能防火牆的認證機制, 方可連線本 ShareTech UTM 多功能防火牆提供四種認證模式一是 ShareTech UTM 多功能防火牆內建的認證本機使用者 ; 另一是利用自行架設的 RADIUS POP3 和 AD 認證伺服器系統管理員可利用這四種模式, 來管理 ShareTech UTM 多功能防火牆的認證機制當管理者希望內部的使用上網際網路前, 先經過認證程序, 認證過後, 才可以使用網路, 此時就需要這個功能當管制條例要求使用者認證後才能上網際網路, 使用者打開網頁後, 會出現要求輸入帳號密碼的視窗, 輸入管理者給予的帳號密碼, 正確無誤後, 系統就會自動開啟預設首頁或是管理者自訂的網址使用者的帳號密碼來源可以從自訂的帳號密碼從 AD 伺服器選取的帳號密碼或是從郵件伺服器來的帳號密碼管理者可以任意從上述的 3 種來源挑選組合, 組合的名稱就是一個認證群組, 此時就可以在管制條例中挑選特定的認證群組套用當管制條例將特定的內部 IP 位址套用認證群組時, 代表這些 IP 位址打開瀏覽器要上網際網路時, UTM 多功能防火牆會要求這些用戶輸入合格的帳號及密碼上網認證名詞解釋 : 認證模式 : UTM 多功能防火牆目前支持 4 種認證模式, 自訂的帳號密碼 AD 伺服器選取的帳號密碼 POP3 的帳號密碼與 Radius, 管理者可以任意組合上網認證是要啟用, 其中一種或是全部認證通訊埠 : 當 ShareTech UTM 多功能防火牆啟用認證之機制時, 內部使用者需通過認證方可連線至外部網路而認證埠號則為該認證機制所用之埠號, 其預設為 82 同時最大連線數 : 管制目前經由上網認證最多 PC 連線數量當閒置多久要求重登 : 當內部使用者經認證連到外部網路時, 可設定其認證後的連線閒置時間, 超過設定的時間, 認證即會自動失效, 預設為 60 分鐘使用者登入多久之後要求重登 : 使用者登入成功後, 超過這個時間設定, 系統會要求用戶重新登入, 預設是 24 小時, 當設為 0 時, 代表關閉這項功能 207

209 允許修改密碼 : 使用者登入成功後, 可以修改自己的密碼, 下次登入時, 就可以使用新的密碼拒絕重複登入 : 啟用這項功能後, 每個帳號及密碼只允許一個 IP 位址登入, 當另一個 IP 位址要求使用相同的帳號密碼時, 會被 UTM 多功能防火牆的認證機制拒絕登入失敗次數超過多少暫時封鎖 : 為了預防被不法使用者嘗試測試使用者帳號登入, 管理者可設定當使用者透由認證登入失敗超過設定值時先暫時封鎖多久解除被暫時封鎖的 IP: 管理者可設定被暫時封鎖的時間, 如設為 0 代表永不解除登入失敗次數超過多少永久封鎖 : 管理者也可將嘗試登入的非法使用者, 當其登入帳號 / 密碼錯誤超過設定值, 永久封鎖解除 IP 封鎖 : 解除被封鎖的使用者登入成功的使用者要被轉向的 URL: 管理者可以讓每一個登入成功的使用者開啟一個特定的網頁, 例如公司的網頁或是訊息通知的網頁, 如果這裡是空白的, 當使用者認證成功後, 自動開啟使用者瀏覽器所設定的首頁 208

210 5-9-1 認證設定管理者在這裡設定一些上網認證會使用的共同設定, 如登入的 timeout 認證模式登入畫面的設定等共同設定 ( 圖 5-96) 步驟 1. 認證通訊埠 : 輸入認證通訊埠, 預設值為 82 ( 範圍 : 1 ~ 65535,0 代表認證功能不啟動 ) 步驟 2. 同時最大連線數 : 輸入同時最大連線數 10, 範圍可從 10~256 步驟 3. 當閒置多久要求重登 : 預設是 60 分鐘 ( 範圍為 1~1000 分鐘 ) 步驟 4. 使用者登入之後多久要求重登 : 預設是 24 小時, 當設為 0, 代表關閉此項功能, 也就是使用者一旦認證過後, 除非重新開機, 否則永久有效步驟 5. 允許修改密碼 : 要不要允許使用者修改密碼, 預設是不允許步驟 6. 拒絕重複登入 : 預設是不管, 也就是同樣帳號可以在不同 IP 位址登入步驟 7. 步驟 8. 步驟 9. 登入失敗次數超過多少暫時封鎖 : 主要是避免有外來者在測試內部使用者帳號的密碼, 暫時封鎖該帳號登入多久解除暫時封鎖的 IP : 當 IP 被封鎖後須隔多久時間才能解除,0 代表不限制, 亦即永久不解除登入失敗次數超過多久永久封鎖 : 登入失敗次數超過多久永久封鎖, 避免駭客攻擊將該帳號永久封鎖步驟 10. 解除 IP 封鎖 : 由於並沒有需解除 IP, 不做解除設定步驟 11. 設定登入成功的使用者要被轉向的 URL, 導向如果空白, 系統會用使用者瀏覽器預設的首頁為認證成功後開啟的頁面步驟 12. 選擇認證模式,UTM 多功能防火牆支援 4 種認證模式, 本機帳號 AD 帳號 POP3 帳號與 Radius, 管理者可以選用其中一種兩種或全部 209

211 圖 5-96 認證的共用設定 210

212 Client 端登入畫面設定 ( 圖 5-97) 設定使用者登入時的畫面及說明文字, 管理者也可以上傳一個圖形, 增加認證時的美觀, 預設的圖形是 ShareTech 的 logo 步驟 1. 輸入主旨歡迎光臨, 可以任何文字步驟 2. 輸入內容, 管理者可以輸入任何一段文字描述這個認證說明例如 : 歡迎來到眾至網站步驟 3. 上傳一個圖形圖 5-97 認證登入畫面設定步驟 4. 管理者可以按下檢視字樣, 查看一下用戶端認證時的畫面是否符合設定的目標 ( 圖 5-98) 圖 5-98 認證登入畫面 211

213 帳號建立方式 : 本機使用者 POP3 Radius AD 本機使用者建立本機使用者帳號 ( 圖 5-99) 步驟 1. 輸入名稱王建忠, 任何容易描述這個使用者的文字步驟 2. 輸入使用者帳號 jean, 最多 16 個文字步驟 3. 輸入密要想使你的密碼更安全, 可以採取以下方法 : 使用字母和數字使用特殊字元 ( 但逗號與冒號不允許使用 ) 混合使用大小寫步驟 4. 再次確認輸入密碼, 避免密碼輸入錯誤造成無法登入步驟 5. 步驟 6. 當下次登入時要求使用者更改密碼 : 要不要讓使用者登入如修改密碼, 預設是不允許這個帳號的使用期限, 系統會自動帶出日期讓管理者挑選, 如果空白, 代表這個帳號永遠不會過期步驟 7. 建立成功後,UTM 多功能防火牆會列出所有的本機帳號圖 5-99 本機使用者設定 212

214 5-9-3 POP3 RADIUS 使用者帳號設定 POP3 使用者設定建立外部帳號 --- 至 POP3,RADIUS 使用者新增 POP3 伺服器 ( 圖 5-100) 步驟 1. 輸入 POP3 伺服器的網域名稱步驟 2. 輸入可以使用的網域名稱, 因為一個 POP3 伺服器可能擁有數個網域, 輸入使用者額外要認證要用的網域圖 POP3 認證伺服器設定步驟 3. 設定完成 POP3 網域後, 在新增一個群組時, 需要匯入 POP3 的帳號, 帳號的格式是每一個帳號一行, 目前提供兩種 POP3 匯入方式, 一種為單筆新增一種會整批匯入 ( 圖 5-101) 單筆新增 : 輸入帳號, 一行一組設定 ; 格式如 : Jean Randoll 但是系統保留 POP3 RADIUS Organization Group Account Office/AD User Department / AD User Company / AD User 整批匯入 : 匯入檔案格式有.txt 或.csv 建立方式一筆一行圖 POP3 帳號設定 213

215 RADIUS 使用者設定在 Radius 設定功能中輸入 IP(RADIUS 伺服器 ) Port(RADIUS 伺服器通訊埠 ) 和共用密碼 ( 需與 RADIUS 伺服器相同 ) ( 圖 5-102) 步驟 1. 輸入 RADIUS 名稱, 例如 :my_radius 步驟 2. 輸入 RADIUS 伺服器 IP 位址, 例如 : 步驟 3. 輸入 RADIUS 伺服器通訊埠, 預設值為 1812 步驟 4. 輸入密鑰, 此為 UTM 多功能防火牆與 Radius 伺服器進行認證時所需的密碼圖 Radius 網域認證設定 214

216 步驟 5. 設定完成 RADIUS 伺服器後, 在新增一個群組時, 需要匯入 RADIUS 的帳號, 帳號的格式是每一個帳號一行, 目前提供兩種 RADIUS 匯入方式, 一種為單筆新增一種會整批匯入 ( 圖 5-103) 單筆新增 : 輸入帳號, 一行一組設定 ; 格式如 : Jean Randoll 但是系統保留 POP3 RADIUS Organization Group Account Office/AD User Department / AD User Company / AD User 整批匯入 : 匯入檔案格式有.txt 或.csv 建立方式一筆一行圖 Radius 帳號設定 215

217 5-9-4 AD 使用者帳號設定建立外部帳號 ---AD 網域伺服器 ( 圖 5-104) 步驟 1. 輸入 AD 網域伺服器的 IP 位址, 例如 : 步驟 2. 步驟 3. 步驟 4. 輸入 AD 網域伺服器的網域名稱, 例如 :ShareTech.com.tw 輸入 AD 網域伺服器具有管理權限的管理者帳號及密碼, 例如 : 帳號 administrator / 密碼設定不要被使用的 AD 群組及使用者, 例如,guest, 如果沒有填入, 在挑選認證帳號時, 所有的群組及使用者都會成為被挑選目標步驟 5. 當設定完成時, 管理者可先行連線測試, 看是否可正常運作圖 AD 網域認證設定 216

218 5-9-5 使用者群組步驟 1. 輸入認證群組的稱, 可以是任何文字 ( 圖 5-105) 步驟 2. 步驟 3. 認證設定, 可以使用之前已經設定完成的共同設定值, 或是針對這個認證群組, 自行定義一次諸如當閒置多久要求重登使用者登入之後多久要求重登甚至連認證模式 2 都可以修改選擇要挑選的類型, 如果選本機, 則左邊會出現所有本機帳號供管理者挑選, 如果有設定外部帳號伺服器認證, 在此選擇 AD POP3 或 RADIUS, 左邊的被挑選目標就會出現帳號, 供管理者挑選圖建立認證群組 217

219 步驟 4. 建立完成認證群組後, 再到內到外或是 DMZ 到外設定認證機制 ( 圖 5-106) 步驟 5. 挑選要認證的 IP 位址或群組步驟 6. 挑選認證群組,UTM 多功能防火牆會自動列出所有已經設定完成的認證群組, 讓管理者可以挑選圖套用在管制條例上 218

220 5-9-6 認證紀錄如果使用曾經使用認證群組,UTM 多功能防火牆會自動將登入跟登出的時間使用者帳號登入 IP 位址狀態認證方法條列出來管理者也可以藉由搜尋條件快速搜尋 ( 圖 5-107) 圖認證登入紀錄 219

221 5-9-7 上網認證連線狀態列出所有上網認證連線狀態,UTM 多功能防火牆會自動將群組名稱使用者帳號使用者 IP 剔除與群組剔除紀錄條列出來 ( 圖 5-108) 圖認證登入紀錄註 : 當將使用者剔除時, 則使用者無法連線到外部網路, 必須在重新登入才可進行連線 220

222 5-10 電子白板現在低頭族越來越多, 不管是坐車搭捷運都可以看到很多人低頭玩手機平版電腦, 想起以前念書的時候也是一堆低頭族人群, 不過大家都是趁著空檔努力 K 書由於網路的快速發展, 資訊的快速成長影響所有人的生活方式, 進而在日常的生活工作領域休閒活動都已經跟網路脫離不了關係猶記得 10 年多前, 大多數的企業要發布訊息給所有員工知道, 不是張貼公告就是就藉由來通知, 如果遇到一些重要訊息可能就只能緊急廣播, 或藉由部門力量來快速通告但在 21 世紀的新時代, 當網路已深深影響我們生活時, 利用網路快速傳播已是現在最佳傳播工具現今多數的上班族, 上班的第一件事就是打開電腦, 看看新聞, 或者開啟即時通訊 (MSN QQ SKYPE..,) 跟朋友打屁聊天, 等所有這些雜事處理完時才會開工, 因此, 如果一些重要訊息是藉由 MAIL 通知, 可能已經拖延了一些時效, 時間傳達最好能即時, 盡快讓所有人能掌握最新資訊, 因此, 眾至網頁電子白板功能, 多是當使用者打開電腦時, 不管要上網瀏覽網頁或者開啟即時通訊跟朋友聊天, 都必須確認看到看過公司公布的重要資訊後才可以啟用網頁電子白板或許不能取代郵件成為主要的通報系統, 但是藉由它可以讓習慣瀏覽網頁的人更快接收到最新企業訊息電子白板名詞解釋 : 群組名稱 : 主要設定在管理介面上的名稱, 管理者可以設定多組群組名稱, 再套用到管制條例上間隔多久彈跳一次訊息 : 當 SHARETECH UTM 多功能防火牆啟用認證之機制時, 內部使用者需通過認證方可連線至外部網路而認證埠號則為該認證機制所用之埠號, 其預設為 82 閱讀訊息前, 阻擋全部對外連線 : 管制目前經由上網認證最多 PC 連線數量閱讀訊息後, 網頁內容重新導向 : 當內部使用者經認證連到外部網路時, 可設定其認證後的連線閒置時間, 超過設定的時間, 認證即會自動失效, 預設為 60 分鐘 221

223 認證設定透過眾至 UTM 多功能防火牆對內部使用者發布公告訊息步驟 1. 在管理目標 > 電子白板 > 使用者群組頁面中, 做下列設定 :( 圖 5-109) 群組名稱設 Sharetech 公佈欄隔間多久彈跳一次訊息, 預設值為 24 勾選閱讀訊息前, 阻擋全部對外連線輸入閱讀訊息後, 網頁內容重新導向輸入指定的白板訊息標題名稱輸入指定的白板訊息內容按下新增鈕, 完成設定圖電子白板使用群組設定 222

步驟 2. 按下新增鈕, 完成設定 ( 圖 5-110) 圖 5-110 完成使用群組設定步驟 3.

224 步驟 2. 按下新增鈕, 完成設定 ( 圖 5-110) 圖完成使用群組設定步驟 3. 建立完成電子白板群組後, 再到管制條例做設定機制 ( 圖 5-111) 挑選要公告的 IP 位址或群組挑選公告群組,UTM 多功能防火牆會自動列出所有已經設定完成的電子白板群組, 讓管理者可以挑選圖套用在管制條例上 223

225 步驟 4. 完成管制條例設定 ( 圖 5-112) 圖完成管制條例設定當內部使用者開啟電腦將瀏覽網頁時, 網頁視窗優先跳出最新網頁白板訊息 ( 圖 5-113), 如果使用者沒有點選已閱讀鍵, 不管連結到哪一頁都還是一樣出現同樣內容, 唯有等使用者確認完成 I Have Read 就可以離開此頁面, 跳到管理者設定的網頁首頁 ( 圖 5-114), 而這時候所有的對外連線 ( 包含即時通訊 ) 就可以正常啟動圖不管開啟任何網頁, 首先連結到電子白板訊息頁圖完成閱讀後, 首先連結到指定頁面 224

226 已閱讀白板使用者 IP 凡走過必留下痕跡, 凡閱讀過必留下資訊, 眾至 UTM 多功能防火牆網頁電子白板功能, 不僅可以提供企業一套好的訊息傳播工具, 更重要的它可以記錄所有使用者瀏覽訊息的情形 ( 圖 5-115) 詳細記錄使用者閱讀電子白板訊息的主題與瀏覽時間, 如果希望再次提醒使用者, 還可以將它剔除, 讓使用者重新再閱讀一次圖詳細記錄所有網頁電子白板閱讀訊息 225

227 第六章網路服務使用者可隨時由系統狀態中, 得知目前網路服務狀態, 如 DHCP 服務 DDNS 服務 DNS 伺服器 WEB/FTP 服務 MSN 服務 QQ 服務 SKYPE 服務病毒引擎高可用性 SNMP 與遠端紀錄伺服器設定等各項資訊 ( 一 ) DHCP 服務 : 當啟動 DHCP 功能時, 內部 PC 可透過 UTM 多功能防火牆的 LAN 或 DMZ 介面, 取得 IP 位址 DNS 伺服器等資訊 ( 二 ) DDNS 服務 : DDNS 意思是動態 DNS, 是指不固定 IP 的主機, 隨 IP 的改變去設定網域名稱與 IP 的對應關係如果不固定 IP 的主機 ( 如使用 PPPOE 的 ADSL,DHCP 的 Cable, 撥接用戶 ), 欲架設 Web Mail 或者 FTP 等 Server, 或者使用者需要網路身份 ( 網域名稱 ) 者即需動態 DNS ( 三 ) DNS 伺服器 : DNS 的全稱是 Domain Name Service, 是一套系統軟體, 讓大家所使用及管理的電腦網路系統, 能夠作領域名稱與 IP 位址之間的轉換 ( 四 ) WEB 服務 : UTM 多功能防火牆提供 WEB 掃毒, 包含掃描圖形檔掃毒連線數掃描檔案大小, 甚至自訂中毒的警示網頁等並可開啟外部信箱紀錄服務, 目前可紀錄外部信箱有 Hotmail Yahoo Mail163 Pchome Hinet Sohu QQ mail21cn ( 五 ) FTP 服務 : UTM 多功能防火牆 FTP 掃毒, 可自行設定檔案大小超過多少後, 不做病毒掃描與存檔動作 ( 六 ) MSN 服務 : 啟動 MSN 服務, 當系統進行 MSN 側錄時可以通知被監視的使用者並出現警示視窗 ( 七 ) QQ 服務 : 啟動 MSN 服務, 當系統進行 QQ 側錄時可設定是否允許登錄 Chat 紀錄檔案傳輸 VOIP 與遠程協助 ( 八 ) SKYPE 服務 : 啟動 SKYPE 服務, 管理者可透由 AD Server 或 PC 本機派送 ( 九 ) 病毒引擎 : 提供 ClamAV 掃毒引擎設定 226

228 ( 十 ) 高可用性 : UTM 多功能防火牆的硬體備援機制, 採 Master/Backup 模式, 系統正常運作的情況下網路存取皆透過指定的 MASTER 主機, 同時會有一台 BACKUP 主機即時備份來自 MASTER 主機的所有資料 ; 當目前運作中的 MAST 主機發生故障情形時,BACKUP 主機會即時取而代之成為 MASTER 主機, 來保持內 / 外部網路不斷線, 避免錯失商機 ( 十一 ) SNMP : SNMP 是專門用於管理網路節點 ( 伺服器工作站路由器交換器 ) 的協定網路管理員透過 SNMP 接收到的訊息, 能即時發現並解決網路問題, 或協助其規劃網路資源的運用 ( 十二 ) 遠端記錄伺服器 : 可以遠端備分相關 LOG 紀錄, 包含管制條例封包應用程式 IDP 與 Botnet 紀錄 227

229 6-1 DHCP 伺服器 DHCP 名詞解釋 : 一台電腦要連上網路必須要先設定 IP 子網路遮罩路由 DNS 等一般使用者對這些網路設定並不熟, 所以要讓使用者自己去建立非常麻煩如果企業裡有上百台的電腦, 需要由網管人員去分配每一台的 IP 設定電腦實在是一件痛苦的事情因此如果有 DHCP 伺服器, 網路上的電腦只要設定好自動取得 IP, 系統開機後就可以自動取得網路設定網管人員就不需要一台一台去設定在設定 DHCP 伺服器時, 我們會設定要讓使用者自動取得的 IP 位址範圍路由 DNS, 在啟動 DHCP 伺服器之後, 這些資訊就會放到記憶體中等客戶端來問當一台使用 DHCP 自動取得 IP 的電腦連上網路後, 它會以廣播的方式詢問網路上有沒有 DHCP 伺服器, 而 DHCP 伺服器會回應, 並送給客戶端網路設定的資料客戶端收到這些資訊後, 就將它設定為自己的 IP DNS 等如果以 DHCP 常用的話語來說,DHCP 分配出一個 IP 的情形叫做 DHCP 出租 IP 給客戶端 DHCP 的租約是有期限的, 時間到了之後, 客戶端就必須重新取得一次 IP, 不過客戶端可以要求繼續使用同一個 IP 為了避免有機器一直要求使用同一個 IP, 我們也可以設定同一個 IP 最長的租期是多久除了動態的分配 IP 外,DHCP 也可以同時設定指派固定 IP 每一張網路卡都會有一個固定的網路卡位址 (MAC Physical Address), 例如, 我們可以在 FreeBSD 中使用指令 ifconfig 或是在 Windows 中使用 ipconfig/all 來看到 MAC 的資訊以下列為例 : # ifconfig fxp0: flags=88c3<up,broadcast,running,noarp,simplex,multicast> mtu 1500 options=b<rxcsum,txcsum,vlan_mtu> inet6 fe80::202:b3ff:fe48:7c74%fxp0 prefixlen 64 scopeid 0x1 inet netmask 0xff broadcast ether 00:08:c3:96:8c:22 media: Ethernet autoselect (100baseTX <full-duplex>) status: active 上列粗體部份 00:08:c3:96:8c:22 就是網路卡位址, 我們可以設定某個網路卡位址一定使用固定 IP, 如此一來, 只要這一台機器使用 DHCP 要求 IP 時,DHCP 伺服器都會給它固定的位址 228

230 DHCP 服務名詞解釋 : 起始位址內部網路所屬網域廣播開始位址結束位址內部網路所屬網域廣播結束位址主要的 DNS 設定主要 DNS IP 位址次要的 DNS 設定次要 DNS IP 位址預設租約時間 ( 分 ) 預設機器使用同一個 IP 時間最大租約時間 ( 分 ) 為了避免有機器一直要求使用同一個 IP, 我們也可以設定同一個 IP 最長的租期是多久預設閘道器內部網路預設閘道 229

231 於 DHCP 服務之 LAN DHCP 用戶列表功能中, 記錄 UTM 多功能防火牆內建的 DHCP 伺服器所配發的 IP 使用情況 :( 圖 6-1) IP 位址 :DHCP Server 所配發給該電腦之動態 IP 位址 MAC 位址 : 該動態 IP 位址所對映之 MAC 位址起始時間 ~ 結束時間 : 該動態 IP 位址之有效時間 ( 起始時間 / 結束時間 )( 年 / 月 / 日 / 時 / 分 / 秒 ) 主機名稱 : 接受 DHCP 伺服器配發 IP 之電腦的網路識別名稱圖 6-1 DHCP 用戶表 Web UI 畫面 230

232 設置 DHCP 伺服器步驟 1. 於 DHCP 服務之 LAN DHCP 伺服器功能中, 做如下設定 : 內部網路介面位址, 於左邊欄位鍵入第一組可使用的起始 IP 位址, 於右邊欄位鍵入第一組可使用的結束 IP 位址, 預設為到 ( 須為同一網域 ) 主要的 DNS : 鍵入欲配發 DNS 伺服器 1 之 IP 位址次要的 DNS : 鍵入欲配發 DNS 伺服器 2 之 IP 位址填入預設租約時間, 預設值為 3600, 單位為分鐘設定預設閘道器位址為 , 不一定是 LAN 或 DMZ 的 GateWay 位址輸入網域名稱, 管理者可以修改域設的域名勾選啟動鈕, 完成儲存設定 ( 圖 6-2) 圖 6-2 LAN DHCP 伺服器設定視窗註 : DMZ ( 非軍事區 )DHCP 伺服器設定方式跟 LAN 的 DHCP 伺服器相同 231

233 除了動態的分配 IP 外,DHCP 也可以同時設定指派固定 IP 步驟 1. 在內部或是 DMZ 區的位址表中, 新增一個位址步驟 2. 設定方式選擇皆設定 IP 和 MAC 位址步驟 3. 啟用 Get static IP address from DHCP Server 的功能, 這個 IP 或是 MAC 位址上線時, 均會取得固定 IP 位址 ( 圖 6-3) 圖 6-3 DHCP 固定 IP 位址設定視窗按下新增建立完成, 在 DHCP 固定 IP 位址會出現下表 ( 圖 6-4) 圖 6-4 完成 DHCP 固定 IP 位址設定 232

234 6-2 DDNS 服務 DDNS 允許網際網路的使用者使用網址名稱來連線到您的虛擬伺服器, 而不是使用 IP 位址, 這也解決了動態 IP 位址的問題, 動態 IP 位址, 當您要從網際網路端連接回來時,IP 位址變更而造成您連接的困難 UTM 多功能防火牆 DDNS 服務的運作如下 : 1. 您必須在已註冊的 DDNS 服務下拉選單中選取一個供應商來註冊服務 2. 註冊完成後, 跟著服務供應商的步驟申請一個網域名稱 3. 在 UTM 多功能防火牆的 DDNS 畫面中輸入您的 DDNS 的資料 4.UTM 多功能防火牆會自動地將您目前使用的 IP 位址紀錄在 DDNS 伺服器上 5. 從網際網路端, 使用者將可以使用您註冊的網域名稱來連接到您開啟的虛擬伺服器 DDNS 名詞解釋 : 服務廠商點選已註冊 DDNS 服務供應商的名稱主機名稱輸入已申請網域名稱外部介面對外所屬網路介面帳號填入您申請的 DDNS 服務的使用者名稱密碼內部網路所屬網域註解 DDNS 備註說明紀錄正常的話, 訊息應該要顯示 Update OK 233

235 建立一個新的 DDNS 步驟 1. 於網路服務的 DDNS 功能中, 新增下列資料 ( 圖 6-5) 點選下方新增按鈕主機名稱輸入所申請的網域名稱選擇所要對應的外部網路介面為 WAN1 於帳號和密碼欄位中, 輸入所申請的帳號密碼鍵入註解為 UTM 多功能防火牆測試, 點選啟動鈕 DDNS 狀態按下新增完成設定圖 6-5 DDNS 設定視窗 UTM 多功能防火牆會列出每一個 DDNS 目前的狀態 ( 圖 6-6) : 代表更新正常, : 代表服務無法順利運作 : 按鈕會顯示系統跟 DDNS 伺服器的通聯資料 : 讓 UTM 多功能防火牆立刻執行 DDNS 更新的動作圖 6-6 DDNS 狀態 234

236 6-3 DNS 伺服器網路是由無限多的電腦連線所構成, 為了確保資料流動的正確性, 每台電腦都有固定而且單一的位址, 即是 0~255 數字所組成的 IP 位址隨著連線主機的增加, 對於一般使用者來說 IP 的位址不適合記憶與管理, 因此會有 Domain 的出現就像我們每個人一出生都會有一組身分證字號, 但是一大串的身分證號碼難記憶, 因此就會有名字或別名出現, 方便稱呼網址是由主機名稱與網域名稱兩部分組合而成例如 : 網路中文名稱為 : 透過 DNS 解析, 即可以指到 : 這台主機, 因此我們不必要記誦這串難記的數碼, 只要輸入網域名稱就可以連上該網站而與之間的對應, 中間就需要 DNS Server 來轉換了我們可以知道, 網路上是用 IP 來定址的, 如果要使用讓人好記的 Domain Name 來連結, 就要先在一台 DNS 伺服器上紀錄該網域內的名稱資料和 IP 的對應記錄, 供人查詢出相對應的 IP 為了達到這個功能, 必須將不同的紀錄設定在 DNS 裡, 目前比較常用的紀錄有 A MX CNAME NS 等紀錄以下分別說明這四種基本紀錄的用途與解說 : UTM 多功能防火牆支援 Inbound Loadbalance 機制,Inbound Loadbalance 就是利用 DNS 查詢的機制, 當第一個來詢問時回應 WAN -1 線路位址, 第二個來詢問時回應 WAN -2 線路位址, 這樣就將服務平均分配在不同的線路上, 達到負載均衡的目的要達成 Inbound Loadbalance 則網域名稱的解析權利必須在 UTM 多功能防火牆上紀錄用途說明 A 紀錄 MX 紀錄 CNAME 紀錄 NS 紀錄用來對應主機名稱和其 IP 位址 MX 紀錄主要的目的是讓郵件能正常的收發, 讓寄件者得知負責接收郵件伺服器位址為何? 通常負責處理接收的郵件伺服器會有兩台以上, 所以會設定這兩台以上郵件伺服器的優先順序設定 MX 紀錄的好處在於當您的郵件伺服器更換時, 只需要修改 DNS 紀錄就可以了, 對方的郵件主機不會理會您是用哪一台電腦來負責郵件交換 Nickname 別名, 可以給和網路位址 (A) 相對應之網域名稱, 使用另外一個 ( 或多個 ) 網域名稱讓外面查詢告訴 DNS Server 指定哪些伺服器來作為網域或子網域的網域名稱解析伺服器 235

237 以下針對四種常用的記錄來做細項說明 : A 記錄設定格式 (host) IN A (IP address) ( IN A ( ) 說明 host: 通常是指主機名稱, 例如 : IP address: 為您 web server 或其他伺服器的 IP 位址例如 : 對應的主機位置 IP , 當我們在流覽器輸入透過 DNS 解析會找到的主機, 如果在網址直接輸入 , 也是可以找到網站主機注意事項 A 記錄不限設定的組數 MX 記錄設定格式 (host) IN MX 優先序號 Mail Server (ShareTech.com.tw) IN MX 05 ms1.sharetech.com.tw (ShareTech.com.tw) IN MX 10 ms2.sharetech.com.tw 說明 Host: 指的是網域或主機名稱, 也就是郵件地符號後面的部份, 寫給這個名稱的郵件會被送到 host 欄位指定的郵件伺服器優先序號 : 與某一台主機或網域有關的 MX 紀錄可能不只一個, 所以需設定 Mail Server 的優先順序當有人寄信到 jean@sharetech.com.tw 時, 會把信寄到 ms1.sharetech.com.tw 這台主機上面, 如果無反應時, 就會將信寄到 ms2.sharetech.com.tw 這台主機上 Mail Server: 通常指的是主機名稱, 假設您架設為 Mail Server, 您的主機名稱通常為 mail.sharetech.com.tw 注意事項設完 MX 記錄後, 需注意是否有設定其相對應的 A 記錄, 以簡單範例中的例子為例, 需設定的相對應的 A 記錄如下 IN MX (0) IN MX (5) mx2.sharetech.com.tw mx1 IN A Mx2 IN A

238 NS 記錄設定格式域名 IN NS SERVER-NAME (ShareTech.com.tw) IN CNAME ns1.sharetech.com.tw 說明這是表示 ShareTech.com.tw 的域名的 DNS Server 是由 ns1.sharetech.com.tw 的主機管理 CNAME 記錄設定格式 (nickname 別名 ) IN CNAME (host) (web.haretech.com.tw) IN CNAME 說明 nickname 別名 : 這個主機名稱的另外一個別名,nickname 可以是任何有效的主機名稱 host: 這裡是主機的正式名稱這個主機名稱必須是正式的主機名稱, 不可以是別名在網址輸入或 web.sharetech.com.tw 都會到達同個網站 ( ), 其實 CNAME 紀錄就好像是 A 紀錄的分身, 幫已存在的 A 紀錄設定其他的名字注意事項如果申請的域名為 123.com.tw,web 主機域名為 www. 123.com.tw, 您於架設 web server 機器上又架設 FTP Server ( 意指 web server 與 ftp server 共用相同的 ip), 則設定方式可為 : ftp IN CNAME www 或 ftp IN CNAME (1) 以上述範例為例, 當中的必須建立一個 A 記錄, 不然此 CNAME 將無法找到 ftp.123.com.tw 的位址 (2) 建議以 A 記錄來取代 CNAME 記錄, 以免發生不可預期的錯誤以上述的例子, 可以分別設兩筆 A 記錄來達到相同的效果 IN A ftp.123.com.tw. IN A

239 DNS 名詞解釋 : 網域名稱主權網域的名稱, 不需要加入 dns 或是 mail 等字樣網域位址當別人要查詢這個網域時, 會跟哪個 IP 位址查詢主伺服器名稱這個主權網域的主要 DNS 伺服器的名稱, 一般會以 DNS 為開頭, 當然管理者可以換成任何名稱當您設定網域名稱時, 系統會自動增加主伺服器名稱上去, 假使管理者有另一個主伺服器名稱, 可選定自訂方式設定主伺服器位址這個主權網域的主要 DNS 伺服器的 IP 位址, 如果用 UTM 多功能防火牆當作主要的 DNS 伺服器, 可以填 UTM 多功能防火牆的外部 IP 位址擁有者的電子郵件位址管理這個主權網域的管理者使用的電子郵件帳號資料更新時間建議採用內定值資料重傳間隔建議採用系統預設值 3600 資料過期間隔建議採用系統預設值預設資料有效期限 DNS server 對它負責的 domain 資料有一個 TTL(time to leave) 參數, 用來告訴其它 DNS 在 cache 其資料時, 資料只應該 cache 多久超過 TTL, 那個 cache 就要視為過期無效. 建立對應反查網域 : 是否要建立主權網域的反查資料結構 238

240 DNS 伺服器查詢服務內建的 DNS 伺服器可以接受使用者的代理查詢, 例如, 內部的使用者可以將 DNS 伺服器指向 UTM 多功能防火牆的 WAN 介面, 當使用者要查詢時,UTM 多功能防火牆會代理這項 DNS 查詢服務, 並將結果回應給內部的使用者步驟 1. 於 DNS 服務 >> 介面設定中, 新增下列資料開放介面查詢 : 管理者可以決定是否開啟 WAN1 或 WAN2 供查詢接受代理查詢服務的 IP 位址 : 指 UTM 多功能防火牆要幫內部的 IP 位址或是區段, 做代理查詢, 如果設定為 , 表示 UTM 多功能防火牆只允許此 IP 做代理查詢, 而它就不用在連到外部去查詢 DNS 了接受網域抄送的 IP 位址 :UTM 多功能防火牆具有 DNS Server 功能, 而要不要讓其他的 DNS Server 抄寫我們的資料做備份, 只要輸入其 IP 即表是允許它抄寫例如 : 輸入代表把我們上面 DNS 資料抄寫到它的主機上面 ( 圖 6-7) 圖 6-7 DNS 伺服器一般設定畫面 239

241 DNS 伺服器 View 服務這也是 DNS 代理查詢的一部分, 當某一區段的使用者查詢某個特定名稱時, 管理者希望將回應的 IP 位址指向一台特定的 IP 位址, 而其他的用戶查詢同業域名時, 回應不同 IP 位址, 就可以啟用這個機制使用者的 DNS 伺服器必須指向本機的 DNS 伺服器, 這個機制才會運作步驟 1. 於 DNS 服務 >> View 設定中, 新增下列資料 ( 圖 6-8) View 名稱, 輸入要回應的網域或是名稱在來源 IP 位址輸入 View 要服務的區段或是單一 IP 位址圖 6-8 DNS View 設定步驟 2. 於網域設定中, 新增一筆 A 紀錄輸入名稱有效期位址選剛剛定義的 View 名稱, 並且輸入這個 A 紀錄要回應的 IP 位址 ( 圖 6-9) 圖 6-9 DNS View 回應 IP 位址設定 240

242 設定 DNS 伺服器建立一個全新的 DNS 伺服器服務步驟 1. 於 DNS 服務功能中, 新增下列資料網域名稱輸入為 ShareTech.com.tw 網域位址為 ,Custom 代表自行輸入 IP 位址, 也可以選擇 WAN 的介面 IP 位址當作網域位址, 更可以按, 從 WAN 的定義介面中選取 IP 位址系統會自動建立主伺服器名稱, 管理者也可自訂主 DNS 伺服器的名稱鍵入主伺服器位址為 ,Custom 代表自行輸入 IP 位址, 也可以選擇 WAN 的介面 IP 位址當作主 DNS 伺服器, 更可以按, 從 WAN 的定義介面中選取 IP 位址設定擁有者電子郵件地址資料更新時間資料重傳間隔資料過期時間預設資料有效期限採預設值當啟用建立對應反查網域時, 管理者需要輸入 DNS 反查的 IP 位址, 這個功能只限定擁有一個 C 網域 (256 個固定 IP 位址 ) 的用戶, 少於這個數量, 一般都由 ISP 幫客戶做 DNS 反解按下新增, 完成建立 ( 圖 6-10) 圖 6-10 建立 DNS 服務資料 241

243 建立一個 DNS 伺服器查詢紀錄完成基本的 DNS 伺服器之後,UTM 多功能防火牆會自動建立一個 DNS 伺服器列表, 所有的 A 紀錄 MX 紀錄 CNAME 等都需要按在狀態欄的, 進入新增刪除及修改資料,UTM 多功能防火牆預設建立的資料系統會自動建立 DNS 伺服器的 A 紀錄及 NS 紀錄 ( 圖 6-11) 新增 A 紀錄圖 6-11 DNS 預設設定完成的資料在新增資源記錄中, 點選, 代表要增加這個網域下的 A 紀錄 ( 圖 6-12) 建立第一筆 A 紀錄, 郵件伺服器名稱為 mail.sharetech.com.tw, 也可以自訂任何文字有效期限可以使用預設值就好在位址欄選 ANY, 代表任何人來查詢都是回應這個 IP 位址按下後,UTM 多功能防火牆就會自動增加一筆 A 紀錄圖 6-12 第一筆 A 紀錄建立 242

244 如果同一個 A 紀錄有 2 個不同的 IP 位址, 代表要啟用 Inbound Loadbalance 的機制, 跟上述的動作一樣, 再建立另一組 IP 位址, 系統會在下面的 A 紀錄列表中出現字樣 ( 圖 6-13) 當用戶查詢上設定的域名時,UTM 多功能防火牆會自動輪詢回復查詢的 A 紀錄 IP 位址圖 6-13 Inbound Loadbalance 設定增加 A 紀錄後需要按確定按鈕, 資料才會寫入系統中新增 MX 紀錄在新增資源記錄中, 點選, 代表要增加這個網域下的 MX 紀錄, 一般而言, 要先定義好 A 紀錄, 才能在選擇設定 MX 紀錄 ( 圖 6-14) 有效期限預設值就可以郵件伺服器, 這裡指的是郵件伺服器的 A 紀錄, 也就是剛剛定義的 A 紀錄名稱優先權, 可以填入 1 以上的數字, 一般而言數字越低, 優先權越高, 例如, Mail1.abc.com 的優先權設為 5,Mail2.abc.com 的優先權設為 10 當外界頁寄信給 abc.com 的郵件主機時, 會先跟 Mail1.abc.com 要求寄信, 除非 Mail1.abc.com 不回應 ( 掛了 ), 才會由 Mail2.abc.com 回應圖 6-14 MX 紀錄設定 243

245 完成 A 紀錄跟 MX 紀錄, 記得 MX 紀錄一定要有相對應的 A 紀錄, 否則郵件伺服器無法正常回應外界的要求 ( 圖 6-15) 圖 6-15 完成 Mail 伺服器 A 及 MX 紀錄新增 NS 資源紀錄在新增資源記錄中, 點選, 代表要增加這個網域下的 NS 紀錄, 一般而言, 要先定義好 A 紀錄, 才能在選擇設定 NS 紀錄 ( 圖 6-16) 步驟 1. 設定名稱伺服器為 dns.sharetech.com.tw 圖 6-16 設定 NS 記錄步驟 2. 完成設定, 表示 ShareTech.com.tw 的域名的 DNS Server 是由 dns.sharetech.com.tw 的主機管理 ( 圖 6-17) 圖 6-17 完成 NS 記錄 244

246 新增 CNAME 資源紀錄在新增資源記錄中, 點選, 代表要增加這個網域下的 CNAME 紀錄, 一般而言, 要先定義好 A 紀錄, 才能在選擇設定 CNAME 紀錄 ( 圖 6-18) 名稱中輸入名稱 ftp.sharetech.com.tw 有效期限預設值就可以在實際名稱中輸入以上述範例為例, 當中的必須建立一個 A 記錄對應的 IP 位址, 當外界的人輸入 ftp.sharetech.com.tw 時, 實際的回應位址會由的 A 紀錄位址來回應圖 6-18 設定 CNAME 記錄畫面 245

247 6-4 WEB 服務 WEB 服務名詞解釋 : UTM 多功能防火牆可掃描寄到企業內部之 Web 電子郵件, 使企業不會因為病毒信, 導致電腦中毒, 整體作業停擺, 喪失許多商機 WEB 設定最大連線數設定最大掃描連線數, 最高為 400 最大掃描檔案大小 (KB) 限制檔案容量為多少範圍內需要掃描, 如設為 0, 則代表所有夾檔都掃描監聽 Port 管理者可以自行設定要監聽的 Port, 如果是多筆可以以, 區隔掃描結果網頁設定 / 主題 / 欲顯示的內容通過 web 掃描後, 顯示訊息內容 246

248 WEB 設定 UTM 多功能防火牆是使用 ClamAV 掃毒引擎, 不需要安裝, 就可以使用啟動掃毒時會比較耗費 UTM 硬體資源, 如 CPU RAM 等, 如果整個網路環境已經建立類似防毒牆的郵件閘道器, 專責掃毒, 則此項功能可以關閉步驟 1. 於 WEB 中的 WEB 設定功能中, 新增下列資料 ( 圖 6-19) 最大掃毒連線數設為 400, 範圍是 10 ~1500 鍵入最大掃描檔案大小為 1024 KBytes 輸入監聽的 port 號, 輸入多筆可以以, 分隔逗號區隔在主題欄位, 管裡者可以自行輸入文字, 當發生中讀網頁時, 會通知使用者, 該網頁有毒圖 6-19 WEB 掃毒設定 247

249 欲顯示的內容中可以輸入更多的說明文字, 整體的效果, 可以按預覽按鍵 ( 圖 6-20) Mailbox 列表圖 6-20 中毒網頁警示畫面當啟動 WEB 內容記錄的時候, 可以再針對 Mailbox 進行分類, 包含 Hotmail Yahoo mail163 Pchome Hinet Sohu QQ mail21cn 的 Webmail 在進行分類, 獨立出來做紀錄但是如果管理者沒有啟動 WEB 紀錄時, 就算啟動這 Mailbox 的服務也是沒作用 ( 圖 6-21) 圖 6-21 啟動 Webmail 紀錄 248

250 6-5 FTP 服務 FTP 服務名詞解釋 : UTM 多功能防火牆可掃描藉由 FTP 傳送之檔案, 使企業不會因為病毒檔案, 導致電腦中毒, 影響整體作業運作 FTP 設定檔案大小超過後, 不做病毒掃描設定 FTP 掃毒檔案達多少容量空間後即不做掃描檔案大小超過後, 設備不存檔案所有經過 FTP 掃描的檔案,UTM 多功能防火牆都會記錄下來但是為了避免設備記錄負載量過大, 管理者可以設定當檔案超過多少容量時, 不做存取動作支援 FTP 主動連線模式傳統式 FTP 連線方式是採用主動模式, 由用戶端隨機使用一個大於 1023 ( 也就是 1024 以上 ) 的通訊埠 ( 為了方便說明我們以 port N 來代表 ), 與 FTP 伺服器的命令通訊埠 (port 21) 建立連線, 同時用戶端自己開啟一個 N+1 的通訊埠等待伺服器連線伺服器接到用戶端的命令之後, 便使用資料通訊埠 (port 20) 主動與用戶端的 port N+1 建立資料連線這樣的模式有點像我們開車去加油的溝通方式, 駕駛打開窗戶 (port N) 對著服務人員 (port 21) 要求加油命令, 同時打開油箱蓋露出加油孔 (port N+1), 服務人員及拿著油槍 (port 20) 對著加油孔 (port N+1) 加油所謂的主動式, 是以伺服器的觀點來看要完成一個主動式連線, 伺服器必須提供以下幾個溝通管道 : FTP 伺服器開啟 port 21 接受來自外部任意通訊埠的連線 ( 由用戶端要求建立連線 ) FTP 伺服器使用 port 21 連線到外部任一大於 1023 的通訊埠 ( 回應用戶端的命令埠 ) FTP 伺服器使用 port 20 連線到外部任一大於 1023 的通訊埠 ( 伺服器主動建立資料連線 ) FTP 伺服器開啟 port 20 接受來自外部任一大於 1023 的通訊埠連線 ( 用戶端回覆伺服器資料連線 ) 249

251 以下我們利用一張圖來做說明 : 步驟一用戶端使用 port 1024 與伺服器建立連線, 並提供 port 1025 的資訊給伺服器步驟二伺服器回應用戶端的連線步驟三伺服器主動與用戶端的 port 1025 建立連線步驟四用戶端回覆伺服器由以上的說明可以理解, 主動式連線的真正問題不在於伺服器, 而是在於用戶端的防火牆由於用戶端程式並不是自行建立資料連線, 而是自己開啟一個通訊埠, 要求伺服器連線進來, 這對用戶端的防火牆來說是一個危險的安全警訊, 大部分的網路環境, 都不允許防火牆外部的系統連線到內部的用戶端電腦副檔名不做病毒掃描設定哪些副檔名不做掃描過濾 250

252 FTP 設定設定系統對 FTP 進行過濾掃毒步驟 1. 於網路服務中的 FTP 服務功能中, 新增下列資料 ( 圖 6-22) 設定檔案大小超過後, 不做病毒掃描檔案大小超過後, 設備不存檔案 0 ( 設為 0 為不限制大小 ) 副檔名不做病毒掃描, 輸入 msg,jpg,gif 圖 6-22 FTP 服務設定 251

253 6-6 MSN 服務 UTM 多功能防火牆具有 MSN 對話紀錄的功能, 詳細被錄下的內容, 包含傳遞的檔案, 可以在 ( 內容紀錄 ) 中尋到 MSN 服務名詞解釋 : 同時連線數最多可以容納多少個 MSN 聊天室, 同一個 MSN 帳號或是 IP 位址, 都可能同時開啟數個對話視窗, 每一個對話視窗就是一個聊天室通知被監視的使用者對於 MSN 被紀錄的聊天室, 可以插入一段訊息告知使用者, 目前的對話訊息被紀錄中管理者插入對話時使用的帳號管理者名稱插入對話時使用者看到的暱稱寄送給被監視者的文字插入對話的內容文字 252

254 於 MSN 服務中的 MSN 設定功能中, 新增下列資料 ( 圖 6-23) 同時連線數, 管理者依照內部的使用狀況設置, 預設是 100 個通知被監視的使用者的功能要不要啟動, 如果啟動則需要輸入郵件帳號名稱及插入的文字圖 6-23 MSN 的設定 253

255 6-7 QQ 服務由於 QQ 採用加密模式傳送訊息, 所以 ShareTech UTM 必須透過驗證機制, 取得正確的 QQ 帳號與密碼, 才可以將訊息解密並加以記錄 QQ 服務名詞解釋 : 啟用 : 啟用 QQ 服務後, 管理者可自行設定是否要阻擋紀錄群組檔案傳輸討論組檔案傳輸微雲離線傳檔視頻留言與語音訊息阻擋紀錄用 : 當 ShareTech UTM 系統上沒有使用者的 QQ 帳號, 當使用者去嘗試登入時, 當下系統不允許其登入並記錄其相關登入資料允許登錄 : 允許所有 QQ 帳號都可以登入使用 Chat 記錄 : 當使用者 QQ 帳號登入後, 記錄所有其聊天紀錄允許檔案傳輸 : 設定是否允許使用者藉由 QQ 帳號傳送檔案, 勾選代表開放傳送檔案允許 VOIP 預設值為不啟動, 勾選為啟動 VOIP 通話連線 QQ 帳號管理由於 QQ 採用加密模式傳送訊息, 所以要對 QQ 帳號進行管制, 必須在 ShareTech UTM 管理介面設定使用者相關 QQ 號碼與密碼 254

256 6-7-1 共同設定於網路服務中的 QQ 服務功能中, 新增下列資料 ( 圖 6-24) 步驟 1. 勾選 QQ 啟用服務步驟 2. 步驟 3. 步驟 4. 將阻擋紀錄啟動, 則輸入 AD 網域伺服器具有管理權限的管理者帳號及密碼, 例如 : 帳號 administrator / 密碼設定不要被使用的 AD 群組及使用者, 例如,guest, 如果沒有填入, 在挑選認證帳號時, 所有的群組及使用者都會成為被挑選目標步驟 5. 當設定完成時, 管理者可先行連線測試, 看是否可正常運作圖 6-24 MSN 的設定 255

257 6-7-2 QQ 帳號管理為了方便管理, 企業通常會限制使用者必須通過 QQ 帳號認證管控才可以使用但由於 QQ 走加密服務機制, 必須在系統登入其 QQ 帳號後才可以管控為了減輕管理者維護上的困擾, ShareTech UTM 系統提供 WEB 註冊畫面, 只要輸入 URL : [ 網路介面 IP 位址或網域 ] : [ 網路介面及路由 > 網路介面 > HTTPS Port] /qq.php 即可新增修改帳號例如 :UTM 管理介面為只要將網址改為就進入個人化 QQ 帳號管理畫面 ( 圖 6-25) 圖 6-25 個人化 QQ 帳號管理畫面 256

258 步驟 1. 輸入 QQ 號碼為步驟 2. 密碼輸入為步驟 3. 輸入郵件帳號為步驟 4. 確認資料輸入無誤後, 按下確定鍵, 即可完成資料設定 ( 圖 6-26) 圖 6-26 完成 QQ 帳號增設使用者新增之 QQ 帳號, 系統都依照共同設定管制行為, 如果要針對個別使用者給予不同的管制行為模式, 只要針對其帳號進行使用自訂設定即可 ( 圖 6-27) 圖 6-27 個別 QQ 帳號管制行為修改 257

259 6-7-3 未管理帳號針對尚未加入帳號管理列表, 但是使用者曾嘗試登入之 QQ 帳號, 管理者可以藉由 ShareTech UTM 未管理帳號列表中, 完整呈現 ( 圖 6-28) 圖 6-28 未管理帳號列表 258

260 6-8 SKYPE 服務由於 QQ 採用加密模式傳送訊息, 所以 ShareTech UTM 必須透過驗證機制, 取得正確的 QQ 帳號與密碼, 才可以將訊息解密並加以記錄 SKYPE 服務名詞解釋 : AD Server 派送安裝 : 此安裝檔適用於 AD Server 派送安裝使用, 安裝後不包含反安裝檔案 Skype 啟用 : 啟用與關閉 skype 側錄服務, 需啟用才可進行其他項目的設定側錄 IP 範圍 : 設定在此範圍內的 IP 將啟用 Skype 側錄服務, 可如使用網段方式設定 ( 側錄 IP 範圍與側錄例外清單有相同 IP 字串, 會只設定在側錄例外清單 ) 側錄例外清單 : 此區塊設定的 IP 將被排除不受到側錄, 可如使用網段方式設定 ( 側錄 IP 範圍與側錄例外清單有相同 IP 字串, 會只設定在側錄例外清單 ) PC 本機安裝檔 : 此安裝檔適用於手動在 PC 上安裝, 安裝後須重新開機服務才會啟動 ServerIP 設定檔 (32 位元 )(64 位元 ) : 檔案下載時會取得設備上的 LanIp, 透過派送或手動執行方式, 修改 Skype 側錄軟體的 ServerIp, 請依照安裝環境下載正確的版本 259

於網路服務中的 SKYPE 服務功能中, 新增下列資料 ( 圖 6-29) 步驟 1. 勾選 SKYPE 啟用服務步驟 2. 輸入側錄 IP 範圍, 例如 :192.168.1.0/24, 如果有多組 IP 需進行側錄, 只要分行設定即可步驟 3.

261 於網路服務中的 SKYPE 服務功能中, 新增下列資料 ( 圖 6-29) 步驟 1. 勾選 SKYPE 啟用服務步驟 2. 輸入側錄 IP 範圍, 例如 : /24, 如果有多組 IP 需進行側錄, 只要分行設定即可步驟 3. 如有使用者帳號不進行 SKYPE 側錄, 在側錄例外清單中輸入其位址即可例如 : 步驟 4. 當選擇 AD Server 派送安裝 : 圖 6-29 SKYPE 的設定設定檔案共享 : 將 SkypeUserTools_0.9.3.msi 檔案放入自訂資料夾中, 並共享資料夾以及檔案 ( 圖 6-30) a. 資料夾按右鍵內容 ->[ 共用 ] 勾選共用此資料夾 -> 點選 [ 使用權限 ]-> 新增 everyone 群組 > 點選 [ 安全性 ]-> 新增 everyone 群組 ( 權限至少勾選 ) b. 檔案也同資料夾步驟, 需進行 [ 安全性 ] 設定, 新增 everyone 群組. 圖 6-30 SKYPE 派送設定 - 設定檔案共享 260

262 新增 [ 組織單位 ] ( 圖 6-31) 圖 6-31 SKYPE 派送設定 - 新增組織單位 261

263 新增管制的使用者以及電腦至新增的組織單位 ( 圖 6-32) 圖 6-32 SKYPE 派送設定 - 新增使用者 262

264 建立軟體安裝群組原則 ( 圖 6-33) a. 在新增的組織單位按右鍵內容 > 群組原則 > 新物件 > 點選編輯圖 6-33 軟體安裝 b. 群組物件編輯器 : 使用者設定 > 軟體設定 > 軟體安裝按右鍵新增封裝 ( 圖 6-34) c. 選擇在網路芳鄰裡的分享資料夾中安裝檔 ( 不可直接從本機選擇檔案 ) > 勾選進階 263

265 圖 6-34 軟體安裝 d. 在 [ 調配 ] 裡勾選指派以及勾選下方 [ 登入時安裝這個應用程式 ],[ 不要在控制台的新增移除程式中顯示這個封裝 ] > 按確定 ( 圖 6-35) 圖 6-35 調配設定 264

266 e. 使用者設定 > Windows 設定 > 軟體限制原則按右鍵 [ 新增軟體限制原則 ] ( 圖 6-36) 圖 6-36 Windows 設定 f. 軟體限制原則 > 安全性等級設定 [ 沒有限制 ] g. 將視窗關閉群組物件編輯器 265

267 建立設定 server ip 群組原則 a. 在新增的組織單位按右鍵內容 > 群組原則 > 新物件 > 點選編輯 b. 群組物件編輯器 : 電腦設定 > Windows 設定 > 指令碼 ( 啟動 / 關機 ) > 右方點擊 [ 啟動 ] > 在內容裡點擊 [ 顯示檔案 ] 會出現資料夾視窗 > 將設定檔 [(32)/(64)setServer.reg] 複製到資料夾中 > 在內容裡 [ 新增 ] c. [ 指令碼名稱 ] 輸入 regedit ; [ 指令碼參數 ] 輸入 /s (32)setServer.reg ( 圖 6-37) 圖 6-37 設定指令碼參數 d. 按確定關閉群組物件編輯器視窗 266

268 更新原則在命令提示字元輸入 gpupdate /force ( 圖 6-38) 圖 6-38 命令提示字元設定使用者或電腦重新開啟或登入將套用新的群組原則, 安裝後會自動重新開機 267

269 步驟 5. PC 本機安裝 : 直接點擊執行檔安裝, 需重新啟動始可運作執行 (32)/(64)setServer.reg 設定檔設定 server ip ( 圖 6-39) 圖 6-39 PC 本機安裝 268

270 6-9 病毒引擎 ClamAV 掃毒引擎設定名詞解釋 : ClamAV 掃毒引擎目前狀態郵件伺服器預設的 ClamAV 掃毒引擎是開啟的, 想切換掃毒引擎設定, 可以進入郵件病毒過濾 > 基本設定切換引擎版本及更新時間顯示掃毒引擎目前使用的病毒碼及更新時間, 它的顯示如下 : ClamAV /17983/Mon Oct 21 12:38: 是引擎版本,Mon Oct 21 12:38: 是病毒碼更新時間更新紀錄所有的更新過程都會記錄在更新紀錄中, 移動游標就可以知道這次的更新, 增加了哪些病毒碼病毒碼自動更新時間設定病毒碼每日更新時間, 以小時為計算單位立即更新按下立即更新按鍵, 立刻透過網際網路更新最新的病毒碼 ClamAV 全名是 Clam AntiVirus, 它跟 Linux 一樣強調公開程式碼免費授權等觀念,ClamAV 24 小時更新及維護病毒資料庫, 任何人發現可疑病毒也可以隨時跟她們取得聯繫, 立刻更新病毒碼 ( 圖 6-40) 病毒碼自動更新時間, 預設是 6 個小時, 管理者可以改變更新週期圖 6-40 ClamAV 掃毒引擎設定 269

271 6-10 高可用性 SHARETECH UTM 多功能防火牆提供高可用性 (High Availability) 功能, 供企業內部網路 (Intranet) 和網際網路 (Internet) 之間傳送電子資料時, 其控管網路使用的 MASTER SHARETECH UTM 多功能防火牆發生故障時, 可即時由 BACKUPSHARETECH UTM 多功能防火牆取而代之成為運作中的 MASTER 主機, 來保持內 / 外部網路不斷線的運作, 避免錯失商機網管人員亦可立即獲得新主機的訊息, 來對原本故障的主機做修復保養的工作, 使其能夠盡快恢復運作, 來保障網路永續通暢高可用性名詞解釋 : 模式總共有 2 種模式可以選擇,master 跟 backup 管裡 IP 在啟用高可用性 (High Availability) 功能後, 用來分別登入 MASTER 與 BACKUPSHARETECH UTM 多功能防火牆的 Web UI 做管理動作之 IP( 須與 LAN Port Interface 為同網段之 IP, 但彼此 IP 不可相同 ) 270

272 可用性的設定步驟 : 步驟 1. 個別至二台主機設定自己的 LAN IP 位址,2 台主機的 LAN IP 位址必須在同網段內的不同 IP 位址, 否則會造成 IP 位址衝突步驟 2. 設定 Master 主機 ( 圖 6-41) 點選 master 主機的網路服務 > 高可用性圖 6-41 高可用性設定 -Master 部份以上圖為例, 當本機設為 Master, 遠端主機位址設為 , 則就是備援主機, 按下儲存之後,UTM 多功能防火牆會向遠端主機檢查型號群組和版本是否相同, 檢查成功後才可以做同步動作步驟 3. 設定 Backup 主機 ( 圖 6-42) 點選 Backup 主機的網路服務 > 高可用性圖 6-42 高可用性設定 -Backup 部份 271

273 當模式設為 Backup, 且遠端主機設為 , 則遠端主機就是 Master 主機, 再按下儲存之後, 一樣會做型號群組和版本檢查, 檢查成功後才可以做同步動作當模式設為 Backup 時, 會顯示最近資料同步時間,UTM 多功能防火牆會每隔間 5 分鐘向 Master 要求同步資料, 或則可以手動按立即同步步驟 4. 確認現在由那一台機器接手? ( 圖 6-43) 請用共同管理 IP 登入, 查看首頁上的 HA 狀態圖 6-43 高可用性的運作如首頁的 HA 是 Master, 表示現在是由當初設為 Master 的那台接手, 如果是顯示 Backup, 表示己經切換當初設為 Backup 的那台接手註 1 當 HA 切換至 Backup, 在 Backup 主機所做的任何修改設定,Master 復原起來後, 系統不會向 Backup 同步回差異資料如果需要將 Backup 的資料同步回 Master, 可以將二台角色做互換, Master 改為 Backup, Backup 改為 Master, 這樣資料就會以最初設定的 Backup 為準註 2. 不會被同步的資料, 列舉如下 : 內容記錄器錄下的資料 (Web, Ftp, MSN, IM, Mail..) 系統操作日誌系統 / 網路狀態圖電腦成員列表流量分析資料 272

274 6-11 SNMP SNMP 是專門用於管理網路節點 ( 伺服器工作站路由器交換器 ) 的協定網路管理員透過 SNMP 接收到的訊息, 能即時發現並解決網路問題, 或協助其規劃網路資源的運用對外連線 SNMPv3 SNMP 管理的網路有三個構成要素 : 被管理的設備代理網路管理系統 (NMSs,Networkmanagement systems) 目前 SNMP 有 3 種版本 : SNMPv1: 欠缺加密及認證功能, 皆以明碼傳送字串, 使任何人皆可輕易攔截密碼, 安全性備受爭議 SNMPv2: 改進第一版的許多安全缺陷, 但執行速度能不如第一版快, 且無法和其相容, 因此不被廣泛接受 SNMPv3: 修正了前兩版的問題, 不僅會對所有傳輸資料進行加密, 而且可使 SNMP 代理程式對管理系統做認證動作, 並確保數位簽章訊息的完整性另外, 針對每項訊息還會有存取清單的限制安全等級說明如下 : SNMPv3 規定了三個認證和隱私等級 : 第一等級是無隱私, 即 NoAuthNoPriv 類似 SNMPv1 的明碼字串, 適用於 SNMP 網路實體處於一個可信賴的環境中時第二等級是無隱私認證, 即 AuthNoPriv 第三等級是 AuthPriv 它不僅要進行認證, 而且要對 SNMP 資料進行加密用戶名稱說明如下 : 管理系統在取得 SHARETECH UTM 多功能防火牆的運作資訊時, 所要輸入的認證名稱認證協議說明如下 : 支援 HMAC_MD5_96 HMAC_SHA_96 認證協議認證密碼說明如下 : 管理系統在取得 SHARETECH UTM 多功能防火牆的運作資訊時, 所要輸入的認證密碼加密協議說明如下 : 支援資料加密標準 (Data Encryption Standard), 是一種 NIST 標準安全加密金鑰方法, 使用的加密金加密密碼說明如下 : 管理系統以加密方式取得 SHARETECH UTM 多功能防火牆的運作資訊時, 所要輸入的密碼 273

275 步驟 1. 於網路服務之 SNMP 功能中, 勾選啟動 SNMP Agent 並新增下列資料 : 裝置名稱預設為 Firewall, 可更動之 ( 圖 6-44) 裝置所在地預設為 Taipei, Taiwan., 可更動之登入名稱預設為 public, 可更動之聯絡人預設為 help@common.com, 可更動之註解預設為 Firewall, 可更動之圖 6-44 SNMP Agent WebUI 設定視窗 274

276 步驟 2. 於 SNMP 之 SNMP Agent 功能中, 勾選啟動 SNMPv3 並新增下列資料 : 安全等級預設是 AuthPriv 用戶名稱預設為 public, 可更動之認證協議預設為 MD5, 可更動之認證密碼輸入 UTM 多功能防火牆運作資訊時需確認之密碼加密協議預設為 DES, 可更動之加密密碼輸入加密密碼數值點選儲存鈕完成 SNMP Agent 設定, 由此系統管理員可利用安裝於管理端電腦之 SNMP Agent 用戶端軟體, 隨時接收來自於 SHARETECH UTM 多功能防火牆的異常警訊 ( 會將連線 / 斷線及駭客攻擊時的訊息轉送到設定的 SNMP Agent 訊息接收位址 ) ( 圖 6-45) 圖 6-45 SNMP Agent 設定視窗 275

277 6-12 遠端記錄伺服器遠端記錄伺服器主要是紀錄系統備份出去之相關 log, 包含管制條例封包紀錄應用程式管制紀錄 IDP 紀錄 Botnet 紀錄步驟 1. 於網路服務之遠端記錄伺服器功能中, 進行遠端連線設定, 相關設定如下 : ( 圖 6-46) 勾選啟用遠端連線設定輸入遠端備份 Server IP 位址輸入 Server Port 514 勾選記錄 log 項目並儲存, 即完成設定圖 6-46 遠端記錄伺服器設定 276

278 第七章進階防護 UTM 多功能防火牆可透過異常 IP 分析交換器 (Switch), 即時監控內部機器的分部狀況, 於內部網路發出大量異常封包時, 阻擋此類封包的傳送, 並協助管理人員盡速排除異常狀態, 可以在事件發生的第一時間內知道哪一個電腦在哪一個交換器 PORT 上, 避免企業網路癱瘓 ShareTech 的解決方案很簡單, 讓 UTM 跟 Switch 能夠互相溝通, 貢獻自己優異的功能, 簡單來說, 利用 UTM 偵測到的不合理的資安問題, 除了本身對外的管制動作外封鎖外, 再利用 SNMP 或是 TELNET 的命令通知 SWITCH 執行簡單的 PORT 封鎖 / 管制既可以不改變使用者的任何使用習慣, 又可以在第一時間發現異常時, 將出問題的電腦封鎖在一個小範圍內, 如 ( 圖 7-1) 圖 7-1 協同防禦基本概念一般而言,Layer 2 且支援 SNMP 協定的交換器在市價上是可以被接受的範圍, 所以我們的解決方案不會有聽起來很好, 但要實際做到時因為費用或是佈署上的問題, 導致曲高和寡的困境就算因為費用的因素, 無法全面換成這樣的交換器, 也可以將內網的渾沌區域限制在一個小小的範圍如果選擇協同防禦的交換器, 則可以執行 IP-PORT-MAC 互鎖的功能 277

279 7-1 異常 IP 分析當 UTM 多功能防火牆收到內部機器所發出的大量不正常封包時, 會阻擋此類封包的傳送, 以避免企業網路癱瘓, 整體作業停擺, 並喪失許多商機異常 IP 分析的偵測機制分成上傳下載 2 個方向, 每一個方向可以獨立偵測連線數上傳流量下載流量等數值異常 IP 分析的管制分成 3 個層級, 針對違反設定條件的 IP 位址, 執行紀錄通知阻擋等其中之一或是全部的動作任何網路行為, 不論使用者執行哪一種軟體, 從網路封包的角度, 分成幾個現象, 上傳下載的連線數量 (Connect Session) 流量 (Flow) 跟持續時間 (Time), 藉由偵測這些數量的組合, 推估使用者是正常使用網路或是有異常的行為, 如 ( 圖 7-2) 當發現內部使用者異常行為後, 管理者可以採取多種策略, 例如, 阻擋上網立即限制他的最大頻寬啟用協同防禦機制通知交換器將他封鎖或是通知管理者就好圖 7-2 異常流量的偵測及阻擋以看網路影片為例, 它使用約 5Mbps 的下載頻寬且會持續一段時間, 但是它不會占據你的上傳頻寬及超高的連線數, 管理者可以設定一個正常網路行為下都不會被觸發的數值, 讓 UTM 幫你做第一線的把關萬一, 真的有人觸發了上限值, 管理者可以採取限制頻寬封鎖或是通知交換器將這一個 PORT 關閉的三種處理方式, 管理者可以針對自己的的需求採取對應的處理原則, 例如對於出租型的宿舍網路, 屬於非常強制類型, 有人違反規定時, 把它的頻寬縮小, 讓它可以慢慢地使用網路 278

280 異常 IP 分析名詞解釋 : 當 UTM 多功能防火牆收到內部機器所發出的大量不正常封包時, 會阻擋此類封包的傳送, 以避免企業網路癱瘓, 整體作業停擺, 並喪失許多商機記錄設定 : 設定當 Outgoing 或 Incoming 流量超過 Session 上傳流量下載流量設定時, 需要記錄 Outgoing: 針對網路內到外 Session 流量上傳與下載流量進行偵測同時連線數異常內部的使用者同時連線數超過設定數值, 持續多久的時間, 系統就會認為是異常行為內部對外上傳流量異常內部上傳資料的速度超過多少 kbps, 持續多久的時間, 系統就會認為是異常行為內部對外下載流量異常內部下載資料的速度超過多少 kbps, 持續多久的時間, 系統就會認為是異常 Incoming 針對網路外到內 Session 流量上傳與下載流量進行偵測同時連線數異常外部的使用者同時連線數超過設定數值, 持續多久的時間, 系統就會認為是異常行為外部對內上傳流量異常外部上傳資料到內部 Server 的速度超過多少 kbps, 持續多久的時間, 系統就會認為是異常行為外部對內下載流量異常外部到內部 Server 下載資料的速度超過多少 kbps, 持續多久的時間, 系統就會認為是異常通知設定 : 設定當 Outgoing 或 Incoming 流量超過 Session 上傳流量下載流量設定時, 需通知管理者阻擋設定 : 設定當 Outgoing 或 Incoming 流量超過 Session 上傳流量下載流量設定時, 進行阻擋動作阻擋行為亦提供下列動作模式, 包含阻擋頻寬限制通知管理者阻擋時啟動協同防禦 QOS 頻寬限制設定 : 當遭受限定頻寬時, 設定頻寬上傳下載流量值 279

281 例外 IP 設定 : 針對不想管控的使用者, 可以加入例外 IP 清單裡異常記錄 : 如果使用者流量超過設定值時, 系統會將異常記錄依時間 IP 動作觸發事件限量實際量持續時間管制時間與記錄條列出來管理者也可以藉由搜尋條件快速搜尋 280

282 7-1-1 記錄設定記錄內部中毒電腦發出大量 DDoS 攻擊封包紀錄步驟 1. 於紀錄設定中的 Outgoing Anomaly 功能中, 新增下列資料 ( 圖 7-3) 勾選並設定 Session 超過 100, 持續 120 秒勾選並設定上傳流量超過 512 kbps, 持續 120 秒勾選並設定下載流量超過 1024 kbps, 持續 120 秒圖 7-3 紀錄設定註 1:Outgoing Anomaly: 記錄設定 =< 通知設定 =< 阻擋設定註 2:Incoming Anomaly: 記錄設定 =< 通知設定 =< 阻擋設定 281

283 7-1-2 通知設定通知內部中毒電腦發出大量 DDoS 攻擊封包紀錄步驟 1. 於通知設定中的 Outgoing Anomaly 功能中, 新增下列資料 ( 圖 7-4) 勾選並設定上傳流量超過 512 kbps, 持續 120 秒勾選並設定下載流量超過 1024 kbps, 持續 120 秒步驟 2. 於 Incoming Anomaly 功能中, 新增下列資料勾選並設定上傳流量超過 512 kbps, 持續 120 秒勾選並設定下載流量超過 1024 kbps, 持續 120 秒圖 7-4 通知設定 282

284 7-1-3 阻擋設定 UTM 多功能防火牆對於異常行為區分成 3 個階段, 每個階段的測數值為 : 紀錄 =< 通知 =< 阻擋管理者可以按照網路的實際需求執行上述的 3 種或是其中一異常行為管制例如管理者可以直接啟動阻擋的異常行為, 當違反規定發生時, 直接將使用者封鎖住, 而不先紀錄或是通知阻擋對於阻擋,UTM 幫管理者想的更多, 當有使用者行為異常時, 他會自動執行下列 3 個其中一個動作 1. 阻擋數分鐘 : 這個異常可能是偶發性的, 所以阻擋數分鐘後, 自動會消失 2. 阻擋全天 : 這樣的異常行為已經違反規定, 將他擋個一天禁止使用網路, 以示懲罰 3. 阻擋至管理者解除 : 這樣的異常行為不僅違反規定且可能危害到他人, 將他阻擋下來, 除非狀況整個解除, 才可以放行阻擋內部中毒電腦發出大量 DDoS 攻擊封包紀錄步驟 1. 於 Incoming Anomaly 功能中, 新增下列資料 ( 圖 7-5) 勾選並設定 Session 量超過 300 kbps, 持續 120 秒勾選並設定上傳流量超過 512 kbps, 持續 120 秒圖 7-5 阻擋偵測設定 283

285 步驟 2. 針對已經符合阻擋偵測機制的 IP 位址, 可以再執行下列的阻擋動作 ( 圖 7-6) 阻擋分 : 阻擋幾分鐘, 讓這一個 IP 暫時地無法上網全天阻擋 : 一整天都阻擋, 直到 24:00 後再重新偵測阻擋至管理者解除 : 一直阻擋, 直到管理者放行頻寬限制分 : 套用在其他設定的頻寬限制, 將違反規則的 IP 限制頻寬頻寬限制全天 : 一整天都將他限制頻寬, 直到 24:00 後再解除頻寬限制至管理者解除 : 一直頻寬限制, 直到管理者放行通知管理者 : 任何阻擋動作發生時, 通知管理者阻擋時, 啟動交換器協同防禦 : 搭配交換器協同防禦功能, 將違反規定的 IP 所在的交換器 PORT 封鎖讓他無法上網圖 7-6 阻擋設定步驟 3. 其他設定 QoS 頻寬限制設定 : 限制違反規定 IP 的上下載頻寬網頁阻擋訊息 : 違反規定的 IP 位址被封鎖後上網會顯示的訊息 284

286 7-1-4 例外 IP 設定 UTM 多功能防火牆可以針對異常的 Session 上傳流量下載流量進行記錄通知與阻擋, 但是針對特定的使用者, 如果不要做控管該怎麼辦呢? 利用例外 IP 設定方式, 管理者可以隔絕不過阻擋內部中毒電腦發出大量 DDoS 攻擊封包紀錄步驟 1. 於例外 IP 設定功能中, 新增下列資料 ( 圖 7-7) 輸入 IP/ 網路遮罩, 例如 : /24 輸入方向, 包含 All Incoming Outgoing 步驟 2. 選擇例外項目, 類別有記錄通知與阻擋步驟 3. 依需要填入備註項目圖 7-7 例外 IP 設定 285

287 7-1-5 異常紀錄針對所有異常行為, 系統會詳細記錄其異常行為時間 IP 觸發事件實際量持續時間, 並可從詳細記錄中探得其跑的協定來源 IP 目的 IP 上傳下載封包 ( 圖 7-8) 圖 7-8 異常紀錄 286

288 7-1-6 阻擋清單列出所有異常 IP 阻擋清單紀錄,UTM 多功能防火牆會自動將時間 IP 觸發事件限量實際量持續時間阻擋剩餘時間與解除紀錄條列出來 ( 圖 7-9) 圖 7-9 阻擋清單紀錄 287

289 7-2 交換器管理當 UTM 多功能防火牆可透過交換器 (Switch), 即時監控內部機器的分部狀況, 於內部網路發出大量異常封包時, 阻擋此類封包的傳送, 並協助管理人員盡速排除異常狀態, 避免企業網路癱瘓如何管理內部網路每一個管理者想要的需求都不一樣, 有人關心每一個 IP 位址的流量, 有人關心每一部電腦的實際位置在哪裡, 再加上內部網路的網路線的盤根錯覺, 讓每一位管理者頭疼 ShareTech 的交換器管理把這一切都簡單化了, 以 UTM 的 LAN 或是 DMZ 為出發點, 把每一個交換器的 Uplink 跟 Downlink 標示出, 佐以階層的觀念, 將所有的交換器分層顯示, 如 ( 圖 7-10) 所示, 要找尋出問題的電腦實際位置時, 按圖索驥就可以了圖 7-10 交換器的階層圖以圖形介面的方式顯示每一個 IP 位址的交換器 PORT 之後, 就會讓內部網路的真實架構一目了然, 例如, 哪幾個交換器間是彼此互接, 此時, 再搭配 UTM 的位址表管理圖像, 讓網路管理不再只是 IP 位址的虛擬管理, 每一個 IP 接在哪一個交換器 PORT, 能不能自己更換 IP 位址, 每一個管理動作都是有圖有真相 288

290 交換器管理名詞解釋 :: 交換器屬性 : 提供協同防禦與 SNMP 交換器兩種模式型號 : 可選擇欲建立連線的系統內建或自訂交換器名稱 : 交換器的連線名稱 IP 位址 : 交換器的 IP 位址命令模式 : 系統提供 Telnet 與 SSH 兩種模式登入帳號 : 系統以 TELNET 或 SSH 方式連入交換器時所使用的帳號登入密碼 : 系統以 TELNET 或 SSH 方式連入交換器時所使用的密碼埠號 : 系統以 TELNET 或 SSH 方式連入交換器時所使用的埠號 289

291 7-2-1 交換器設定 UTM 多功能防火牆透過指定的協同防禦交換器和 SNMP 交換器, 迅速隔離排除內部網路異常狀況步驟 1. 於進階防護之交換器管理功能中, 新增一台協同防禦交換器設定 : ( 圖 7-11) 按下新增鈕選擇交換器所在的介面設定交換器屬性協同防禦交換器選擇交換器型號名稱輸入欲連線交換器的指定代稱輸入交換器的 IP 位址輸入和交換器建立連線的 SNMP Read/Writer 及 Webui 埠號按下連線測試鈕, 可確認密碼 SNMP 是否正常無誤圖 7-11 新增協同防禦交換器 290

292 協同防禦交換器增加項目 A 命令模式 : 可以選 TELNET 或是 SSH 方式跟交換器溝通 B 登入帳號 : 命令模式下的登入帳號 C 登入密碼 : 命令模式下的登入密碼 D 設定模式密碼 : 命令模式下, 切換成設定模式的密碼 E 連線測試 : 可以按下這個按鈕測試剛剛輸入的資料是否正確步驟 2. 於聯合防禦系統之 SNMP 交換器功能中, 新增一台 SNMP 交換器設定 : ( 圖 7-12) 選擇交換器所在的介面設定交換器屬性 SNMP 交換器名稱輸入欲監控交換器的指定代稱輸入交換器的 IP 位址輸入和交換器建立連線的 SNMP Read/Writer 及 Webui 埠號按下連線測試鈕, 可確認密碼 SNMP 是否正常無誤按下確定鈕圖 7-12 新增 SNMP 交換器 291

293 可以按下自動搜索的按鈕, 讓 UTM 自動幫你找尋 LAN 介面下的 SNMP 交換器, 搜尋的結果會列在 ( 圖 7-13), 將要管理的交換器在動作下方按下, 就完成加入的動作圖 7-13 自動加入設定後 UTM 多功能防火牆會將所有的交換器列表, 管理者更可以在這裡管理所有的設備 ( 圖 7-14) 圖 7-14 交換器列表在 UTM 多功能防火牆的交換器列表, 管理者更可以在這裡直接進入所有交換器的 WEB 管理畫面 ( 圖 7-15), 讓管理者可以統一的介面管理內部所有的網路設備圖 7-15 由 UTM 進入交換器管理介面 292

294 7-2-2 網路狀態圖對企業來說, 對許多網管人員來說最麻煩的就是查線路, 尤其當線路環境很亂時候要查出哪一台 PC 接在哪一台交換器上面尤其痛苦眾至 UTM 多功能防火牆結合 SWITCH 交換器介面, 讓管理者可以一目了然知道目前內部使用者連線狀態, 連到設備哪一台交換器, 就算是串接到第二層交換器也可同樣顯示出來 ( 圖 7-16) 圖示說明 : 介面顯示 : 切換不同介面的資訊層的關係 : 不同階層之間一定是由 Up Link+Down Link 配對組合,UTM 會顯示上下 : 這個孔位有接一台以上不可網管的交換器 : 這個孔位有接一台 PC 且目前是開機狀態 : 按下立即更新按鈕將會把所有狀態更新搜尋 : 輸入 IP 位址後,UTM 會幫管理者找出這一個 IP 位址在哪一個 PORT 上圖 7-16 網路狀態圖 293

295 點選或是的圖標,UTM 介面會顯示這一個 PORT 的更詳細的資料 ( 圖 7-17) 向上對接孔 : 指定這一個 PORT 對 UPlink PORT 啟用 / 關閉 : 將這一個 PORT 整個開啟或是關閉 In / Out : 整個 PORT 的流入 / 流出流量對外網路上傳 / 下載流量 : 這個 IP 位址對網際網路的流入 / 流出流量接入位置 : 這部電腦實際是接在哪一個交換器的哪一個 PORT 上綁定 : 當交換器是協同防禦時, 管理者可以將這個 IP/MAC 鎖在這個 PORT 上圖 7-17 個別 PORT 網路狀態圖 294

296 7-2-3 綁定清單管理者為了方便內網管理, 希望能在交換機上綁定 PC 使用者對象在交換器上的 PORT 綁定 IP 位址與 MAC 位址, 如果 PC 轉移到交換器其他 PORT 位置, 網路就無法通行 ( 圖 7-18) 步驟 1. 點選進階防護交換器管理綁定清單, 進行下列相關設定 : 設定 IP 位址為設定 MAC 位址為勾選協同防禦交換器機型設定交換器 PORT 號按下確定, 即可完成設定圖 7-18 綁定清單設定畫面 295

297 7-3 內網防護對 UTM 而言, 最難偵測到的攻擊類型就是廣播型的封包, 如 ARP 欺騙私架 DHCP 伺服器等, 因為通訊協定的先天性缺陷, 導致這一類的攻擊行為很難被偵測出來, 就算找到了攻擊者, 因為偵測機制無法跟第一線的 UTM 或是交換器互相溝通, 無法做立即的封鎖, 傳統的方式是發生問題時, 請人到每一台交換器上拔線測試外, 別無他法 ShareTech 的 ARP 偵測機制, 可以在第一時間內就找到濫發佈 ARP 訊息的人, 此時他只是處於 ARP 攻擊前的準備, 尚未發動任何攻擊, 站在管理者的角度, 它是在合法跟非法的邊緣, 如 ( 圖 7-19), 搭配協同防禦交換器的設備, 可以標示出這個 IP 的實體位置, 讓他無所遁形圖 7-19 ARP 攻防紀錄萬一, 偵測到內部有受害者出現了, 管理者就可以合理的懷疑, 曾經濫發佈 ARP 訊息的 IP 位址可能是攻擊者的候選人, 管理者可以啟用協同防禦的機制, 將攻擊者的交換器 PORT 封鎖掉, 把攻擊者堵在他自己的網路卡上, 不讓他繼續危害他人內網防護名詞解釋 : ARP 防護 : 可以偵測內部網路非軍事區封包警戒值進行封鎖或通知管理者偽造者偵測 : 可以偵測內部網路非軍事區偽造 MAC 與 IP 位址 296

298 7-3-1 防護設定 ARP 偽造者的攻擊防護對 UTM 設備來說比較難以處理, 因為 ARP 是用廣播封包的方式處理, 在尚未建立 TCP/UDP 連線前就先存在的網路溝通方式 ( 圖 7-20) UTM 多功能防火牆藉由特殊的處理機制, 分辨出攻擊者跟受害者, 讓管理者可以介入調查偵測介面 : 要將防護機制套用在哪一個介面上, 目前可偵測為內部網路與非軍事區 ARP 封包警戒值 :ARP 偵測機制, 數值越大偵測的靈敏度越低偽造者偵測 :IP : 對於違反規定的 IP 要不要執行自動封鎖機制, 啟用後會將 IP 所在的交換器 PORT 關閉偽造者偵測 :MAC : 對於違反規定的 MAC 要不要執行自動封鎖機制, 預設值為一小時偵測 3 次, 發現有偽造 MAC 位址者, 會先快速封鎖阻擋, 當然管理者也可以設定信任 MAC 位址連動異常 IP 阻擋清單 Port 關閉 : 超過偵測數值的 IP 位址, 所在的交換器 PORT 將會被關閉掉連動 BotNet Port 關閉 :Botnet 有啟動阻擋機制且攻擊行為持續次 / 分, 就會啟動協同防禦機制, 把超過違規的 IP 位址, 所在的交換器 PORT 將會被關閉掉通知管理者 : 當有上述事件時, 發一封通知信給管理者通知項目包含連動異常 IP 阻擋連動 Botnet Port 阻擋 ARP 防護 IP 衝突與 MAC 衝突 297

299 圖 7-20 防護設定 298

300 7-3-2 ARP 紀錄 ARP 的攻擊的偵測紀錄 ( 圖 7-21) 紀錄時間 IP 位址 MAC 位址事件接入位置狀態與動作, 並分辨出攻擊者跟受害者, 讓管理者可以介入調查 IP 位址 : 這個 IP 位址是在哪一個交換器的哪一個 PORT 上事件 : 當交換器是協同防禦時, 可以依超出警戒值與受害者條件快速搜尋狀態 : 攻擊進行中或是已經停止搜尋 : 根據特定條件搜尋功能及紀錄圖 7-21 ARP 攻防紀錄 299

301 7-3-3 MAC 衝突紀錄 MAC 位址的攻防的偵測紀錄, 如果內部有人偽裝他人正常的 MAC 位址, 就會顯示在這裡, 讓管理者介入調查 ( 圖 7-22) MAC 位址 : 哪一個 MAC 被偽裝 IP 位址 : 哪一個 MAC 被偽裝成哪一個 IP 位址接入位置 : 接入哪一台交換器圖 7-22 MAC 衝突紀錄 300

302 7-3-4 IP 衝突紀錄 IP 位址的攻防的偵測紀錄, 如果內部有人偽裝他人正常的 IP 位址, 就會顯示在這裡, 讓管理者介入調查 ( 圖 7-23) MAC 位址 : 哪一個 MAC 被偽裝 IP 位址 : 哪一個 IP 被偽裝成哪一個 MAC 位址狀態欄可以清楚掌握哪一個 IP 可能有問題圖 7-23 IP 衝突紀錄 301

303 7-3-5 封鎖狀態管理者針對內部網路或非軍事區網路進行封包偵測, 當來源 IP 位址發送量超過防護設定時, Sharetech UTM 系統會封鎖並列出所有可疑 IP, 其封鎖紀錄包含 ARP MAC IP Botnet 與 Anomaly( 異常 IP) ( 圖 7-24) 圖 7-24 封鎖狀態 302

304 第八章郵件管理所謂的郵件管理, 是指 UTM 多功能防火牆對郵件的處理基準, 在本單元中則定義為郵件閘道器代理外部郵件郵件掃毒垃圾郵件過濾和郵件紀錄查詢等設定當公司的郵件主機時常遭受到病毒信件垃圾信件系統當機等問題時候, 該怎麼辦呢?( 圖 8-1) ㄧ般企業 Mail server 常產生的問題有 : 圖 8-1 一般企業郵件伺服器規劃架構 1. 病毒流竄 : 電子郵件病毒往往偽裝成各種形狀, 引誘使用者點選 2. 垃圾信橫行 : 垃圾信導致員工的生產力降低 3. 伺服器負荷重 : 電子郵件病毒垃圾信跟正常信件ㄧ樣, 郵件伺服器都需要浪費寶貴的運算資源在這上面 4. 沒有備機機制 : 企業命脈的郵件伺服器, 因為當機所造成的損失難以估計 5. 重要信件遺失 : 有時候使用者誤刪了信件或沒有收到客戶訂單, 造成企業營運上的損失 303

305 ShareTech 解決方案在企業的郵件伺服器前加上一台 ShareTech 的 UTM UTM 多功能防火牆設備, 幫企業先做好病毒的防範, 同時也將不想要的郵件過濾, 再送到郵件伺服器, 確保所有進入信件都正常無害 ( 圖 8-2) 圖 8-2 眾至解決方案 304

306 8-1 郵件過濾與紀錄郵件過濾與紀錄名詞解釋 : 外部對 LAN DMZ 的寄信郵件掃毒垃圾信過濾備份針對所有從 WAN 對 LAN WAN 對 DMZ 進來之信件, 經 UTM 多功能防火牆設備過濾後之郵件是否要進行掃毒垃圾郵件過濾或者紀錄, 管理者可依環境需求自行設定, 這個功能需要搭配管制條例中外對內管制中的啟用郵件過濾及紀錄選項如果啟用垃圾郵件過濾中的垃圾郵件在隔離區並且發送清單, 上述設定才會有效 LAN DMZ 對外部的郵件掃毒垃圾信過濾備份針對寄送到外部 SMTP 伺服器信件或接收外部 POP3 伺服器的信件是否要做掃毒垃圾郵件過濾與郵件紀錄 SMTP 記錄設定針對外對內 ( 外部對 LAN DMZ) 或內對外 (LAN DMZ 對外部 ) 是否要記錄所有傳送過濾之檔案並可設定是要記錄簡單版或詳細版郵件記錄相關設定為了避免硬碟記錄容量過大, 管理者可以針對大檔案不做檔案附件備份, 或者不做掃毒垃圾郵件過濾判斷, 只做黑白名單處理模式 305

307 8-1-1 郵件過濾與紀錄外到內郵件過濾與紀錄 UTM 多功能防火牆具有郵件閘道器功能, 所謂郵件閘道器就是利用郵件代理的技巧, 將所有的信件攔到 UTM 多功能防火牆的中, 經過垃圾郵件病毒過濾紀錄等機制後, 再將原來的郵件轉給原來的郵件伺服器, 補足原來郵件伺服器不足的地方因為 UTM 多功能防火牆本身不是郵件伺服器, 對於要將垃圾郵件通知的信件寄給收信者, 需要借重原來的郵件伺服器提供帳號步驟 1. 於郵件管理中的郵件過濾與紀錄功能中, 新增下列資料 ( 圖 8-3) 啟用外部對 LAN DMZ 的寄信郵件掃毒垃圾信過濾備份設定中全選 ( 掃毒垃圾郵件過濾郵件紀錄與郵件備份 ) 功能, 也可以分別選也可以全部選設定郵件備份, 此選項用於備份郵件檔案, 當郵件記錄後會將郵件檔案備份到硬碟中, 提供管理者下載或放行郵件圖 8-3 建立外對內郵件處理方式步驟 2. 於郵件管理中的郵件過濾與紀錄選項, 在 LAN DMZ 對外部的郵件掃毒垃圾信過濾備份, 新增下列資料 ( 圖 8-4) 寄信, 可以勾選掃毒郵件紀錄功能收信, 可以勾選掃毒垃圾郵件過濾郵件紀錄功能按下儲存鍵圖 8-4 建立內對外郵件處理方式 306

308 註 : 如果啟用收信的垃圾郵件過濾功能, 因為信件在送給使用者前會經由垃圾郵件處理, 所以使用者會比之前的每封信, 收信時間多個 2~3 秒鐘步驟 3. 於郵件管理中的郵件過濾與紀錄選項, 在 SMTP 記錄設定, 新增下列資料 ( 圖 8-5) 外部對 LAN DMZ : 勾選全部 LAN DMZ 對外部 : 勾選全部記錄類型 : 可記錄簡單或詳細版圖 8-5 設定 SMTP 記錄設定步驟 4. 於郵件過濾及記錄中的郵件記錄相關設定選項, 新增下列資料 ( 圖 8-6) 郵件檔案備份 : 預設值為 0, 代表不限制 LAN DMZ 對外部收信 : 預設值為 640KB, 代表檔案超過 640KB 不做掃毒垃圾郵件過濾, 只進行黑白名單處理圖 8-6 建立郵件記錄相關設定步驟 5. 於郵件過濾及記錄中的更換來源 IP 位址為 WAN IP 選項, 新增下列資料 ( 圖 8-7) 外部對 LAN,DMZ 寄信 : 勾選啟動外部對內部寄信過濾, 預設值為啟動 LAN,DMZ 對外部寄信 : 勾選啟動內部對外部寄信過濾, 預設值為啟動圖 8-7 建立郵件記錄相關設定 307

309 步驟 6. 於郵件過濾及記錄中的垃圾郵件清單稽核通知信的連線設定選項, 新增下列資料 ( 圖 8-8) IP 位址或 Domain : 可設防火牆的 IP 或 Domain 通訊埠 : 設為 8888, 若要指定連線協定, 請先檢查外部網路設定中啟用的管理服務連線協定 : 可選擇 HTTP 或 HTTPS( 加密模式 ) 圖 8-8 設定垃圾郵件清單稽核通知信的連線 308

310 8-1-2 有效帳號設定 UTM 多功能防火牆當作垃圾郵件過濾閘道器時, 因為沒有郵件帳號, 所以會收下非本機帳號的郵件在佇列中, 在佇列中的垃圾郵件數量多時, 會造成本機的負擔把郵件帳號複製一份放在閘道器會是一個不錯的作法, 但是如何增加帳號呢? 自動增加跟手動匯入是 2 種不錯的方法需要驗證 / 不需要驗證對於填入的網域或是帳號, 後方的郵件伺服器需不需要驗證帳號是否正確, 一般而言, 如果選擇不要驗證, 則後方的郵件伺服器需要將防火牆的 LAN IP 位址加入他的 Relay 中自動增加只要填入網域名稱, 所有經過閘道器且成功到後端郵件主機的帳號就會自動到有效帳號的名單中手動匯入學習啟用 :UTM 多功能防火牆會自動學習合法有效的帳號網域清單 : 把後面郵件伺服器的網域填入就可郵件帳號 : 填入合法的郵件帳號管理者可以整理內部的郵件帳號, 一次性的匯入系統中 ( 圖 8-9) 圖 8-9 有效帳號設定 309

311 Exchange 與非 Exchange 對於後端是 Exchange 郵件服務器且郵件帳號跟 AD 網域組合在一起的動作, 也可以設定同步機制, 將 AD 上的郵件帳號一起匯入 ( 圖 8-10) 圖 8-10 有效帳號設定同步不啟用,: 如果 UTM 多功能防火牆不跟 AD 伺服器同步帳號, 則需要在這裡填入後端郵件伺服器的網域及郵件帳號同步啟用, 如果 UTM 多功能防火牆跟 AD 伺服器同步帳號, 則需要在這裡填入後端郵件伺服器的網域及郵件帳號 ( 圖 8-11) AD 主機的 IP 位址輸入 Active Directory 主機的 IP 位址, 一般而言是指 PDC( 主網域控制站 ) AD 網域名稱 Active Directory 網域名稱, 也就是 Windows 主控台設定的域名 AD 登入帳號, 具有管理權限的登入帳號輸入 Active Directory 主機登入的帳號, 郵件伺服器就是藉由這個帳號執行 2 件工作 AD 登入密碼, 有管理權限的登入密碼輸入前面 AD 登入帳號中輸入的帳號, 在 Windows Active Directory 主機的密碼連線測試, 設定完成前四項後, 可以按下連線測試按鈕, 驗證設定的資訊是否正確 310

312 忽略的 Ms Exchange 群組, 不同步的群組忽略的 Ms Exchange 使用者, 不同步的帳號圖 8-11 AD 同步設定有效清單設定是否允許非有效清單的網域通過, 預設值是關閉紀錄哪些寄件者嘗試經過 UTM 多功能防火牆的 SPAM 機制到後端的 MAIL SERVER ( 圖 8-12) 圖 8-12 阻擋紀錄註 1: 當啟動有效帳號啟用功能後, 凡是未建置在有效帳號欄位的帳號都會被系統直接隔離刪除, 因此, 當啟用此功能時需特別注意有效帳號名單的建立註 2: 帳號名單除了可單筆建立外,UTM 多功能防火牆亦提供快速匯入方式, 可將檔案存為.txt.csv 檔檔案內容格式如下 : jean@sharetech.com.tw sales@sharetech.com.tw help@sharetech.com.tw 311

313 8-1-3 灰名單與 IP 反解設定灰名單過濾功能只要是過濾垃圾郵件行為, 一般來說廣告業者在第一次發送廣告信件時, 如果收件者拒收, 就不會再發送第二次, 而灰名單過濾主要就是發揮這種特性, 對於第一次陌生寄送的帳號都拒收正常的郵件主機, 在信件第一次發送失敗時, 會在傳送第二次第三次, 則灰名單過濾機制在正常郵件第二次寄送時就會收下信件, 往後此寄件者的來信都不會做阻擋, 除非使用者有將它列入黑名單或其他判別條件中 ( 圖 8-13) 灰名單原理 : 灰名單方法非常簡單, 它僅專注於郵件傳遞的三項信息 1 寄件者來源 IP 2 寄件者 3 收件者如果灰名單系統從未見過這三項組合時, 就會在一定阻隔時間 ( 初值 300 秒 ) 內暫時拒絕這封信件傳遞, 寄件方將會收到如下錯誤訊息 450 < 收件者 >: Recipient address rejected: Greylisted, see 對於正常郵件伺服器而言, 這並不會造成太大問題, 因為它明瞭 450 只是暫時拒絕接收, 因此會在稍後重複嘗試遞送 ; 而對於垃圾郵件發送系統, 通常是採用 : 發後不管偽造寄件者變換 IP 的方法, 這些正是灰名單機制可以有效攔阻的反過來說, 只要見過這三項組合, 且達到一定阻隔時間後和重試時間 ( 初值 2 天 ) 內, 信件就會享有一段有效期限 ( 初值 35 天 ) 內被正常收下, 而且在此期間內收到信件後, 此期限會再被延長灰名單的副作用, 由於初次收信會阻隔一段時間, 所以正常信件實際收到時效將稍被延遲, 延遲時間將視寄件方的郵件伺服器的重送機制而定 ; 同時因為這樣的關係, 可能造成後寄信件比前面信件早到的特殊現象, 不過這都僅限於初次通信時發生 312

314 處理流程如下圖圖 8-13 郵件處理程序參考資料 : 313

315 灰名單設定步驟 1. 啟動灰名單功能 ( 圖 8-14) 步驟 2. 設定收信延遲時間, 預設值為 15 秒步驟 3. 系統會記錄所有阻擋 IP 位址 ( 圖 8-15) 圖 8-14 灰名單設定圖 8-15 灰名單阻擋紀錄 314

316 IP 反解設定可以用 IP 反解驗證設定 :DNS 的對映機制可分為兩種 : 正解和反解 : 平常我們打就會幫我們翻譯成就是正解的功能, 當然相反就是反解 ( 圖 8-16) 步驟 1. 啟動 IP 位址反解驗證功能, 預設值為關閉步驟 2. 未通過 IP 反解驗證時, 系統提供管理者三種處理方式 : 分別為直接刪除直接隔離與增加垃圾郵件分數圖 8-16 IP 反解驗證設定 315

共用設定有些寄件者是企業本身長期合作的客戶, 為了避免客戶發送信件遭受灰名單的阻擋, 可以先將企業用戶網域或 IP 先加入信任名單 ( 圖 8-17) 格式如 : 192.168.0.

317 共用設定有些寄件者是企業本身長期合作的客戶, 為了避免客戶發送信件遭受灰名單的阻擋, 可以先將企業用戶網域或 IP 先加入信任名單 ( 圖 8-17) 格式如 : / Trust.domain 圖 8-17 灰名單與 IP 反解共用設定如不想單筆建立, 可以利用匯入方式匯入格式可為.txt.csv( 圖 8-18) 圖 8-18 不受灰名單影響的 IP 匯入格式 316

318 8-1-4 流量封鎖防禦設定灰名單過濾垃圾郵件的發送技術越來越進步, 網路的使用者往往不知道自己已經受害被當成垃圾郵件的跳板而不知傳統的 firewall 或是 UTM 甚至 IDP 並沒有辦法阻擋這樣的行為, 因為從網路的觀點, 這是管理者允許的網路行為, 一旦 ISP 業者發現並封鎖對外 IP 時, 才去找 LOG 紀錄, 分析那一個設備才是跳版 UTM 多功能防火牆的異常發送郵件偵測及阻擋將這一方面的技術發揮到極致, 一旦有人被當跳板, 立刻阻擋 ( 圖 8-19) 認證異常一般正常人發信不會在短短的時間內發送大量的信件, 利用這個特徵值, 管理者可以設定防禦機制假設 UTM 在 120 秒內收到同一個來源 IP 或是帳號對外發送超過 10 封信, 就可以認定他是被植入木馬, 此時將對外發信的動作阻擋特定時間圖 8-19 流量封鎖防禦設定 317

319 流量封鎖防禦 2 種封鎖機制依據寄件者封鎖計算的依據是寄件者, 例如, 用 123@abc.com 對外狂發不特定收信者的信件, 才會列入統計依據 IP 位址封鎖計算的依據是寄件者的 ip 位址, 例如, 使用不特定的寄件者名稱對外狂發不特定收信者的信件, 才會列入統計 ( 圖 8-20) 所有的攻防紀錄都會被系統記錄下來圖 8-20 IP 封鎖防禦設定 318

320 共用設定對於符合系統異常偵測規則之來源, 管理者可以設定封鎖的時間例外 IP 清單與封鎖防禦紀錄 ( 圖 8-21) 步驟 1. 設定每次封鎖時間, 預設值為 600 秒步驟 2. 輸入 IP 例外清單, 可以單筆匯入 ( 一行一組設定 ) 或採取整批匯入形式圖 8-21 流量封鎖共用設定步驟 3. 紀錄封鎖紀錄及狀態 ( 圖 8-22) 圖 8-22 IP 封鎖防禦紀錄 319

321 8-2 郵件掃毒郵件掃毒名詞解釋 : 郵件病毒肆虐, 讓人防不勝防, 對於熟悉病毒運作原理的網管人員, 接收到有問題的郵件時, 例如特殊的圖片, 網址超連結,*.exe.. 等檔案, 通常不會貿然的點選, 感染病毒的機會就少很多但是對於大部分的使用者而言, 要分辨正常跟有問題的電腦執行檔或是網址超連結, 是一件相當困難的事, 點選或是執行後才知道問題, 這時候只能仰仗本身電腦防毒軟體抵擋最後一關了, 如果連這一關都擋不住, 只能求助於網管人員了 UTM 多功能防火牆的防毒功能, 就是避免上述的情況發生, 有問題的郵件一進入 UTM 設備後, 藉由內部病毒過濾引擎, 將有問題的郵件隔離或是刪除, 不必送至使用者的郵箱, 當然就降低使用者感病毒的機會啟動郵件掃毒啟動郵件掃毒時會比較耗費硬體資源, 如 CPU RAM 等, 如果整個網路環境已經建立類似防毒牆的郵件閘道器, 專責掃毒, 則此項功能可以關閉使用掃毒引擎目前 UTM 多功能防火牆內建 ClamAV 掃毒引擎不掃描的檔案建立不掃瞄的檔案名稱 (jpg gif 等 ), 增加郵件處理的速度,UTM 多功能防火牆解析接收的郵件, 如果夾帶檔案的副檔名跟設定的一樣, 掃毒系統就會跳過這個病毒檢查程序, 進入下一個郵件處理程序, 每一不掃描副檔名為一行中毒郵件儲存副檔名為該信件夾帶的病毒檔案會被掃毒引擎清除, 同時更改副檔名為設定的型態, 並且在主旨文字通知收件者這封信件是有病毒, 請收信者小心中毒郵件通知信主旨掃毒軟體判斷郵件中毒後, 如果在中毒郵件處理方式中沒有選自動刪除中毒信件的功能, 這封信仍會送給收件者, 同時在主旨文字加上中毒郵件通知信主旨中輸入的字元, 通知收件者這封信件是有病毒病毒信件隔離區所有被 UTM 多功能防火牆判斷成病毒信的郵件, 統統會被歸類在病毒信件隔離區中, 管理者可以透過病毒郵件的列表, 看到病毒隔離區的信件, 什麼時間什麼人寄給那一個人主旨為何中毒的檔案為何中了那一種病毒, 管理者可以輸入下列選項搜尋特定郵件收件日期 : 有病毒的郵件進入隔離區的時間, 可以指定時間區間寄件者 : 是誰的寄出病毒的郵件寄件者 IP : 寄件者 IP 位址收件者 : 這一封病毒信的收件者郵件主旨 : 病毒信件的主旨郵件大小 : 病毒信的檔案大小 320

322 8-2-1 郵件掃毒啟用郵件掃毒步驟 1. 於郵件管理中的郵件掃毒功能中, 新增下列資料 ( 圖 8-23) 啟動郵件掃毒功能勾選使用掃毒引擎, 目前只有 ClamAV 一個設定不掃描的檔案 jpg jpeg gif 最大掃描檔案大小 (KB) 640 圖 8-23 建立郵件掃毒基本設定步驟 2. 於郵件掃毒中的中毒郵件處理方式功能中, 新增下列資料 ( 圖 8-24) 勾選自動刪除中毒信件中毒郵件儲存副檔名為 virus 中毒郵件通知信主旨為已中毒圖 8-24 設定中毒郵件處理方式 321

323 8-2-2 病毒信件隔離區步驟 1. 於郵件掃毒中的病毒信件隔離區功能中, 搜尋下列資料 ( 圖 8-25) 搜尋的條件如下 : 收件日期 : 有病毒的郵件進入隔離區的時間, 可以指定時間區間寄件者 : 是誰寄出病毒的郵件寄件者 IP : 寄件者 IP 位址收件者 : 這一封病毒信的收件者郵件主旨 : 病毒信件的主旨郵件大小 : 病毒信的檔案大小圖 8-25 病毒郵件搜尋功能 322

324 8-3 垃圾郵件過濾垃圾郵件過濾名詞解釋 : 垃圾郵件的氾濫, 不僅造成工作效率的低落, 病毒木馬郵件甚至會導致網路安全的疑慮, 所以防範垃圾郵件成為郵件系統不得不做的事情 UTM 多功能防火牆內建垃圾郵件的過濾功能, 使用者不會收到堆積如山的垃圾信, 免除從一堆無用的信件中, 挑出所需要接受的訊息, 或在刪除這些信件時, 誤刪所需要的郵件, 讓員工的工作效率提升, 也不會錯失任何業務上往來溝通的訊息判斷垃圾郵件的機制, 最怕的動作就是誤判斷, 將原本正常的信件判斷成垃圾信, 所以都有事後補救的方法, 只是這個辦法是由管理者還是由個別的使用者來做 UTM 防火牆會在設定的時間內, 寄一封個人的垃圾郵件通知信給使用者, 其中會列出時間寄件者收件者主旨綜合垃圾郵件判斷分數等資料, 如果使用者覺得信件被誤判, 直接下載該檔案就可以範例 UTM 多功能防火牆是用整封郵件行為, 並將它轉換成綜合判斷分數, 一般垃圾郵件評分如下所示 : 0.1 MIME_HTML_ONLY BODY: Message only has text/html MIME parts 0.0 HTML_MESSAGE BODY: HTML included in message 2.2 HTML_IMAGE_ONLY_02 BODY: HTML: images with bytes of words 0.7 MIME_HTML_NO_CHARSET RAW: Message text in HTML without chareset 1.9 MIME_HEADER_CTYPE_ONLY Content-Type found without required MIME headers 1.6 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook X-Spam-Status: Yes,hits=6.5 required=6.0 tests=forged_mua_outlo 針對信件的行為給予不同的分數, 例如 : 某個收件者收到一封信, 在信件的本文中只有網址超連接, 沒有其他的文字說明, 在一般的郵件而言, 它很有可能是要誘惑收信者點選某一個特定網站, 有相當程度上它可能會是垃圾郵件, 所以以上述的例子, 給予 0.1 分將這些判斷行為的分數統統加總起來, 就是這封郵件的垃圾郵件分數, 分數越高, 是垃圾郵件的可能性高以上面的範例來說, 加總為 =6.5, 再根據管理者的設定,6.5 分是不是垃圾郵件對於垃圾郵件的處理方法共有 3 種, 主旨加入提示文字放在隔離區刪除, 詳細的說明會在垃圾郵件處理方式中說明 323

325 基本設定名詞解釋 : 目前垃圾郵件過濾狀態顯示目前 UTM 多功能防火牆垃圾郵件過濾機制的運作狀態, 是 [ 正常運作中..] 或是停止運作, 因為有些垃圾郵件的判斷機制會使用網路檢查最新的狀況, 網路不通的情況下, 這個地方會顯示停止運作的狀態垃圾郵件過濾因為垃圾郵件的過濾需要大量的系統資源, 如 RAM CPU 等, 如果系統已經有其他的垃圾郵件過濾機制, 可以將 UTM 多功能防火牆這個功能關閉掉, 預設值是 ( 啟動 ) ST-IP 網路信評這個功能參照垃圾郵件系統的黑名單 IP 位址資料庫, 如果寄件者的 IP 位址來自於被列入黑名單 IP 位址資料庫的 IP, 那他是垃圾郵件的比率就相當高, 預設值是 ( 啟動 ) 如果寄件者的 IP 位址是動態的, 是垃圾郵件的比率也是相當高的這個掃描引擎需要網路暢通才能使用, 所以選擇啟動時要注意,UTM 多功能防火牆對外的網路是否正常快速 ST-PIC 多維圖形辨識技術許多的垃圾郵件都是以圖片方式來寄送, 避開使用內容過濾文字的偵測為了減低使用者在圖片式垃圾的困擾, 利用本身研發的 ST-PIC 多維圖形辨識技術, 大幅降低圖片式垃圾信廣告的襲擊 ST-PIC 多維圖形辨識技術是利用光學辨識技術將圖片內的文字圖形轉換成文字, 再進一步加以過濾, 經過辨識後如果圖檔內的文字符合關鍵字眼, 就會加重其垃圾信可疑度的分數, 預設值是 ( 啟動 ) 貝氏過濾法貝氏過濾法是將信件之內文以貝氏資料庫之規則來評分, 分數越高者其越有可能是垃圾信件一般來說貝氏過濾法會有個資料庫, 當一封信件進入系統的時候會把信件分解成單詞, 比對目前貝氏過濾法資料庫, 分析以往的經驗, 來判別此封信件為垃圾信件的機率, 且貝氏過濾資料庫具有自動學習的功能, 可以依照不同企業收信的狀態來調整最適合的過濾條件貝氏過濾法自動學習機制是否要啟動垃圾郵件過濾機制中貝氏過濾法的自動學習機制自動白名單 (AWL) 機制是否要啟動垃圾郵件過濾機制中自動白名單 AWL 機制, 降低垃圾郵件被誤判的機會垃圾信特徵過濾由於垃圾郵件發送的特徵不斷的在做改變, 除了透過使用者定時回報, 持續不斷累積過濾經驗, 經由特徵採樣資料庫更新速度和自動學習的能力提高設備過濾的及時性與效率 324

326 指紋辨識法所有進入郵件閘道的信件都會以特殊的方式處理, 將信件以特殊的方案轉換成為一指紋碼, 再跟網路上的資料庫做比對, 如果特徵相符合就歸為垃圾信件由於資料庫是長期累積而來, 當一封郵件在經過比對後被歸為垃圾信件時, 資料庫就會存在該封信件的指紋碼跟隨這 UTM 多功能防火牆開機, 自動啟動, 不需要設定垃圾郵件處理方式對於垃圾郵件的處理方法共有 3 種, 這 3 個動作的綜合判斷分數可以分別設定 1. 主旨加入提示文字然後傳給使用者 2. 放在垃圾郵件隔離區, 定時寄送垃圾郵件清單給使用者 3. 直接刪除 325

327 8-3-1 基本設定垃圾郵件過濾基本設定步驟 1. 於垃圾郵件過濾中的基本設定功能中, 新增下列資料 :( 圖 8-26) 步驟 2. 垃圾郵件過濾的基本設定如下 : 目前垃圾郵件過濾狀態 : 顯示目前郵件伺服器的垃圾郵件過濾機制的運作狀態, 是 [ 正常運作中..] 或是停止運作, 因為有些垃圾郵件的判斷機制會使用網路檢查最新的狀況, 網路不通的情況下, 這個地方會顯示停止運作的狀態勾選垃圾郵件過濾為啟動啟動通過 SMTP 認證使用者所發出信件的垃圾郵件過濾, 啟動後, 郵件伺服器對於使用 SMTP 認證成功的寄件者所有的傳送接收郵件, 不會再進入垃圾郵件的過濾程序他的主要原因是一旦通過 SMTP 認這, 確認這個使用者是本機用戶, 所以相對應的管制動作就可以少一些最大掃描檔案大小建議設為 512 圖 8-26 垃圾郵件過濾的基本設定 326

328 垃圾信辨識引擎的設定及狀態步驟 3. UTM 多功能防火牆共使用 7 種垃圾郵件的辨識方法, 其中垃圾信特徵過濾指紋辨識法這 2 種是系統預設啟動的方法, 也是目前常使用的垃圾郵件辨識方法步驟 4. 垃圾信辨識引擎可以啟動或是關閉的項目如下 :( 圖 8-27) 步驟 5. 啟動 ST-IP 網路信評啟動快速 ST-PIC 多維圖形辨識技術啟動貝氏過濾法啟動貝氏過濾自動學習機制啟動自動白名單 (AWL) 機制圖 8-27 垃圾信辨識引擎的設定及狀態 327

329 垃圾郵件處理方式步驟 6. 設定垃圾郵件處理方式為主旨加入文字後傳給收件者 ( 如圖 8-28) 啟動, 主旨加入文字後傳給收件者的功能設定垃圾郵件分數, 大於 5 分以上為垃圾郵件垃圾郵件主旨提示文字設為 Spam-Mail, 可以自訂任何中英文字圖 8-28 垃圾郵件主旨加入文字設定註 1: 垃圾郵件分數大於 1~20 分內, 管理者可以依據本身的需求設定判斷分數, 原則上分數設的越高, 代表使用者必須容許較多的垃圾郵件, 預設值是 5 分一開始設定分數時可以將它的分數稍微調高一下, 例如 7~8 分, 管理者再根據使用者的反應, 或是實際自己郵箱的運作情況調整, 如此就可以調整到適合公司運作的垃圾郵件判斷分數註 2: 垃圾郵件主旨提示文字輸入當郵件伺服器判斷成垃圾信後, 在信件主旨上要加的文字, 預設是 [Spam- Mail], 管理者可以改成想要的任何文字, 當然也可以是空白文字設成空白文字時是不影響使用者的收信習慣, 但是被判斷成垃圾信件的信件會顯示在流量統計的日誌中, 管理者可以先藉由這些日誌分析, 誤判的比率及實際應該設定的綜合判斷分數為何? 328

330 步驟 7. 設定垃圾郵件處理方式為垃圾郵件在隔離區並發送清單 ( 圖 8-29) 啟動, 垃圾郵件在隔離區並發送清單的功能, 使用者收到清單的樣式如 ( 圖 8-30) 設定垃圾郵件分數, 大於 5 分以上為垃圾郵件垃圾郵件在隔離區保留天數設為 7 天, 超過這個日期, 垃圾郵件會被刪除圖 8-29 垃圾郵件清單設定圖 8-30 使用者垃圾郵件清單 329

331 步驟 8. 在隔離區可以搜尋被判斷為垃圾郵件的郵件, 搜尋的條件如下 :( 圖 8-31) 收件日期 : 垃圾郵件進入隔離區的時間, 可以指定時間區間寄件者 IP : 寄件者 IP 位址寄件者 : 是誰寄出垃圾郵件郵件大小 KB : 垃圾郵件的檔案大小收件者 : 這一封垃圾郵件的收件者垃圾郵件分數 : 封垃圾郵件綜合判斷分數的區間病毒 : 垃圾郵件是否含有病毒郵件主旨 : 垃圾郵件的主旨圖 8-31 在隔離區搜尋垃圾郵件 330

332 步驟 9. 設定垃圾郵件處理方式為垃圾郵件直接刪除 ( 如圖 8-32) 啟動, 直接刪除功能設定垃圾郵件分數, 大於 15 分以上為垃圾郵件垃圾郵件刪除紀錄保留天數設為 7 天圖 8-32 垃圾郵件處理方式設定 331

333 步驟 10. 在刪除區可以搜尋被判斷為垃圾郵件的郵件, 搜尋的條件如下 :( 圖 8-33) 收件日期 : 垃圾郵件進入刪除區的時間, 可以指定時間區間寄件者 IP : 寄件者 IP 位址寄件者 : 是誰寄出垃圾郵件郵件大小 KB : 垃圾郵件的檔案大小收件者 : 這一封垃圾郵件的收件者垃圾郵件分數 : 封垃圾郵件綜合判斷分數的區間病毒 : 垃圾郵件是否含有病毒郵件主旨 : 垃圾郵件的主旨圖 8-33 在刪除區搜尋垃圾郵件註 1: 垃圾郵件分數大於管理者可以選擇將綜合判斷分數幾分以上的垃圾郵件直接刪除, 預設值是 15 分, 通常判斷分數大於 10 分以上的大約 99.99% 是發送垃圾信件業者的信件或者是被列入黑名單 IP 位址註 2: 被刪除的垃圾郵件, 並不是真的被刪除, 而是被放在垃圾郵件刪除區, 經過設定的天數後, 預設值是 7 天, 範圍為 1~999 天, 仍舊無人下載,UTM 多功能防火牆就會將這些信件從刪除區中刪除在刪除區的垃圾郵件並不會主動發送清單給收件者註 3: 為了維持郵件伺服器的運作順暢跟實際需求, 並不需要將保留天數調的太高 332

334 Client 垃圾信搜尋 Web 介面以往被郵件過濾系統隔離的信件, 要重新取回需要管理者協助幫忙,UTM 多功能防火牆為了節省網管人員維護的困擾, 允許使用者可自行透過 Web 介面, 只要在網路 IP 位址後面加上 /spam.php 例如 : 目前 UTM 多功能防火牆管理介面位址為則進入 Client 垃圾信搜尋介面需輸入步驟 1. 啟動允許 Client 使用垃圾信搜尋 ( 圖 8-34) 圖 8-34 Client 登入因為 UTM 多功能防火牆本身沒有郵件伺服器的帳號密碼, 所以使用者登入時需要一組帳號密碼, 按下新增按鈕 ( 圖 8-35) 網域 : 郵件伺服器的網域伺服器 IP 位址 : 郵件伺服器的 IP 位址登入帳號附加網域 : 是否要幫使用者自動添加網域名稱, 減少使用者輸入的字串通訊服務 : 用 POP3 或是 IMAP 跟後端的伺服器溝通安全性 : 用不加密 TLS SSL 跟後端伺服器溝通通訊埠 :TCP 埠號憑證 : 對方是否需要憑證圖 8-35 Client 登入時伺服器認證 333

335 步驟 2. 進入 Client 垃圾信搜尋 WEB 介面 ( 圖 8-36) 圖 8-36 進入使用者端垃圾信搜尋 WEB 介面步驟 3. 登入後, 使用者可藉由系統提供搜尋條件 ( 包含收件日期寄件者 IP 方向寄件者郵件大小收件者垃圾郵件分數病毒郵件主旨 ) 快速搜尋 ( 圖 8-37) 圖 8-37 使用者垃圾郵件搜尋介面 334

336 使用者亦可透過個人設定, 建立個人黑白名單帳號並針對黑名單帳號設定處理方式, 包含在主旨加入文字後傳送給收件者或直接刪除兩種方式 ( 圖 8-38) 圖 8-38 編輯個人帳號的黑白名單 335

337 8-3-2 垃圾郵件通知垃圾郵件通知名詞解釋 : 使用者垃圾郵件清單傳送定時地將隔離區的垃圾郵件郵寄清單給每個使用者, 由使用者自行決定是不是垃圾郵件, 減少郵件伺服器或是管理者的人為誤判管理者可以決定要不要啟動這項功能, 如果不啟用, 被歸類在隔離區的垃圾郵件就只能靠管理者幫使用者搜尋下載啟動後,UTM 多功能防火牆就會在傳送時間的設定時間, 寄發一封垃圾郵件通知信給使用者傳送時間以一天為周期性的時間, 每個小時為最小的單位, 管理者可以彈性的設定傳送垃圾郵件清單的時間, 例如, 管理者可以設定每天早上 8 點及中午 12 點, 下午 5 點傳送清單這樣不僅增加彈性, 更能降低總體的垃圾郵件數量垃圾郵件清單主旨 UTM 多功能防火牆寄送垃圾郵件清單的主旨, 管理者可以輸入任何中英文, 設定主旨的最主要目的就是讓使用者容易分辨正常信件跟垃圾郵件清單信件不接受垃圾郵件清單者對於內部的特定帳號, 他不想要收到任何的垃圾郵件清單, 可以在這個地方, 輸入完整的內部 e- mail 帳號, 每一行為一筆帳號 336

338 使用者垃圾郵件清單傳送設定步驟 1. 使用者垃圾郵件清單傳送設定 ( 圖 8-39), 在建立垃圾郵件清單傳送之前需至管理員 SMTP 伺服器設定完成相關設定在新增下列項目 : 開啟使用者垃圾郵件清單傳送選取垃圾郵件清單傳送時間,1~24 小時, 也可以按下立即傳送按鈕, 將清單馬上寄出設定郵件清單主旨為垃圾郵件通知設定不接收垃圾郵件清單者, 每一行為一個帳號需輸入完整的 , 並以 Enter 鍵來換行區隔圖 8-39 使用者垃圾郵件清單傳送設定註 1: 使用者收到一封垃圾郵件清單, 寄件者帳號為 root, 這是由系統自動產生, 但是寄件者的 IP 位址卻是管理者可以自行定義, 通常會設為這台郵件伺服器的外部 IP 位址或是網域名稱 (mail.yourdomain.com) 註 2: 使用者垃圾郵件清單傳送管理者可以決定要不要啟動這項功能, 如果不啟用, 被歸類在隔離區的垃圾郵件就只能靠管理者幫使用者搜尋下載啟動後,UTM 多功能防火牆就會在傳送時間的設定時間, 寄發一封垃圾郵件通知信給使用者註 3: 傳送時間如果帳號很多, 而且每個帳號的在隔離區的垃圾郵件又特別多, 它會導致在製作寄發垃圾郵件清單時郵件伺服器的忙碌狀態, 所以縮短清單寄發的時間, 把負載平均分配按立即傳送按鍵, 會馬上傳送一份垃圾郵件清單至使用者的個人信箱註 4: 不接受垃圾郵件清單者對於內部的特定帳號, 他不想要收到任何的垃圾郵件清單, 可以在這個地方, 輸入完整的內部帳號, 每一行為一筆帳號, 當郵件伺服器在郵寄垃圾郵件清單時, 就會將這些帳號排除在外 337

339 管理者垃圾郵件清單傳送設定步驟 2. 管理者垃圾郵件清單傳送設定 ( 圖 8-40) 開啟使用者垃圾郵件清單傳送以一天為周期性的時間, 每個小時為最小的單位, 管理者可以彈性的設定傳送垃圾郵件清單的時間, 例如, 管理者可以設定每天早上 8 點及中午 12 點, 下午 5 點傳送清單這樣不僅增加彈性, 更能降低總體的垃圾郵件數量選取垃圾郵件清單傳送時間,1~24 小時, 也可以按下立即傳送按鈕, 將清單馬上寄出接收垃圾郵件清單的帳號設定為 jean@sharetech.com.tw 管理者的垃圾郵件清單比較特別的是, 它可以指定收件者, 不一定是 admin@yourdomain.com 這帳號, 輸入任何一個正常的郵件帳號名稱就可以設定郵件清單主旨為垃圾郵件通知郵件伺服器寄送垃圾郵件清單的主旨, 管理者可以輸入任何中英文, 設定主旨的最主要目的就是讓收信的人容易分辨正常信件跟垃圾郵件清單信件設定不接收垃圾郵件清單者, 每一行為一個帳號圖 8-40 管理者垃圾郵件清單傳送設定 338

340 8-3-3 垃圾郵件自動學習垃圾郵件自動學習名詞解釋 : 定時自動學習垃圾信的學習機制要不要啟動, 啟動後郵件伺服器就會定時地在時間內, 將黑名單學習帳號白名單學習帳號的信件匯入垃圾信學習資料庫中, 預設值是 ( 啟動 ) 垃圾信多久學習一次預設是 3 個小時, 設定範圍是 1~24 小時, 也可以按立即學習按鍵, 將黑名單學習帳號白名單學習帳號的信件匯入垃圾信學習資料庫中學習紀錄按下垃圾郵件的學習紀錄按鍵, 會顯示黑名單學習帳號白名單學習帳號的信件匯入垃圾信學習資料庫中的所有學習紀錄, 包含學習的總筆數學習日期從幾封信中學習到幾筆資料黑名單學習帳號所有寄到這個信箱的信件, 資料庫會學習這封信的內容特徵, 並且將這個寄件者寄件者 IP 位址列入黑名單, 而被歸類為黑名單, 下次 UTM 多功能防火牆收到這個寄件者寄來的信會直接被歸類為垃圾信件白名單學習帳號所有寄到這個信箱的信件, 資料庫會學習這封信的內容特徵, 並且將這個寄件者寄件者 IP 位址列入白名單, 而被歸類為白名單, 下次 UTM 多功能防火牆收到這個寄件者寄來的信就不會被歸類為垃圾信件垃圾信學習資料庫對於垃圾郵件學習資料庫的學習資料, 管理者可以將它匯出或是匯入 339

341 垃圾信學習機制設定步驟 1. 於垃圾郵件過濾中的垃圾郵件自動學習功能中, 新增下列資料 :( 圖 8-41) 步驟 2. 啟動自動學習功能, 系統每隔一段時間會自動將黑白名單學習帳號白名單學習帳號中的信學習到垃圾信判斷系統步驟 3. 垃圾信多久學習一次設定為 1 小時步驟 4. 提供匯入黑名單學習帳號檔, 檔案大小上傳建議不要超過 64MB 步驟 5. 提供匯入白名單學習帳號檔, 檔案大小上傳建議不要超過 64MB 圖 8-41 垃圾郵件自動學習步驟 6. 也可以匯入垃圾信學習資料庫 ( 圖 8-42) 圖 8-42 垃圾信學習資料庫匯入 / 匯出畫面註 1: 垃圾信的學習機制要不要啟動, 啟動後郵件伺服器就會定時地在時間內, 將黑名單學習帳號白名單學習帳號的信件匯入垃圾信學習資料庫中, 預設值是 ( 啟動 ) 註 2: 垃圾信多久學習一次預設是 3 個小時, 設定範圍是 1~24 小時, 也可以按立即學習按鍵, 將黑名單學習帳號白名單學習帳號的信件匯入垃圾信學習資料庫中註 3: 學習紀錄按下垃圾郵件的學習紀錄按鍵, 會顯示黑名單學習帳號白名單學習帳號的信件匯入垃圾信學習資料庫中的所有學習紀錄, 包含學習的總筆數學習日期從幾封信中學習到幾筆資料 340

342 8-3-4 個人黑白名單個人黑白名單名詞解釋 : 個人黑白名單匯入 / 匯出個人黑白名單的建立方式, 可採取大量匯入或者單筆建立模式大量匯入檔案格式為.txt 檔, 格式如下圖 8-43 圖 8-43 個人黑白名單格式管理者可以定期將個人黑白名單匯出, 隨時建立備份準備個人黑白名單列表使用者 : 內部網域帳號, 代表這個帳號有建立個人黑白名單規則, 如果這邊沒有列表的內部網域帳號, 就沒有個人黑白名單規則黑名單 : 已經建立的黑名單帳號,(.) 代表沒有白名單 : 已經建立的白名單帳號,(.) 代表沒有編輯 / 刪除 : 編輯修改或是刪除這一筆資料 341

343 UTM 多功能防火牆除了提供管理者所使用的系統黑白名單外, 亦提供個人化規則的黑白名單設定, 在優先權方面, 個人化的黑白名單優先於系統的黑白名單步驟 1. 於垃圾郵件過濾中的個人黑白名單功能中, 新增下列資料 :( 圖 8-44) 步驟 2. 新增個人的黑白名單設定使用者帳號為設定黑名單為設定白名單為圖 8-44 新增個人黑白名單 342

344 步驟 3. 快速匯入黑白名單帳號 ( 圖 8-45) 圖 8-45 匯入 / 匯出個人黑白名單註 :sales@domain.com 被管理者列入系統的黑名單帳號, 但是對於內部網域帳號 support@mydomain.com 的使用者而言, 卻將它設為白名單, 在這樣的情況之下當 sales@domain.com 寄給 support@mydomain.com 的信件, 統統是正常信件, 但是 sales@domain.com 寄給網域內其他帳號的信件, 則會被歸類成垃圾郵件 343

345 8-3-5 系統黑白名單系統黑白名單名詞解釋黑名單對某些特定寄件者的信件, 直接把它歸類為垃圾郵件, 在黑名單區域中填入對方的匯入 / 匯出黑名單 UTM 多功能防火牆也會提供黑名單檔案的匯入匯出, 管理者可以將平常收集的黑名單資料庫收集下來, 必要時將這個檔案上傳即可白名單有些公司的郵件伺服器不小心 ( 郵件伺服器使用的 IP 被前一位使用者拿來發廣告信 ), 而被 mailabuse.org, 等網站列為黑名單, 因為郵件伺服器會參考這些網站內容, 導致那個郵件伺服器寄來的信件都被歸類為垃圾郵件, 為了立刻補救這個缺失, 可以在郵件伺服器中設定白名單, 將寄件者的位址填入白名單區域中, 就可以正常收信匯入 / 匯出白名單郵件伺服器也會提供白名單檔案的匯入匯出, 管理者可以將平常收集的白名單資料庫收集下來, 必要時將這個檔案上傳即可信任 IP 位址設定同白名單的功能, 為避免某些內部使用者 ( 可能分散各地上班的同事 ), 寄出的信件被當成垃圾信件, 使用信任的 IP 位址設定, 可以減少這樣的困擾, 管理者可利用此功能填入信任的 IP 位址或 IP 區段以修正判別垃圾郵件的問題 UTM 多功能防火牆除了提供管理者所使用個人系統黑白名單外, 亦提供個人化規則的黑白名單設定, 在優先權方面, 個人化的黑白名單優先於系統的黑白名單 344

346 系統黑白名單設定步驟 1. 於垃圾郵件過濾中的系統黑白名單功能中, 新增下列資料 :( 圖 8-46) 步驟 2. 新增系統的黑白名單步驟 3. 自訂系統黑名單處理方式, 選擇主旨加入文字後傳送給收件者步驟 4. 可藉由 UTM 多功能防火牆所提供瀏覽路徑快速匯入匯出黑白名單步驟 5. 輸入信任的 IP 位址, 來自這個 IP 位址的寄件者, 都會自動變成白名單圖 8-46 新增系統黑白名單 345

347 排除不做垃圾郵件過濾設定步驟 1. 設定不做垃圾郵件過濾的內部網域位址, 也可採用快速匯入方式步驟 2. 設定不受垃圾郵件過濾的電子郵件位址, 例如每一筆以隔行建置, 亦可用整批匯入格式建立 ( 圖 8-47) 圖 8-47 信任 IP 位址設定註 1: 黑名單 (*@abcd.com), 所有從 abcd.com 網域寄出的信件統統被列入垃圾信件 (spam@domain.com) 寄件者是 spam@domain.com 的信件從, 統統被列入垃圾信件所有從黑名單中寄給本機網域的信件, 都會被列為垃圾信件, 不管其信件內容為何, 所以設定時要小心註 2: 白名單 (*@xyz.com) 所有從 xyz.com 網域寄出的信件不會被列入垃圾信件 (sales@domain.com) 寄件者是 slaes@domain.com 的信件從, 不會被列入垃圾信件註 3: 信任的 IP 位址被設定的信任 IP 位址寄出的寄件者, 統統會被加入白名單中 : 代表 /24 這個區段的寄件者 IP 所寄的信件, 都不會被列入垃圾郵件 : 代表 /32 這個寄件者 IP 所寄的信件, 不會被列入垃圾郵件 346

348 8-4 郵件稽核網路的快速發展, 讓普遍使用於企業及各機關團體及學校中, 然而藉由發生洩密案件卻層出不窮這些多是對於不當的使用, 除了可能造成商業資訊外洩外, 嚴重的會影響企業商譽受損及內部士氣低落並造成網路頻寬之消秏造成員工生產力降低等困擾電子郵件在網路運用上所衍生安全性的漏洞為現今企業不容忽視的一環眾至資訊提供網路及電子郵件稽核解決方法可以針對企業聯外電子郵件, 進行即時完整紀錄 ( 包含外寄郵件 ), 同時提供高效率警示分析, 產生管理稽核報表, 可以讓企業快速導入, 使主管迅速掌握企業員工電子郵件各種誤殺濫用洩密或者密件暗傳等使用行為藉由有效的管理取得在效率安全間的平衡點可將透過 Sharetech UTM 記錄器, 依其郵件特性做稽核的動作, 有效控管郵件的進出 347

349 8-4-1 稽核過濾設定稽核過濾設定名詞解釋過濾器名稱啟動備註設定過濾器名稱, 給一個過濾器的名稱點選啟動後, 設定的過濾器功能才會生效, 例如, 可以將預先要作的過濾功能先設定好, 但是不啟用, 等到要執行時, 將它啟用就可以給予這個過濾器一個更詳細的說明, 管理者不需要查看過濾器的內容, 就可以瞭解這個過濾條件的功能為何? 條件組合方式以 (AND) 或是 (OR) 的邏輯來決定下面 8 項過濾條件是不是全部要符合或是只要有一項符合就有效標示 * 的條件可以輸入特殊定義字,! 表示非的意思, null 表示沒有, 多個條件可以用, 的符號隔闔, 它代表 OR 只輸入 null 字元, 表示當信件沒有主旨文字時在來源 IP 輸入! 表示寄件者來源不是介於 ~ 之間反向代表跟設定值相反的意義如果過濾條件是空白, 代表這項條件就不列入邏輯判斷的依據 (AND) 所有的條件都符合時, 過濾器才會生效, 並將此信件依照處理方式及進階處理的設定方式處理它設定範例在過濾條件寄件人包含中設定 [@yourdomain.com], 郵件主旨包含中設定 [ 報價單 ], 這 2 項資料, 其他都沒有輸入資料, 它就代表 yourdomain.com 的任何一個帳號往外寄信時, 只要信件的主旨有包含 [ 報價單 ] 這 3 個字, 就符合過濾條件 (OR) 只需 9 個過濾條件的任何一個符合, 過濾器就會將此信件依照處理方式及進階處理的設定處理它設定範例在過濾條件寄件人包含中設定 [@yourdomain.com], 郵件主旨包含中設定 [ 報價單 ], 它就代表 yourdomain.com 的任何一個帳號寄信收信, 或是傳送接收郵件的主旨有 [ 報價單 ] 這 3 個字, 就符合過濾條件 348

350 寄件者包含設上要過濾的寄件者位址就可以, 這裡所指的寄件者不光是內部網域的帳號, 外部郵箱寄給內部網域的信, 外部郵箱就代表是寄件者設定範例寄給就是寄件者收件者包含設上要過濾的收件者位址就可以, 這裡所指的收件者不光是內部網域的帳號, 內部網域寄給外部郵箱的信, 外部郵箱就代表是收件者設定範例寄給就是收件者寄件來源 IP 包含填入 IP 位址, 所有從這些 IP 位址, 寄的信件都符合過濾器設定條件, 這個地方也可以設上邏輯條件設定範例 [ ] 代表 ~ 的 IP 位址,[! ] 代表不屬於 ~ 的 IP 位址郵件表頭包含填入要過濾的郵件表頭內容郵件主旨包含填入要過濾的郵件主旨, 例如 ( 報價單 ), 所有外寄內送的郵件主旨出現這 3 個字就符合過濾規則, 不論它原來的主旨是 ( 新聞報價單據 ) 或是 ( 報價單單是一個笑話 ), 都是符合的郵件內容包含填入要過濾的郵件內容, 例如 ( 最新設計圖 ) 字樣, 如果內容有含這些文字就符合過濾器設定條件, 郵件內容是郵件的本文, 不包含郵件所夾帶的檔案, 郵件夾帶檔案的內容無法用這個功能判斷, 目前只能用整封信件的大小及郵件附件檔名作為判斷依據郵件容量大於郵件容量大於多少 Bytes, 包含所夾帶的檔案, 就符合過濾器設定條件, 通常郵件的容量大小是指整封信件的原始格式的大小 349

351 郵件附件檔名包含郵件附件檔名可以含有特定字元, 例如,( 報價單 ), 也就是所有的信件, 只要附帶檔案的檔案名稱有 ( 報價單 ), 就符合過濾器設定條件, 不論是 (2008 最新報價單.DOC) 或是 ( 報價單據.pdf) 垃圾郵件過濾提供增減垃圾郵件分數與不做垃圾過濾設定功能增減垃圾郵件分數 : 眾至郵件伺服器提供貝氏過濾法將信件之內文以貝氏資料庫之規則來評分, 分數越高者其越有可能是垃圾信件一般來說貝氏過濾法會有個資料庫, 當一封信件進入系統的時候會把信件分解成單詞, 比對目前貝氏過濾法資料庫, 分析以往的經驗, 來判別此封信件為垃圾信件的機率, 且貝氏過濾資料庫具有自動學習的功能, 可以依照不同企業收信的狀態來調整最適合的過濾條件但是針對特定字眼主旨, 企業可能要增加其垃圾郵件分數, 可在處理方式做郵件分數的增減例如 : 針對色情要增加其過濾分數 50 分, 可直接輸入 50 如要降低過濾分數 50 分則輸入 -50 即可不做垃圾信過濾 : 對於內部網域的特定收件者, 不希望郵件伺服器幫他作垃圾郵件病毒信件的過濾, 可以在收件者包含中填入特定帳號設定範例填入 sales@yourdomain.com, 並選擇不做垃圾郵件處理, 這個帳號的信件就會全部進入郵箱中直接隔離依過濾器所定條件隔離信件, 公司對於機密性的資料總是害怕員工會藉由傳到外部, 如果沒有一個妥善的郵件管理工具, 那麼這些機密性的文件就不具有安全性因此, 管理者可以在過濾條件設定所列管標題文字內容, 例如 : 報價單, 則內部使用者寄送到外部, 只要有涵蓋報價單的內容都會直接隔離寄信者不會收到隔離的清單, 只有管理者透由稽核過濾隔離區掌握這些直接隔離的信件直接刪除 IP 封鎖對於符合過濾條件的郵件, 直接刪除, 無法將郵件送達最終的收件者, 郵件將進入進階處理的程序直接封鎖寄件者 IP 位址移除符合條件的附件凡是符合上述過濾條件, 勾選移除符合條件的附件, 則系統會自動刪除其附件檔 350

352 抄送副本針對符合過濾條件的信件, 將這封信轉寄給特定的收件者, 不論是外部寄給內部內部互寄內部寄給外部的所有信件, 統統會轉寄, 連同夾帶的檔案也會一併轉寄通知功能跟抄送副本不一樣, 符合過濾條件的信件, 這個選項只會主動寄一封事先設定好主旨的通知信, 給特定的收件者, 至於符合過濾條件的信件內容夾帶檔案, 並不會轉寄給設定的帳號停止處理更多規則停止處理更多規則, 並不是真得不做任何動作, 因為郵件伺服器還會往下繼續用進階處理的方式處理 351

353 範例介紹 : 如果要將所有寄給 jean 這位使用者之所有與報價單相關信件, 轉寄給 jordan 知道, 該怎麼設定呢? 於郵件稽核之稽核過濾設定功能中, 新增下列設定 : 步驟 1. 新增稽核過濾器設定 ( 圖 8-48) 過濾器名稱設為 Jean 報價單過濾勾選啟動鈕備註欄輸入機密資料圖 8-48 新增過濾器名稱 352

354 步驟 2. 設定過濾器條件 ( 圖 8-49) 條件組合方式選擇 OR 收件者包含設為 jean@sharetech.com.tw 於郵件表頭包含選單中輸入報價郵件主旨包含輸入報價單郵件內容輸入報價單郵件容量大於, 數值設為 5K bytes 郵件附件檔包含輸入報價單圖 8-49 過濾器條件設定 353

355 步驟 3. 設定處理方式 ( 圖 8-50) 垃圾郵件過濾勾選不做垃圾信過濾勾選直接隔離於抄送副本選單中輸 jordan@sharetech.com.tw 通知功能 : 通知信主旨設為 jean_ 報價單通知信的收件者設為 jordan@sharetech.com.tw 並勾選寄件者按下新增鈕 ( 圖 8-51) 圖 8-50 過濾稽核處理方式圖 8-51 完成過濾器條件設定 354

356 註 1: 如果稽核過濾條件筆數過多, 也可以利用整批快速匯入方式, 以 csv 檔建立, 匯入名稱依序為 serial_id filter_title match_header match_sender match_receiver match_sender_ip match_subject match_body match_attachment_name action_to_carbon_copy note advise_subject advise_receiver audit_auditor audit_agent audit_subject action_to_separate is_need_all_conditions_hold is_sender_match_local_domain is_receiver_match_local_domain is_check_fake_sender size_over action_to_delete action_to_ignore_spam action_to_adjust_spam_score action_to_ip_block action_to_remove_attachment is_ignore_other_filter is_not_match_sender is_not_match_receiver is_not_match_header is_not_match_subject is_not_match_body is_not_match_sender_ip is_not_match_attachment_name advise_sender action_to_audit is_need_all_receiver_hold is_need_all_subject_hold is_need_all_body_hold is_need_all_attachment_name_hold 355

357 8-4-2 稽核進階設定稽核進階設定名詞解釋每次阻隔時間 ( 秒 ) 當發現 SMTP 認證帳號與寄件者名稱不符合時, 阻隔其再次傳送時間預設值為 600 秒永久阻隔次數預設值為 3, 當阻擋次數超過設定值時, 則會被系統永久阻隔 IP 例外清單輸入不會被阻隔的認證帳號或 IP, 一行一組設定, 格式如下 : Sharetech@my.domain 寄件者例外清單輸入不會被阻隔的寄件者帳號或寄件者帳號 / 認證帳號, 一行一組設定, 格式如下 : Jean@sharetech.com.tw 解除 IP 封鎖當寄件者 IP 被列入封鎖 IP 名單後, 只要將此封鎖 IP 輸入就可以解除封鎖 IP 封鎖記錄記錄所有被阻隔的清單, 但是當記錄檔案大於 100K 時會自動清空紀錄內容 356

358 步驟 1. 新增 IP 封鎖設定 ( 圖 8-52) 每次阻隔時間設為 600 秒永久阻隔次數設為 3 IP 例外清單設為寄件者例外清單設為 jean@sharetech.com.tw 圖 8-52 新增過濾器名稱 357

359 8-4-3 稽核過濾隔離區任何郵件, 只要被郵件伺服器的隔離動作過濾, 都可以在這個地方查詢到管理者可以依照郵件的時間寄件者收件者等資料查詢 ( 圖 8-53) 圖 8-53 稽核過濾區的查詢 358

360 8-5 郵件紀錄查詢 UTM 多功能防火牆可將所有經過它傳送接收的信件, 統統紀錄起來, 紀錄的郵件包含內容附檔, 被紀錄下來的郵件會放在本機的硬碟中, 因為本機的硬碟有空間的限制, 所以又可以將這些紀錄下來的信件,2 次備份到分享網路空間的儲存媒體上 359

361 8-5-1 郵件紀錄 UTM 多功能防火牆會把所有被紀錄的信件在這裡列出來, 方便管理者查詢, 信件的進出及紀錄, 在這裡的紀錄指的郵件的通聯紀錄, 並不代表被紀錄郵件的內容郵件列表如下 :( 圖 8-54) 日期 : 信件進入 UTM 多功能防火牆的日期及時間寄件者 IP : 寄件者 IP 位址收件者 IP : 收件者 IP 位址方向 : 郵件進出方向, 總共有 3 個方向, : 外部進入內部郵件伺服器 : 內部到外部郵件伺服器寄信 : 內部到外部郵件伺服器收信的實際 IP 位址寄件者 : 寄件者的電子郵件帳號收件者 : 這郵件的收件者主旨 : 郵件的主旨郵件大小 : 郵件的大小容量病毒 : 郵件是否含有病毒分數 : 垃圾郵件被判斷的分數處理 : 垃圾郵件的處理方式是主旨加入文字隔離區或是刪除區放行 : 將此封郵件放行給收件者加入系統白名單 : 這一封信的寄件者加入系統的白名單, 下次就不會被判斷成垃圾郵件加入黑名單學習 : 這一封信的寄件者加入系統的黑名單, 下次直接拒絕, 會被判斷成垃圾郵件圖 8-54 紀錄郵件列表 360

362 詳細 : 這封郵件詳細的通聯記錄 ( 圖 8-55) 圖 8-55 郵件詳細通聯記錄 361

363 8-5-2 郵件紀錄查詢在郵件紀錄查詢功能中, 管理者可以搜尋過 UTM 設備的所有郵件, 不論是內部寄出還是外面寄進來的郵件步驟 1. 於郵件紀錄查詢中的郵件紀錄搜尋條件功能中, 新增下列資料 :( 圖 8-56) 收件日期 : 填入要查詢的日期區間寄件者 IP : 寄件者的 IP 位址收件者 IP : 收件者的 IP 位址傳遞方向 : 可選定內對外寄信內對外收信或外對內寄件者 : 寄件者的電子郵件帳號郵件大小 KB : 郵件的檔案大小, 可以設定郵件大小的區間條件收件者 : 這一封郵件的收件者垃圾郵件處理方式 : 信件是屬於正常信件或是垃圾郵件垃圾郵件分數 : 垃圾郵件被判斷的分數, 可以設定分數的區間條件病毒 : 垃圾郵件是否含有病毒過濾器 : 是否有啟動過濾器功能郵件主旨 : 郵件的主旨文字圖 8-56 搜尋郵件 362

364 8-6 SMTP 通聯記錄查詢在 SMTP 通聯記錄查詢功能, 管理者可以搜尋每一封信詳細的 SMTP 通聯記錄, 藉以判斷寄信不成功時的依據步驟 1. 於郵件紀錄查詢中的郵件紀錄搜尋條件功能中, 新增下列資料 :( 圖 8-57) 收件日期 : 填入要查詢的日期區間寄件者 : 寄件者的電子郵件帳號郵件大小 KB : 郵件的檔案大小, 可以設定郵件大小的區間條件收件者 : 這一封郵件的收件者傳送狀態 : 搜尋成功失敗或是其他原因的郵件搜尋後的列表如 ( 圖 8-58) 圖 8-57 搜尋郵件傳送訊息 : 顯示傳送不成功的原因圖 8-58 搜尋郵件 363

365 須更詳細的資料可以按下詳細按鈕 ( 圖 8-59) 圖 8-59 SMTP LOG 364

366 第九章 IDP & Botnet UTM 多功能防火牆具備 IDP( 入侵防禦功能 ) 及 BotNet( 殭屍木馬偵測 ), 它能夠立刻阻止有害的網路行為攻擊內部或是從內部攻擊外部為何要 IDP? 狀態檢測 (Stateful Inspection) 防火牆可以檢視對應 OSI 模型第 2 到第 4 層通訊協定的內容, 他最常檢視及控管的項目為 :Source IP Address( 來源 IP 位址 ) Destination IP Address( 目的 IP 位址 ) Source Port Number( 來源埠號 ) Destination Port Number( 目的埠號 ) 以及 Flag Fields( 旗標欄位 ) 應用程式管制是藉由每個連線的前 2000 個 Bytes 特徵值的組合檢測, 辨識用戶端使用的軟體是哪一種, 如 MSN QQ 等, 辨識出後再利用管制條例的運作管控使用者的使用, 但是對於惡意的攻擊者呢? 例如,SQL Slammer 採用緩衝溢位 (buffer overflow) 的攻擊手法, 因為防火牆開了 SQL 通訊埠, 所以外界的人可以進到內部的 SQL Server, 攻擊者再利用緩衝溢位攻擊的程式碼, 就可以攻擊內部的 SQL 伺服器, 竊取他想要的資料 IDP 的運作 IDP 它會檢查對應到 OSI 模型第 4 到 7 層的內容, 是否有惡意的攻擊程式病毒, 隱藏在 TCP/IP 的通信協定中, 透過詳細的內容檢查後, 符合條件的特徵碼就會被標示出來, 一但發現後能夠即時地將封包阻止, 讓這些穿過防火牆的惡意封包無所遁形 IDP 跟 FireWall 的差別就是 IDP 會做內容或行為檢查,IDP 的優劣就在於特徵值資料庫的多寡及更新速度, 也就是說 IDP 的資料庫有越多的特徵值, 意味它能辨識越多不正常的內容或網路行為, 但是事情總不是如此完美, 越多的檢查就需要越強的運算能力, 否則好處沒嘗到, 反而付出網路速度緩慢的後果一般而言,IDP 的特徵值資料庫會依照危險程度分成高中低三種, 再讓管理者決定放行或阻擋, 考量客戶端的實際網路環境及機器的運算能力, 在中小型的網路架構的 IDP 設備只需要有完整的危險程度高中 ( 例如, 病毒木馬程式 ) 的特徵值資料庫就足夠, 其他屬於警告或通知性質的檢查沒必要處理 365

367 9-1 IDP 設定模式一初階模式因為 IDP 的特徵值眾多, 管理者套用不同的特徵值之間, 有可能將正常的網路封包阻擋, 造成誤判斷的情況, 本來為了安全才使用 IDP 反而造成網路不順暢為了避免這樣的狀況,UTM 多功能防火牆事先將所有的 IDP 事件分類, 分成高中低 3 種風險事件, 管理者依據自己本身的網路架構選用適當的阻擋或是紀錄 IDP 事件就可以 ( 圖 9-1) 步驟 1. 選擇初階設定, 選擇完畢後必須要按套用, 新的模式才會套用 : 步驟 2. 選擇不同風險程度的特徵值要不要通過 UTM 多功能防火牆的管制, 代表通過, 代表禁止, 啟用紀錄, 代表不會紀錄步驟 3. 決定好 IDP 的規則後, 還必須到管制條例套用 IDP 圖 9-1 IDP 初階設定 366

368 模式二進階模式對於了解每一個 IDP 特徵值運作的管理者而言, 可以啟用進階模式, 對 IDP 特徵值做更多的管制或是放行 ( 圖 9-2) 步驟 1. 選擇進階設定, 選擇完畢後必須要按套用, 新的模式才會套用 : 步驟 2. 選擇不同風險程度的特徵值群組名稱要不要通過 UTM 多功能防火牆的管制, 每一個群組名稱中各代表有不同風險程度的特徵代表通過, 代表禁止, 啟用紀錄, 代表不會紀錄圖 9-2 IDP 進階設定 367

369 步驟 3. 決定好 IDP 的規則後, 還必須到管制條例中, 決定哪些管制條例需要套用 IDP ( 圖 9-3) 圖 9-3 IDP 在管制條例中套用 368

370 9-2 IDP 紀錄對於有開啟紀錄的 IDP, 當內部或是外部有人違反運作規則時, 通通會在這裡顯示, 它會依照時間事件群組名稱風險程度介面來源 IP 目的 IP 協定來源及目的埠 ( 圖 9-4) 按下可以將資料排序圖 9-4 IDP 的紀錄 IDP 的搜尋, 依照列表的條件搜尋特定資料 ( 圖 9-5) 圖 9-5 IDP 的搜尋 369

371 9-3 BotNet 設定網路安全的威脅日益變化, 殭屍木馬攻擊手法讓傳統 UTM 內建的防火牆跟防毒系統相繼失去效果, 傳統的駭客跟病毒攻擊法是受感染時馬上發作, 使用者會反應給網路管理者, 網路不穩定, 此時去查詢網路封包異常記錄就可以看出端倪但這一切對於殭屍木馬病毒通通無效, 病毒會潛伏在網路正常封包中默默的蒐集資訊, 當攻擊者的號角響起時, 一起發作攻擊或竊取資訊, 在一場混戰中分不清誰是攻擊者誰是受害者殭屍木馬如何植入電腦中一個作業系統和瀏覽器沒有定期的更新, 當系統程式上有漏洞的 PC 瀏覽了一個含有惡意程式的網站在網路上交換影音或音樂檔使用 USB 傳輸檔案或是瀏覽有趣的部落格, 在不知不覺就讓電腦感染了, 因為沒有發作, 潛伏期使用者是不會有任何感覺的感染後, 殭屍木馬的命令中心, 可以遠端控制你的電腦行為, 將你的資訊活動狀況一一地回報, 不只會竊取個人隱私資料監控上網行為, 電腦就像殭屍一樣被默默地控制著, 甚至變成駭客竊取他人電腦資料攻擊的幫兇已經建置防毒牆跟 IDP, 為何無效? 在建置網際網路之初, 都會假設攻擊者是來自外部網路, 隨著防護對象的不同配置防火牆 IDP( 入侵偵測 ) 防毒牆, 簡單說明每個資安設備的防護目標,IDP( 入侵偵測 ) 最主要的工作是阻擋外部有危險的網路攻擊封包, 一般都會建置在防火牆的最外面, 防毒牆也沒辦法有效偵測出木馬潛伏期的特徵值, 如 ( 圖 9-6) 所示圖 9-6 傳統 IDP 無法找出 BotNet 370

372 IDP 具有 BotNet 偵測的特徵值, 會看到 MAIL SERVER 內部 SERVER 或是 UTM 外部 IP 來的封包有問題, 管理者認為這 2 台設備中了殭屍病毒, 把電腦殺毒重灌系統後發現狀況依然存在, 因為真正的發信者是藏在內部的某一台電腦中, 因此, 在這個架構下, 無法找到真正的殭屍木馬的位址傳統的資安設備的假設前題是內部網路是安全的, 剛好中了殭屍病毒的下懷, 在這些設備中無法真正察覺出隱藏的木馬, 或者找出 NAT 後有問題電腦, 這樣還是無法解決問題 BotNet 如何運作? 在導入殭屍木馬阻擋機制之前, 不影響所有人的網路行為下, 啟用監聽模式, 將所有的封包導入分析引擎中, 觀察數天後, 藉由 LOG 的分析, 就可以解決是不是真的有殭屍病毒的疑問了在監聽模式下無法阻擋有害的網路封包, 如果想把有危害的網路封包直接阻擋, 則需要選擇串接管理模式, 並搭配 BotNet 過濾設定及管制條例的運用, 如圖六所示運作模式 BotNet 是防患殭屍木馬攻擊的最好方式, 有 2 種運作模式, 監聽 (Sniffer mode) 跟串接 (Inline mode), 在監聽模式需要設定監聽內部哪一個介面的封包, 串接模式則需要搭配管制條例使用 ( 圖 9-7) 監聽模式一但選擇介面後 BotNet 就已經開始運作, 如果想看到偵測的紀錄, 需要再過濾設定中啟用紀錄選項, 在監聽模式中無法選擇阻擋功能選擇啟動 BotNet 才會開始運作選擇串接 (Inline mode) 模式後, 除了要在 BotNet 過濾設定中選擇哪些特徵值要紀錄或是阻擋外, 最重要的是在管制條例中套用 BotNet 的管制項目步驟 1. 運作模式 : 監聽 (Sniffer mode) 跟串接 (Inline mode)2 種, 選擇監聽模式時還需要再選監聽的網路介面步驟 2. 串接模式 : 需要搭配管制條例運作, 且可以選擇檢查的封包大小, 有或是全部可供選擇, 選擇全部檢查時設備的負載會最重, 所以根據設備的負荷狀況選擇適當的數量圖 9-7 BotNet 的設定 371

373 Botnet 過濾設定根據 BotNet 檢查特徵值的數量歸類, 分成 2 個模式, 初階模式跟進階模式, 初階模式 UTM 防火牆事先跟據特徵值的危險程度, 分成高風險中風險低風險三個等級, 再由管理者根據需求執行紀錄或是阻擋 ( 監聽模式無法選擇阻擋 ) ( 圖 9-8) 圖 9-8 BotNet 初階特徵值的設定在進階模式中, 管理者根據特徵值的分類, 自己選擇要紀錄或是阻擋 ( 監聽模式無法選擇阻擋 ) 哪些特徵值 ( 圖 9-9) 圖 9-9 BotNet 進階特徵值的設定 372

374 9-4 BotNet 紀錄對於有開啟紀錄的 Botnet, 當內部有人違反運作規則時, 通通會在這裡顯示, 它會依照時間分類事件來源 IP 目的 IP 協定來源及目的埠動作風險程度等條件列表 ( 圖 9-10), 按下可以將資料排序圖 9-10 Botnet 的紀錄 Botnet 的搜尋, 依照時間分類事件來源 IP 目的 IP 協定來源及目的埠動作風險程度等條件, 搜尋特定資料 ( 圖 9-11) 圖 9-11 Botnet 的搜尋 373

375 第十章 SSL VPN SSL VPN 是一種具有安全加密保護的虛擬私人網路技術, 可以讓使用者在外地使用電腦的時候, 就像是在區域網路裡面使用電腦一樣, 可以使用任何只有在區域網路內才能使用的資源, 如 ERP 進銷存或是限定來源 IP 位址的圖書查詢系統, 又因為將資料加密, 所以在網際網路上無法解析傳輸的內容, 確保雙方傳輸資料的安全性 SSL VPN 具備有管制功能, 對於遠端用戶而言, 管制有 2 個方向, 一個是進入內部網路, 另一個是透過 VPN Server 上網際網路 ( 可以選擇啟用或是關閉這項功能 ), 這 2 個管制方向都可以管制遠端用戶使用的頻寬通訊服務及時間使用 SSL VPN 時, 需要從 VPN 伺服器端下載軟體及憑證,SSL VPN 用戶端軟體使用綠色軟體的技術, 所以不需要任何安裝動作, 直接執行就可以運行, 所以使用者可以將軟體跟憑證放在任何移動的儲存設備, 如 USB 等, 然後在任何電腦設備上執行 SSL VPN 專有名詞解釋 : SSL VPN 使用通訊埠 SSL VPN 用戶端要跟 SSL VPN 伺服器端溝通時使用的埠號, 一般是 SSL 埠號是 443, 但是要跟外部網路的管理介面錯開 VPN IP 範圍 SSL VPN 用戶端撥上後,VPN 伺服器端配發的 IP 範圍, 如果特定的人員希望用特定的 IP 位址, 可以到帳號管理機制中選擇配發固定 IP 位址憑證設定 SSL VPN 用戶端跟伺服器端使用的憑證設定, 可以填入任何文字, 一旦憑證確認後再更改, 即便是改變其中一個小文字, 所有的用戶端都需要重新下載新的憑證, 否則用戶端會無法撥接 Client 端取得 SSL Client 端軟體及憑證 URL 用戶端可以登入 SSL VPN 伺服器端取得 SSL VPN 用戶端軟體及憑證, 因為 UTM 多功能防火牆的用戶端軟體跟憑證是綁定在一起, 用戶下載之後, 解壓縮後就可以執行預設的網址是 [ 網路介面 IP 位址或網域 ] : [ 網路介面及路由 > 網路介面 > HTTPS Port] /sslvpn.php 範例 : 如果 wan 的管理介面是則取得的網址下 : 註銷憑證將該使用者的憑證取消, 使用者就無法撥入, 如果希望讓使用者又再次能使用, 則需要重新取得憑證暫停使用憑證暫時停用, 此使用者的憑證依然有效, 只是不讓他具有撥入權限, 只要讓他恢復使用, 恢復使用不需要重新取得憑證使用者就可以使用 374

376 10-1 SSL VPN 設定 SSL VPN 伺服器設定服務狀態 : 可以啟動或是關閉 ( 圖 10-1) 本機使用的介面 : 使用 WAN 1 或者是 WAN2 的介面位址或者是其他的 IP 位址, 在這裡都可以設定本機使用通訊埠 : 用戶端跟伺服器端溝通的埠號, 切記, 一定要跟 WAN 的管理介面互相錯開同時最大連線數 : 最多可以讓幾個人同時用 SSL VPN VPN IP 範圍 : 用戶端取得的 IP 位址範圍 DNS Server :SSL VPN 用戶連線成功後配發的 DNS 伺服器 Wins Server :SSL VPN 用戶連線成功後配發的 wins 伺服器憑證設定圖 10-1 SSL VPN 伺服器設定每個欄位都必須輸入最少一個文字, 不可為空白, 如果更改這個欄位的任何一個字元, 每個使用者的憑證都需要重新下載 ( 圖 10-2) 圖 10-2 憑證設定 375

377 SSL VPN 用戶端設定新增一個 SSL VPN 用戶前, 要先到上網認證的地方增加一個認證群組, 並選擇群組成員 ( 圖 10-3) 使用者帳號 : 再增加群組時, 可以加入使用者圖 10-3 新建一個 SSL VPN 用戶新增群組成員 : 增加群組時, 可以加入使用者 ( 圖 10-4) 圖 10-4 新建一個 SSL VPN 認證群組 376

378 增加認證群組後, 可以在 Client 端新增一個認證群組, 在認證群組中會出現剛剛在上網認證設定認證群組 ( 圖 10-5) 圖 10-5 新建一個 SSL VPN 用戶增加後就可以在這裡管理憑證 ( 圖 10-6) 圖 10-6 新建一個 SSL VPN 用戶 377

379 重新取得憑證每當管理者更改憑證伺服器的任何設定, 對於已經建立的 SSLVPN 用戶, 所有的憑證都需要重新產生, 只要按下重新取得憑證的按鈕,UTM 多功能防火牆就會將所有的憑證更新一次, 使用者重新下載後就可以使用按下就可以查看目前憑證使用者帳號 : 再增加群組時, 可以加入使用者註銷憑證 : 將該使用者的憑證取消, 使用者就無法撥入, 如果希望讓使用者又再次能使用, 則需要重新取得憑證重新取得憑證 : 將該使用者的憑證取消或是憑證的內容重新設定, 用者就無法撥入, 此時使用者則需要重新取得憑證下載 : 下載用戶端軟體跟憑證設定使用者固定 IP 位址 : 針對 SSL VPN 伺服器端分配的 IP 位址區段, 將某一個使用者的分配的 IP 位址固定暫停使用 : 憑證暫時停用, 此使用者的憑證依然有效, 只是不讓他具有撥入權限, 只要讓他恢復使用, 恢復使用不需要重新取得憑證使用者就可以使用 ( 圖 10-7) 設定使用者固定 MAC 位址 : 管理者可以在此填入這一個 SSLVPN 用戶的 MAC 位址, 避免因為帳號密碼或是憑證被別人竊取後的資安漏洞, 確保撥入的用戶電腦是管理者認可的, 空白代表撥入時不會檢查 MAC 位址如果用戶端有多個網卡,SSL VPN 用戶端會自動抓取第一個網路卡的 MAC 位址當作比對的對象圖 10-7 SSL VPN 用戶資料修改 378

380 SSL VPN 用戶端使用步驟 1. 用 SERVER /sslvpn.php 下載檔案 ( 圖 10-8) 圖 10-8 SSL VPN 用戶端軟體及憑證下載步驟 2. 下載 SSL VPN 的用戶端及憑證檔案, 並將他另存新檔, 下載完畢可以將檔案解壓縮在任何地方 ( 圖 10-9) 圖 10-9 儲存 SSL VPN 用戶端軟體步驟 3. 在解壓縮地方執行 SSL VPN 的用戶端,openvpn-gui en.exe 步驟 4. 軟體會自動執行, 執行後在右下角會出現一個小圖示, 按下滑鼠右鍵 379

381 步驟 5. 選擇 EDIT Config, 使用者可以選擇語系, 更改 SSL VPN Server 或是埠號, 也可以選擇要不要從遠端上網際網路, 如果沒有勾選從遠端上網, 則除了遠端的 LAN DMZ 區段的 IP 會走 SSL VPN 通道外, 其他的都會走本地端 ( 圖 10-10) 圖修改 SSL VPN 用戶端步驟 6. SSL VPN 連線, 輸入管理者給的帳號及密碼, 這個帳號及密碼跟剛剛下載軟體及憑證的帳號密碼是一樣的 ( 圖 10-11) 圖 SSL VPN 用戶端登入步驟 7. SSL VPN 連線後, 在原來的小圖標會由紅色轉成綠色, 代表 SSL VPN 已經完成連線 ( 圖 10-12) 圖 SSL VPN 用戶登入成功 380

382 10-2 SSL VPN 紀錄每一個 SSL VPN 的連線紀錄在 UTM 多功能防火牆中都有詳細的紀錄啟動拒絕連線紀錄 : 要不要將 SSL VPN 伺服器的拒絕紀錄下來, 管理者可以選擇啟動或是關閉, 當啟用後, 所有撥接不成功的紀錄通通會被紀錄下來, 管理者可以按下紀錄按鈕查詢相關資訊每一個可以用 SSL VPN 撥入的帳號都會出現在使用者列表中, 在每一個使用者的用戶何時登入登出 ( 圖 10-13) 處, 知道圖 SSL VPN 用戶列表 381

383 10-3 SSL VPN 管制 SSL VPN 管制的功能請參照第 12 章的 VPN 管制, 這 2 個地方是一樣的管理規則 382

384 第十一章內容紀錄 UTM 多功能防火牆可將公司網路的使用情形, 以五種常用的服務類型記錄, 使管理人員容易掌握所有資訊, 確保資訊傳遞的安全, 並監督員工上網行為, 遏止員工於上班時間利用企業網路資源, 從事私人活動 ( 一 ) WEB 紀錄 : 紀錄使用者上網瀏覽過之網頁及其網址 ( 二 ) FTP 紀錄 : 紀錄使用者利用 FTP 協定傳輸的檔案 ( 三 ) MSN 紀錄 : 紀錄使用者利用 MSN 協定溝通的文字及傳輸的檔案 ( 四 ) IM 紀錄 : 紀錄使用者使用即時通訊軟體 (Yahoo Messenger, ICQ, IRC, Gadu- Gadu,Jabber) 之對話內容 ( 五 ) 郵件紀錄 : 紀錄使用者透過郵件軟體接收 (POP3) 或是寄出 (SMTP) 的信件註 : 管理權限必須具有 View 的管理者, 才能看到紀錄的內容 383

385 11-1 WEB 紀錄 UTM 多功能防火牆會自動將通過設備的 WEB 上網紀錄, 包含時間網址等紀錄下來, 管理者只需要點選被紀錄下來的網址列, 就會開啟新視窗, 顯示使用者當時瀏覽的網頁內容被紀錄的網址列表如下 :( 圖 11-1) 排名 : 按照傳輸的總流量 ( 限 HTTP 協定 ) 排名電腦名稱 : 該部電腦的電腦名稱 IP 位址 : 被紀錄電腦的 IP 位址 MAC 位址 : 被紀錄電腦的 MAC 位址流量 :http 協定的流量匯出 : 把 http 協定的資料匯出圖 11-1 紀錄的網址列表 384

網站被紀錄幾個有效的網址列表 ( 圖 11-3) 時間 : 點選這個網址的時間筆數 : 這個網址被紀錄的筆數網址 : 實際的 URL 的網址掃毒狀況 : 如果有啟動

386 點選 IP 位址後, 會出現更完整的訊息, 它是以筆數為排序依據, 紀錄哪一個網站的開始瀏覽時間及最後離開的時間 ( 圖 11-2) 網站 : 瀏覽的網站名稱筆數 : 這個網站總共被紀錄幾個有效的網址開始時間 : 這個網站開始瀏覽的時間截止時間 : 這個網站結束瀏覽的時間圖 11-2 瀏覽網站列表點選網站後會出現這個網站被紀錄幾個有效的網址列表 ( 圖 11-3) 時間 : 點選這個網址的時間筆數 : 這個網址被紀錄的筆數網址 : 實際的 URL 的網址掃毒狀況 : 如果有啟動 WEB/FTP 掃毒, 它會紀錄這個網址是否有病毒, OK 代表網址沒有毒點選網址後會開啟新視窗, 顯示當時使用者正在瀏覽的網頁資訊圖 11-3 瀏覽網址及詳細資料 385

387 WEB 紀錄搜尋說明如下可依照日期電腦名稱 IP 位址等特徵, 來尋找儲存在 UTM 多功能防火牆內所有符合條件之紀錄 ( 圖 11-4) 日期 : 設定搜尋指定時間區間內的紀錄電腦名稱 : 以電腦名稱選定使用者 IP 位址 : 以 IP 位址選定使用者 Web 紀錄保留 :WEB 紀錄要保留多久, 按下搜尋鈕圖 11-4 搜尋特定記錄之畫面列出所有 WEB 紀錄查詢的結果 ( 圖 11-5) 如前面操作, 點選 IP 位址網站名稱或是網址, 就會出現瀏覽的網頁圖 11-5 搜尋結果列表 386

今日 WebMail 紀錄如下顯示今日所有紀錄 YAHOO Hotmail mail163 pchome hinet sohu QQ mail21cn 之 WEBMAIL, 紀錄方式以照電腦名稱 IP 位址 MAC 位址等特徵顯示 ( 圖 11-6) 電腦名稱 : 紀錄該 WEBMAIL 使用者電腦名稱 IP 位址

388 今日 WebMail 紀錄如下顯示今日所有紀錄 YAHOO Hotmail mail163 pchome hinet sohu QQ mail21cn 之 WEBMAIL, 紀錄方式以照電腦名稱 IP 位址 MAC 位址等特徵顯示 ( 圖 11-6) 電腦名稱 : 紀錄該 WEBMAIL 使用者電腦名稱 IP 位址 : 紀錄該使用者 IP 位址 MAC : 紀錄該使用者 MAC 位址圖 11-6 紀錄的網址列表點選 IP 位址後, 會出現更完整的訊息, 它是以筆數為排序依據, 紀錄哪一個網站的開始瀏覽時間及最後離開的時間 ( 圖 11-7) 網站 : 瀏覽的網站名稱筆數 : 這個網站總共被紀錄幾個有效的網址開始時間 : 這個網站開始瀏覽的時間截止時間 : 這個網站結束瀏覽的時間圖 11-7 webmail 瀏覽列表 387

389 點選網站後會出現這個網站被紀錄幾個有效的網址列表 ( 圖 11-8) 時間 : 點選這個網址的時間網址 : 實際的 URL 的網址點選網址後會開啟新視窗, 顯示當時使用者瀏覽過的 webmail 資訊 ( 圖 11-9) 圖 11-8 瀏覽網址及詳細資料圖 11-9 瀏覽 webmail 詳細資料 388

390 WebMail 紀錄查詢說明如下可依照日期電腦名稱 IP 位址等特徵, 來尋找儲存在 UTM 多功能防火牆內所有符合條件之紀錄 ( 圖 11-10) 日期 : 設定搜尋指定時間區間內的紀錄 MailBox : 目前 UTM 多功能防火牆提供 YAHOO Hotmail mail163 pchome hinet sohu QQ mail21cn 等 webmail 紀錄方式電腦名稱 : 設定搜尋 WE 以 IP 位址選定使用者 IP 位址 :WEB 紀錄要保留多久, 按下搜尋鈕圖搜尋特定記錄之畫面列出所有 WEB 紀錄查詢的結果 ( 圖 11-11) 如前面操作, 點選 IP 位址網站名稱或是網址, 就會出現瀏覽的網頁圖搜尋結果列表 389

391 11-2 FTP 紀錄 UTM 多功能防火牆會自動將通過設備的 FTP 協定傳遞的檔案, 包含時間網址傳遞的檔案等紀錄下來, 管理者只需要點選被紀錄下來的網址列, 就會開啟新視窗, 顯示使用者當時傳輸的檔案被紀錄的 FTP 紀錄列表如下 :( 圖 11-12) 電腦名稱 : 該部電腦的電腦名稱 IP 位址 : 被紀錄電腦的 IP 位址 MAC 位址 : 被紀錄電腦的 MAC 位址紀錄狀態 : 有圖示代表有紀錄, 點選後會得更詳細資料圖 FTP 紀錄列表 390

392 紀錄的 FTP 資料 ( 圖 11-13) 日期 :FTP 被紀錄的時間動作 : 是屬於上傳或是下載 FTP 資料 FTP URL :FTP 被紀錄完整檔案連結掃毒狀態 : 如果有啟動 WEB/FTP 掃毒, 它會紀錄這個 FTP 檔案是否有病毒, OK 代表檔案沒有病毒下載 : 點選圖示後, 可以將這個被紀錄的檔案, 下載到管理端的電腦圖 FTP 紀錄詳細狀態列表 391

393 FTP 紀錄搜尋說明如下可依照日期電腦名稱 IP 位址等特徵, 來尋找儲存在 UTM 多功能防火牆內所有符合條件之紀錄 ( 圖 11-14) 日期 : 設定搜尋指定時間區間內的紀錄電腦名稱 : 以電腦名稱選定使用者 IP 位址 : 以 IP 位址選定使用者圖 FTP 搜尋條件列出所有 FTP 紀錄查詢的結果 ( 圖 11-15) 如前面操作, 點選圖示就可以顯示更詳細的資訊圖 FTP 搜尋及紀錄下載 392

394 11-3 MSN 紀錄 UTM 多功能防火牆會自動將通過設備的 MSN 協定傳遞對話訊息傳輸的檔案, 包含時間對話對象等紀錄下來, 管理者只需要點選被紀錄下來的圖示, 就會開啟新視窗, 顯示使用者當時的對話訊息傳輸的檔案 UTM 多功能防火牆的 MSN 訊息紀錄不是以聊天室的方式紀錄, 而是以帳號對帳號的方式紀錄, 例如, 某 A 早上 8:50 跟某 B 對話 3 分鐘, 之後 2 個人分別斷線或是沒有互相聯繫, 下午 5:00 時, 某 A 又開啟跟某 B 對話, 這 2 段聊天室訊息會被整合成一個被紀錄的 MSN 紀錄列表如下 :( 圖 11-16) 狀態 : 這 2 個帳號目前是否上線中, : 代表開啟聊天室的帳號, 目前是上線中, : 代表開啟聊天室的帳號, 目前是 idle 狀態, : 代表開啟聊天室的帳號, 目前是離線中起始時間 : 聊天室最早被開啟的時間對話時間 : 這幾個對話帳戶從開啟到現在 ( 目前狀態是 : 上線中 ) 結束 ( 目前狀態是 : 離線 ) 的時間電腦名稱 : 該部電腦的電腦名稱 IP 位址 : 被紀錄電腦的 IP 位址 MSN 帳號 : 內部被紀錄電腦使用的 MSN 帳號對象 : 聊天室溝通的對象, 可以是 1 個以上的對象聊天紀錄 : 聊天室溝通的文字訊息, 點選後會出現詳細對話內容傳檔紀錄 : 聊天室傳遞檔案, 點選後會出現這個檔案的詳細訊息圖 MSN 紀錄列表 393

395 點選聊天紀錄的圖示後,UTM 多功能防火牆會開啟新的視窗, 顯示雙方的對話內容 ( 圖 11-17) 時間 :MSN 對話的時間說話者 : 是誰傳送 MSN 對話訊息對象 :MSN 訊息的接收者交談內容 :MSN 對話訊息 Note-1 : 聊天室號碼 Note-2 : 啟動監視文字功能時傳給聊天室雙方的文字圖 MSN 文字紀錄點選傳檔紀錄的圖示後,UTM 多功能防火牆會開啟新的視窗, 顯示雙方傳輸的檔案資料 ( 圖 11-18) 時間 :MSN 對話的時間發送者 : 是誰傳送這個檔案收檔者 : 檔案接收對象檔案名稱 : 傳輸檔案的名稱下載 : 下載圖示, 按下後, 可以將被紀錄的檔案, 傳輸到管理者的電腦中圖 MSN 傳檔紀錄 394

396 MSN 紀錄搜尋說明如下可依照日期 MSN 內部帳號電腦名稱 IP 位址等特徵, 來尋找儲存在 UTM 多功能防火牆內所有符合條件之紀錄 ( 圖 11-19) 日期 : 設定搜尋指定時間區間內的紀錄 MSN 內部帳號 : 選擇 MSN 內部帳號的使用者, 也可以自行輸入帳號電腦名稱 : 以電腦名稱選定使用者 IP 位址 : 以 IP 位址選定使用者, 按下搜尋鈕圖 MSN 搜尋條件搜尋出來的結果是以紀錄的時間為排序, 操作方式跟上面的描述一樣, 點選圖示後就會出現更詳細的資料, 列表如下 :( 圖 11-20) 圖 MSN 搜尋結果 395

397 11-4 IM 紀錄 UTM 多功能防火牆會自動將通過設備的 IM( 目前支援 Yahoo IRC Gadu Jabber) 協定傳遞對話訊息, 包含時間對話對象等紀錄下來, 管理者只需要點選被紀錄下來的圖示, 就會開啟新視窗, 顯示使用者當時的對話訊息被紀錄的 IM 紀錄列表如下 :( 圖 11-21) 起始時間 : 聊天室最早被開啟的時間對話時間 : 這幾個對話帳戶從開啟到現在 ( 目前狀態是 : 上線中 ) 結束 ( 目前狀態是 : 離線 ) 的時間電腦名稱 : 該部電腦的電腦名稱 IP 位址 : 被紀錄電腦的 IP 位址 IM 種類 : 被紀錄的是屬於 Yahoo IRC Gadu Jabber 帳號 : 內部被紀錄電腦使用的 IM 帳號對象 : 聊天室溝通的對象, 可以是 1 個以上的對象聊天紀錄 : 聊天室溝通的文字訊息, 點選後會出現詳細對話內容圖 IM 紀錄列表 396

398 IM 紀錄搜尋說明如下可依照日期 IM 帳號電腦名稱 IP 位址等特徵, 來尋找儲存在 UTM 多功能防火牆內所有符合條件之紀錄 ( 圖 11-22) 日期 : 設定搜尋指定時間區間內的紀錄 IM 帳號 : 選擇已被紀錄過得 IM 帳號使用者電腦名稱 : 以電腦名稱選定使用者 IP 位址 : 以 IP 位址選定使用者, 按下搜尋鈕圖 IM 紀錄搜尋搜尋出來的結果是以紀錄的時間為排序, 操作方式跟上面的描述一樣, 點選圖示後就會出現更詳細的資料, 點選聊天紀錄後出現下列資料 :( 圖 11-23) 圖 IM 紀錄搜尋結果 397

399 11-5 QQ 紀錄 UTM 多功能防火牆會自動將通過設備的 QQ 協定傳遞對話訊息傳輸的檔案, 包含時間對話對象等紀錄下來, 管理者只需要點選被紀錄下來的圖示, 就會開啟新視窗, 顯示使用者當時的對話訊息傳輸的檔案被紀錄的 QQ 紀錄列表如下 :( 圖 11-24) QQ 號碼 : 使用者 QQ 帳號最近交談時間 : 聊天室最早被開啟的時間顯示名稱 : 使用者 QQ 號碼別名電腦名稱 : 被紀錄電腦的名稱 IP 位址 : 被記錄電腦的 IP 位址圖 QQ 紀錄列表 398

點選 QQ 號碼號碼後,UTM 多功能防火牆會開啟新的視窗, 顯示雙方的對話內容 ( 圖 11-25) QQ 號碼 :QQ 使用者號碼顯示名稱 :QQ 號碼別名名稱最近交談時間 :QQ 最近一次交談時間聊天紀錄 :QQ 對話訊息圖 11-25

400 點選 QQ 號碼號碼後,UTM 多功能防火牆會開啟新的視窗, 顯示雙方的對話內容 ( 圖 11-25) QQ 號碼 :QQ 使用者號碼顯示名稱 :QQ 號碼別名名稱最近交談時間 :QQ 最近一次交談時間聊天紀錄 :QQ 對話訊息圖 QQ 聊天對象列表點選聊天紀錄的圖示後,UTM 多功能防火牆會開啟新的視窗, 顯示雙方傳輸的檔案資料 ( 圖 11-26) 時間 :QQ 對話的時間說話者 : 傳送對話之人員名稱交談內容 :QQ 對話內容圖 QQ 聊天紀錄 399

401 QQ 聊天紀錄搜尋說明如下可依照時間 QQ 號碼 IP 位址等特徵, 來尋找儲存在 UTM 多功能防火牆內所有符合條件之紀錄 ( 圖 11-27) 時間 : 設定搜尋指定時間區間內的紀錄 QQ 號碼 : 選擇 QQ 號碼的使用者, 也可以自行輸入帳號 IP 位址 : 以 IP 位址選定使用者, 按下搜尋鈕圖 QQ 聊天紀錄搜尋條件搜尋出來的結果是以紀錄的時間為排序, 操作方式跟上面的描述一樣, 點選圖示後就會出現更詳細的資料, 列表如下 :( 圖 11-28) 圖 QQ 聊天紀錄搜尋結果 400

402 阻擋紀錄查詢針對未通過系統允許之 QQ 帳號, 當使用者嘗試進行登入時,UTM 會記錄 QQ 號碼登入時間顯示名稱阻擋類型來源 IP 目的 IP 協定來源埠與目的埠 ( 圖 11-29) 圖 QQ 阻擋記錄查詢 401

403 11-6 SKYPE 紀錄 UTM 多功能防火牆會自動將通過設備的 SKYPE 對話訊息記錄下來被紀錄的 SKYPE 紀錄列表如下 :( 圖 11-30) [Skype 帳號 ] 顯示側錄帳號 ID [ 最近交談時間 ] 最近一次側錄到的訊息時間 [ 顯示名稱 ] 顯示側錄帳號名稱 [ 電腦名稱 ] 側錄帳號使用的電腦名稱, 會以 tip 方式顯示多筆 [IP 位址 ] 側錄帳號使用的 IP, 會以 tip 方式顯示多筆 [ 更新時間 ] 為 client 最後一次與 server 連線的時間 [ 連線狀況 ] 當帳號登入使用中才會亮起連線中的燈號,tip 會顯示當前連線的 ip 位置, 如同時在兩個 ip 位址登入可顯示多筆圖 11-30SKYPE 列表當點選使用者 SKYPE 帳號後, 顯示與此帳號進行訊息傳送的對象列表 ( 圖 11-31) [Skype 帳號 ] 聊天對象 ID ( 群組聊天將不顯示 ID, 以群組聊天文字取代 ) [ 顯示名稱 ] 聊天對象名稱 [ 最近交談時間 ] 與此聊天對象最近一次的訊息紀錄時間 [ 聊天紀錄 ] 可點擊進入 [Skype 聊天紀錄 ] 查看詳細的訊息內容圖 SKYPE 聊天對象列表註 :[skype 帳號 ] 為群組聊天時, 可點擊進入觀看此群組的所有側錄訊息 402

404 點選聊天紀錄, 系統會詳細列出所有對話內容 ( 圖 11-32) [ 時間 ] 訊息發送時間 [ 說話者 ] 訊息發送者名稱 [ 交談內容 ] 訊息內容圖 SKYPE 聊天紀錄 403

405 SKYPE 聊天紀錄搜尋說明如下可依照時間 SKYPE 號碼 IP 位址等特徵, 來尋找儲存在 UTM 多功能防火牆內所有符合條件之紀錄 ( 圖 11-33) [ 時間 ] : 設定查詢時間 [Skype 帳號 ] : 設定查詢的帳號, 手動輸入 id 須完整符合, 日後會新增關鍵字方式查詢 [IP 位址 ] : 設定查詢之 IP 圖 SKYPE 聊天紀錄搜尋條件 404

406 11-7 郵件紀錄 UTM 多功能防火牆可將所有經過它傳送接收的信件, 統統紀錄起來, 紀錄的郵件包含內容附檔, 被紀錄下來的郵件會放在本機的硬碟中, 因為本機的硬碟有空間的限制, 所以又可以將這些紀錄下來的信件,2 次備份到分享網路空間的儲存媒體上郵件紀錄 UTM 多功能防火牆會把今日所有被紀錄的信件在這裡列出來, 方便管理者查詢, 信件的進出及紀錄, 必要的時候甚至可以下載原來的郵件到管理者的電腦端郵件列表如下 :( 圖 11-34) 日期 : 信件進入 UTM 多功能防火牆的日期及時間寄件者 IP : 寄件者 IP 位址收件者 IP : 收件者 IP 位址方向 : 郵件進出方向, 總共有 3 個方向, : 外部進入內部郵件伺服器 : 內部到外部郵件伺服器寄信 : 內部到外部郵件伺服器收信的實際 IP 位址寄件者 : 寄件者的電子郵件帳號收件者 : 這郵件的收件者主旨 : 郵件的主旨郵件大小 : 郵件的大小容量病毒 : 郵件是否含有病毒分數 : 垃圾郵件被判斷的分數處理 : 垃圾郵件的處理方式是主旨加入文字隔離區或是刪除區圖紀錄郵件列表 405

407 詳細 : 這封郵件詳細的通聯記錄 ( 圖 11-35) 圖郵件詳細通聯記錄下載 : 按下, 這封郵件會以 eml 格式下載到管理者的電腦端放行 : 如果信件被垃圾新隔離機制儲存在 UTM 多功能防火牆中, 要放行這封信給使用者, 可以按下, 郵件就會傳給有用者 406

408 郵件紀錄查詢在郵件紀錄查詢功能, 管理者可以藉由使用者下載的郵件判斷垃圾郵件被誤判的比率, 進一步可以調整垃圾郵件的綜合判斷分數步驟 2. 於郵件紀錄查詢中的郵件紀錄搜尋條件功能中, 新增下列資料 :( 圖 11-36) 日期 : 填入要查詢的日期區間寄件者 IP : 寄件者的 IP Address 收件者 IP : 收件者的 IP Address 傳遞方向 : 內部寄出還是外面寄入寄件者 : 寄件者的電子郵件帳號郵件大小 KB : 郵件的檔案大小, 可以設定郵件大小的區間條件收件者 : 這一封郵件的收件者垃圾郵件處理方式 : 信件是屬於正常信件或是垃圾郵件垃圾郵件分數 : 垃圾郵件被判斷的分數, 可以設定分數的區間條件病毒 : 垃圾郵件是否含有病毒郵件主旨 : 郵件的主旨文字郵件紀錄保留 : 最多可長達 36 個月圖搜尋郵件 407

409 第十二章 V P N UTM 多功能防火牆採 VPN 方式建立安全的網路連接, 以整合企業的各個遠地網路與全球外勤人員遠地個人電腦, 提供公司企業與遠端使用者一個安全便利的網路加密方式, 讓企業在網際網路上傳遞資料時, 得到最佳的效能及保密效果, 更節省管理者管理太多鑰匙的麻煩 UTM 多功能防火牆支援 3 種 VPN 建立的方式 IPSec : 系統管理員可以利用 IPSec 協定, 建立 Site to Site 的 VPN 通道, 通道 2 端的溝通資料, 都會以 DES 3DES AES 之一種加密, 無法讓其他人就算攔截通道的封包也無法順利解出其中傳遞的內容 PPTP 伺服器 : 系統管理員可於此單元建立 VPN-PPTP 伺服器的相關功能設定 PPTP 用戶端 : 系統管理員可於此單元建立 VPN-PPTP 用戶端的相關功能設定如何運用網路驗證建立虛擬私有網路驗證 Virtual Private Network (VPN), 需先將 IPSec 自動加密 PPTP 伺服器或 PPTP 用戶端的連線彼此連線, 即可為連線兩端建立安全保密的網路通訊 408

410 12-1 IPSec Tunnel IPSec Tunnel 名詞解釋 : VPN 通道名稱定義 IPSec 自動加密名稱, 此名稱可以是任何中英文文字, 方便管理者辨識使用的介面本地端使用的網路介面本地端網路本地端的子網路區段遠端網路目的端的子網路區段 Preshared Key VPN 雙方進行連線時用來進行 IPSec 加密用的金鑰 ISAKMP 演算法 IP Security Association Key Management Protocol (ISAKMP) 就是提供一種方法供兩個設備建立安全性關聯 (SA) SA(Security Association) 對兩台電腦之間進行連線編碼, 指定使用哪些演算法和什麼樣的金鑰長度或實際加密金鑰事實上 SA 不止一個連線方式 : 從兩台電腦 ISAKMP SA 作為起點, 必須指定使用何種加密演算法 (DES triple DES 40 位元 DES 或根本不用 ) 使用何種認證 IPSec 演算法 VPN 連線的資料加密模式 DES/3DES 3DES 提供比 DES( 加密金鑰爲 56 位元 ), 更加安全的三重資料加密標準 (Triple Data Encryption Standard,3DES) 安全加密金鑰方法, 使用的加密金鑰爲 168 位元 AES 為高階加密模式其標準比 DES 的加密標準更加嚴謹,DES 加密金鑰長度為 56 位元,AES 加密金鑰長度則高達 128 位元 192 位元以及 256 位元 SHA1 安全雜湊演算法 (Secure Hash Algorithm,SHA) 是用於產生訊息摘要或雜湊的演算法, 原有的 SHA 演算法已被改良式的 SHA1 演算法取代, 可以計算出 160 位元的演算 409

411 MD5 雜湊演算法一種單向字串雜湊演算, 其演算方式是將你給予任何長度字串, 使用 MD5 雜湊演算法, 可以計算出一個長度為 128 位元的演算遠端 ID / 本地 ID 一般而言,IPSec 通道會利用 WAN 的 IP 位址, 當作雙方溝通辨識的依據, 管理者可以自訂 ID 取代 WAN 的 IP 位址,ID 的格式有下列 2 種,@ 的 ip 位址格式或的域名格式, 設定時一定要注意,2 端的資料一定要互相對稱 DPD(Dead Peer Detection) 偵測 VPN 斷線機制說明如下 : DPD 是一種自動偵測 VPN 斷線機制的標準協定, 可自動判別 VPN 另一方聯機是否存在, 再配合 VPN 狀態查詢, 即可清楚明白的看到目前是否聯機, 以確保 VPN 斷線時, 可做出第一時間的反應與處理 410

412 範例 : 兩台 UTM 多功能防火牆建立的 IPSec VPN 連線, 存取特定網段的資源甲公司 WAN IP 為 ,LAN IP 為 /24 乙公司 WAN IP 為 ,LAN IP 為 /24 IPSec Tunnel 連線環境架構圖 ( 圖 12-1) 圖 12-1 IPSec VPN 連線之架設環境 411

413 IPSec VPN 設定步驟預設閘道為 UTM 多功能防火牆的 LAN IP , 以下為其設定步驟 : 步驟 1. 進入甲公司 UTM 多功能防火牆預設位址的管理介面, 在左方的功能選項中, 點選 VPN 功能, 再點選 IPSec Tunnel 次功能選項並點選新增功能 ( 圖 12-2) 圖 12-2 IPSec VPN 通道新增視窗步驟 2. 於新增 VPN 通道中, 啟動 VPN 連線並填寫所使用的 VPN 連線名稱為乙公司連線, 選擇甲公司的 UTM 多功能防火牆用來建立 VPN 連線的外部網路介面位址 WAN1( 圖 12-3) 步驟 3. 於甲公司端填寫使用的網路區段本地端網路 ( 甲公司 ) 內部網路位址及遮罩 (/24) 填入遠端網路 ( 乙公司 ) 內部網路位址及遮罩 (/24) 圖 12-3 IPSec VPN 連線名稱和使用的外網路介面設定表單 412

414 IKE 設定 (Phase1) 步驟 4. 選擇連線模式,UTM 防火牆支援 Main Mode 跟 Aggressive Mode2 種模式管理者根據需求選擇適當的模式套用 ( 圖 12-4) 步驟 5. 填入連線的加密金鑰, 5566 步驟 6. ISAKMP 演算法雙方開始進行連線溝通時, 選擇建立連線時所需的演算法, 可以選擇的加密演算法為 3DES DES AES 等 3 種, 預設是 AES 認證演算法, 可以選擇 MD5 或 SHA1, 預設是 SHA1 認證方式啟用自動配對機制時, 系統會將所有的演算組合匯入條例中, 如果 UTM 多功能防火牆當 SERVER 端, 代表系統會自動找出相同的組合跟遠端連線 DH Group, 當加密協定是 AES 時, 可以選擇 , 當加密協定為 DES 或是 3DES 時, 只可以選 2 5 步驟 7. 本地端 ID, 預設是用 WAN IP 位址當作 ID, 管理者可以選擇用域名當作 ID, 使用範例或步驟 8. 遠端 ID 使用方式跟本地 ID 一樣步驟 9. IKE SA 生存時間, 預設是 3 小時, 當 IKE 建立後超過設定時間, 系統會重新產生一個新的 IKE SA 圖 12-4 IPSec 加密及認證方法設定 413

415 IPSec 設定 (Phase2) 步驟 10. IPSec 演算法表單中, 可以選擇的加密演算法為 3DES DES AES 等 3 種, 預設是 AES 認證演算法, 可以選擇 MD5 或 SHA1, 預設是 SHA1 認證方式啟用自動配對機制時, 系統會將所有的演算組合匯入條例中, 如果他 UTM 多功能防火牆當 SERVER 端, 代表系統會自動找出相同的組合跟遠端連線步驟 11. Perfect Forward Secrecy (PFS), 預設是不啟動, 啟動後可以選 DH Group DH Group, 當加密協定是 AES 時, 可以選擇 , 當加密協定為 DES 或是 3DES 時, 只可以選 2 5 步驟 12. IPSec SA 生存時間,1~3 小時可供選擇, 預設是 3 小時步驟 13. 設定 DPD 的偵測時間,DPD 的偵測間隔 30 秒, 逾時 300 秒就認為是斷線 ( 圖 12-5) 步驟 14. 關閉網路芳鄰協定, 關閉後網路芳鄰的協定會被阻擋圖 12-5 IPSec 偵測斷線機制設定步驟 15. 完成 IPSec Tunnel 設定 ( 圖 12-6) 圖 12-6 IPSec Tunnel 設定完成註 1; 啟用 DPD 功能, 當 VPN 偵測對方沒反應時,hold 代表系統會保留原來 IPSec SA, 等待資料,Clear 代表會將這個通道清除等待新的連線,Restart 會將這個 IPSec SA 刪除, 重新建立 VPN 通道 414

416 乙公司的設定步驟乙公司的預設閘道為 UTM 多功能防火牆的 LAN IP , 以下為其設定步驟 : 步驟 1. 進入乙公司 UTM 多功能防火牆預設位址的管理介面, 在左方的功能選項中, 點選 VPN 功能, 再點選 IPSec Tunnel 次功能選項並點選新增功能 ( 圖 12-7) 圖 12-7 IPSec VPN 通道新增視窗步驟 2. 於新增 VPN 通道中, 啟動 VPN 連線並填寫所使用的 VPN 連線名稱為甲公司連線, 選擇乙公司的 UTM 多功能防火牆用來建立 VPN 連線的外部網路介面位址 WAN1 ( 圖 12-8) 步驟 3. 於乙公司端填寫使用的網路區段本地端網路 ( 乙公司 ) 內部網路位址及遮罩 (/24) 填入遠端網路 ( 甲公司 ) 內部網路位址及遮罩 (/24) 圖 12-8 IPSec VPN 連線名稱和使用的外網路介面設定表單 415

417 IKE 設定 (Phase1) 步驟 4. 選擇連線模式,UTM 防火牆支援 Main Mode 跟 Aggressive Mode2 種模式管理者根據需求選擇適當的模式套用 ( 圖 12-9) 步驟 5. 填入連線的加密金鑰, 5566 步驟 6. ISAKMP 演算法雙方開始進行連線溝通時, 選擇建立連線時所需的演算法, 可以選擇的加密演算法為 3DES DES AES 等 3 種, 預設是 AES 認證演算法, 可以選擇 MD5 或 SHA1, 預設是 SHA1 認證方式啟用自動配對機制時, 系統會將所有的演算組合匯入條例中, 如果他當 SERVER 端, 代表系統會自動找出相同的組合跟遠端連線 DH Group, 當加密協定是 AES 時, 可以選擇 , 當加密協定為 DES 或是 3DES 時, 只可以選 2 5 步驟 7. 本地端 ID, 預設是用 WAN IP 位址當作 ID, 管理者可以選擇用域名當作 ID, 使用範例或步驟 8. 遠端 ID 使用方式跟本地 ID 一樣步驟 9. IKE SA 生存時間, 預設是 3 小時, 當 IKE 建立後超過設定時間, 系統會重新產生一個新的 IKE SA 圖 12-9 IPSec 認證方法設定表單 416

418 IPSec 設定 (Phase2) 步驟 10. IPSec 演算法表單中, 可以選擇的加密演算法為 3DES DES AES 等 3 種, 預設是 AES 認證演算法, 可以選擇 MD5 或 SHA1, 預設是 SHA1 認證方式啟用自動配對機制時, 系統會將所有的演算組合匯入條例中, 如果他當 SERVER 端, 代表系統會自動找出相同的組合跟遠端連線步驟 11. Perfect Forward Secrecy (PFS), 預設是不啟動, 啟動後可以選 DH Group DH Group, 當加密協定是 AES 時, 可以選擇 , 當加密協定為 DES 或是 3DES 時, 只可以選 2 5 步驟 12. IPSec SA 生存時間,1~3 小時可供選擇, 預設是 3 小時步驟 13. 設定 DPD 的偵測時間,DPD 的偵測間隔 30 秒, 逾時 300 秒就認為是斷線 ( 圖 12-10) 步驟 14. 關閉網路芳鄰協定, 關閉後網路芳鄰的協定會被阻擋圖 IPSec 偵測斷線機制設定表單步驟 15. 完成 IPSec Tunnel 設定 ( 圖 12-11) 圖 IPSec Tunnel 設定完成畫面 417

419 VPN 通道控制方法介面 : 目前 IPSec VPN 使用的實體介面, : 代表 WAN1, : 代表 WAN2 狀態 : : 代表斷線, : 代表連線啟動 : 控制 IPSec VPN 啟動與暫停的按鈕, : 代表目前是啟動中, : 這一條 VPN 被暫停 : 代表修改這個通道的設定紀錄 : : 這一條 VPN 的通聯記錄,IPSec VPN 通道如果跟對方有溝通紀錄, 按下去會開啟新視窗, 資料是照時間排序, 最新的訊息在最後一頁 ( 圖 12-12) 圖 IPSec Tunnel 的通聯記錄 418

420 12-2 PPTP 伺服器 PPTP 伺服器名詞解釋 : PPTP 伺服器可設定啟動或關閉 PPTP 伺服器遠端 IP PPTP 用戶端連入 PPTP 伺服器時, 分配給遠端用戶端網路位址 DNS1 DNS 2 PPTP 用戶端連入 PPTP 伺服器時, 分配給遠端用戶端的 DNS 伺服器位址 WINS1 WINS 2 PPTP 用戶端連入 PPTP 伺服器時, 分配給遠端用戶端的 WINS 伺服器位址 419

421 設定 PPTP 伺服器啟用 UTM 多功能防火牆的 PPTP 伺服器, 讓遠端用戶可以利用 PPTP 的撥接軟體跟 UTM 多功能防火牆的 PPTP 伺服器建立加密的 VPN 連線, 以下為其設定步驟 : 步驟 1. 進入 UTM 多功能防火牆的管理介面, 在左方的功能選項中, 點選 VPN 功能, 再點選 PPTP 伺服器次功能選項步驟 2. 先啟用 PPTP 伺服器功能 ( 圖 12-13) 啟用 : 要不要啟用 PPTP 伺服器分配的 IP 位址範圍 : 要分配給撥進來用戶端分配的 IP 位址及範圍 DNS1-2 : 分配給遠端用戶端的 DNS 伺服器位址 WINS1-2 : 分配給遠端用戶端的 WINS 伺服器位址圖 PPTP 伺服器設定 420

422 建立帳號步驟 3. 選擇新增帳號選項, 在此要建立用戶端的撥入帳號 ( 圖 12-14) 啟用 : 要不要啟用這個帳號帳號 :PPTP 用戶端撥入使用的帳號密碼 :PPTP 用戶端撥入使用的密碼用戶端的 IP 位址 :PPTP 用戶端撥入使用的 IP 位址, 除了可以由 PPTP 伺服器按照設定的範圍分配外, 管理者也可以給特定的帳號, 給予特定的 IP 位址或是範圍使用 IP 位址及範圍的選項需要搭配遠端的 PPTP 伺服器, 其目的是利用 PPTP 通道技術, 建立一個 Site to Site 的 VPN, 它的作用跟 IPSec 通道有異曲同工之意圖 PPTP 帳號建立註 : 用戶端 IP 位址的建立有三種建立方式, 分別為使用配給的 IP 位址自行輸入 IP 位址與輸入 IP 位址及範圍 421

423 PPTP 通道控制方法步驟 4. 建立好的 PPTP 帳號會在 PPTP 帳號列表中出現, 管理者可以在此控制, 每一個 PPTP 帳號的啟用與關閉 ( 圖 12-15) 帳號 :PPTP 用戶端撥入使用的帳號狀態 : : 代表斷線, : 代表連線啟動 : 控制 PPTP VPN 啟動與暫停的按鈕, : 代表目前是啟動中, : 這一個 PPTP 帳號是被暫停, 點選暫停用戶無法利用 PPTP 它來撥接圖 PPTP 帳號列表控制步驟 5. 紀錄 : : 這一條 VPN 的通聯記錄,PPTP 用戶如果有撥入, 在此會顯示其撥接紀錄, 按下去會開啟新視窗 ( 圖 12-16) 時間 :PPTP 用戶端撥入開始的時間遠端網路 IP :PPTP 用戶端使用的 IP 位址事件 :PPTP 用戶端撥入開始或是結束事件, 結束的事件系統會自動計算總共使用的時間, 單位是小時 : 分, 低於 1 分鐘的時間統統被紀錄成 00:00 圖 PPTP 帳號紀錄 422

424 12-3 PPTP Client PPTP Client 列表名詞解釋 : 帳號 PPTP 用戶端連入 PPTP 伺服器帳號密碼 PPTP 用戶端連入 PPTP 伺服器密碼遠端伺服器 PPTP 用戶端連入 PPTP 伺服器網路位址遠端子網路 PPTP 伺服器端的內部網路區段 423

425 建立 PPTP 用戶端啟用 UTM 多功能防火牆的 PPTP 用戶端, 讓本地端用戶利用 PPTP 建立的 VPN 跟遠端的 PPTP 伺服器建立加密的 VPN 連線, 以下為其設定步驟 : 步驟 1. 進入 UTM 多功能防火牆的管理介面, 在左方的功能選項中, 點選 VPN 功能, 再點選 PPTP Client 次功能選項步驟 2. 新增一個 PPTP 用戶端 ( 圖 12-17) 名稱 : 這個 PPTP 用戶端的名稱, 可以是任何中英文啟動 : PPTP 用戶端要不要啟動帳號 :PPTP 用戶端撥入使用的帳號密碼 :PPTP 用戶端撥入使用的密碼遠端伺服器 :PPTP 伺服器的 IP 位址, 也就是 PPTP 用戶端要撥接的 IP 位址遠端子網路 IP :PPTP 伺服器的內部 IP 區段遠端子網路遮罩 :PPTP 伺服器的內部 IP 子網路遮罩圖建立 PPTP 用戶端 424

426 PPTP 通道控制方法步驟 3. 建立好的 PPTP 帳號會在 PPTP 列表中出現, 管理者可以在此控制, 每一個 PPTP 帳號的啟用與關閉 ( 圖 12-18) 名稱 :PPTP 用戶端的容易辨識的名稱帳號 :PPTP 用戶端撥入使用的帳號遠端伺服器 :PPTP 伺服器的 IP 或網域名稱遠端子網路 :PPTP 伺服器端的內部網路狀態 : : 代表斷線, : 代表連線啟動 : 控制 PPTP VPN 啟動與暫停的按鈕, : 代表目前是啟動中, : 這一條 VPN 被暫停圖 PPTP 用戶端列表步驟 4. 紀錄 : 這一條 VPN 的通聯記錄,PPTP 用戶端如果有撥入, 在此會顯示其撥接紀錄, 按下去會開啟新視窗 ( 圖 12-19) 時間 :PPTP 用戶端撥出或是斷線的時間事件 :PPTP 用戶端撥出的事件, 它會紀錄這個 VPN 通道, 何時是通何時是斷 ( 註明 UP= 撥通 DOWN= 中斷 ) 圖 PPTP 用戶端的通聯記錄 425

427 12-4 VPN 管制 VPN 對內部管制名詞解釋 : 來源網路位址 ( 來源網路 )& 目的網路位址 ( 目的網路 ): 來源網路位址 ( 來源網路 ) 與目的網路位址 ( 目的網路 ) 是以 UTM 多功能防火牆為觀察點, 主動連線的一端為來源網路位址, 被連線的一端為目的網路位址, 除了從管制目標中選擇外, 也可以直接輸入使用者 IP 位址與 MAC 位址 VPN 通道的管制有 2 個方向, 外對內及內對外外對內的來源 IP 位址有下列預設名稱 : VPN_any 會代表所有 VPN 通道的外部區段, 不論是用 IPSec PPTP 建立的 Site to Site 或是 PPTP 伺服器建立的單一個撥接帳號, 都符合這個條件 PPTP 伺服器的預設 IP 位址也會被列入預設的來源 IP 位址內對外的目的 IP 位址有下列預設名稱 : VPN_any 會代表所有 VPN 通道的外部區段, 不論是用 IPSec PPTP 建立的 Site to Site 或是 PPTP 伺服器建立的單一個撥接帳號, 都符合這個條件管理者可以針對網路的需求, 允許或是拒絕特定的 VPN 通道另一端進來的 IP 位址通訊服務甚至時間預設的管制規則是一但 VPN 通道建立後, 雙方的資料都可以自由的互相溝通交換, 除非來 VPN 管制處禁止它進來動作 : 主要動作有兩種, 分別為拒絕與允許, 當設為允許動作時, 任何滿足基本設定管制行為的封包就會被放行, 設為拒絕則此封包會被丟棄通訊協定 : 可單獨管制 UDP 或 TCP 埠號, 或全部管控通訊埠或群組 : 系統管理員可以在服務表的服務群組選項中, 新增服務群組名稱, 將要提供的服務包含進去有了服務群組的功能, 管理員在制訂管制條例時可以簡化許多流程例如, 有 10 個不同 IP 位址可以對伺服器存取 5 個不同的服務, 如 HTTP FTP SMTP POP3 和 TELNET, 如果不使用服務群組的功能, 總共需制定 10x5=50 條管制條例, 但使用服務群組名稱套用在服務選項上, 則只需一條管制條例即可達到 50 條管制條例的功能頻寬管理 : 設定該條 VPN 管制條例的最大頻寬與保證頻寬 ( 頻寬由符合該管制條例之使用者共享 ) 時間表 : 設定該條 VPN 管制條例的生效時間 426

428 VPN 對內部管制以往對 VPN 的管制, 大多都是從管制條例中進行或者是無法可管, 但是 ShareTech UTM 多功能防火牆針對 VPN 的管制卻是直接從 VPN 中控管 VPN 對內部的管制, 管控外點藉由 VPN 連線連到企業內部網路時, 其連線通訊埠號連線頻寬與連線時間等行為步驟 1. 進入 UTM 多功能防火牆的管理介面, 在左方的功能選項中, 點選 VPN 服務, 再點選 VPN 管制次功能選項步驟 2. 新增一個 VPN 對內部管制步驟 3. 設定相關基本設定與管制行為動作設定管制條例名稱來源網路與目的網路位址管制條例動作設定為允許或是拒絕通訊埠或群組可以任意選擇在管制目標 >> 服務表中所建立的服務群組或是預設服務頻寬與時間表跟通訊埠一樣, 可以從管制目標的頻寬跟時間表選擇須管制的項目啟用封包追蹤後, 所有透過這一條 VPN 通道互相溝通的封包通聯紀錄, 都可以查看按下新增, 即可完成建立 ( 圖 12-20) 圖新增 VPN 對內部管制條例 427

429 完成之後 VPN 的管制如下, 管制條例是從優先權 1 開始執行, 符合條件的項目就會執行, 如果想要禁止非管制的資料進入內部網路, 需要在最後一條將所有進入內部的封包全部禁止 ( 圖 12-21) 圖完成 VPN 對內部管制條例建立註 1: 優先權 : 設定 VPN 管制條例使用分配的優先權註 2: 預設的管制條例是不管, 只要 VPN 建立成功後, 雙向的電腦就可以互通, 如果期望只有管制的目標才通, 建議在最後一條管制條例禁止所有的連線 428

430 內部對 VPN 管制是指透過內部經由 VPN 連到外部分點的連線, 管制來源網路到目的網路所有行為動作, 包含 VPN 連線通訊埠頻寬與時程步驟 1. 進入 UTM 多功能防火牆的管理介面, 在左方的功能選項中, 點選 VPN 功能, 再點選 VPN 管制次功能選項步驟 2. 新增一個內部對 VPN 管制步驟 3. 設定相關基本設定與管制行為動作設定管制條例名稱來源網路與目的網路位址管制條例動作設定為允許或是拒絕通訊埠或群組可以任意選擇在管制目標 >> 服務表中所建立的服務群組或是預設服務頻寬與時間表跟通訊埠一樣, 可以從管制目標的頻寬跟時間表選擇須管制的項目啟用封包追蹤後, 所有透過這一條 VPN 通道互相溝通的封包通聯紀錄, 都可以查看步驟 4. 按下新增, 即可完成建立 ( 圖 12-22) 圖新增內部對 VPN 管制條例完成之後 VPN 的管制如下, 管制條例是從優先權 1 開始執行, 符合條件的項目就會執行, 如果想要禁止非管制的資料到 VPN 通道的另一端, 需要在最後一條將所有進入 VPN_any 的封包全部禁止 ( 圖 12-23) 圖完成內部對 VPN 管制條例建立 429

431 第十三章網路工具使用者可由系統主動發送封包 (Ping Traceroute DNS Query Server Link IP Routee Interface information Wake Up 與 IPv6), 得知目前連外線路的資料傳輸品質和狀態網路工具名詞解釋 : PING 一般碰到網路不通的情況, 很自然的就會使用 PING(Windows 跟 Linux 都相同 ) 這個命令來檢查自己跟對方網路是否暢通, 它使用 ICMP 協定 Trace route traceroute, 它可顯示封包在 IP 網絡經過的路由器的 IP 位址 DNS Query 查詢 DNS 的詳細資料, 目前可以查詢 ANY SOA NS A MX CNAME PTR 等資料, 可以使用本機或是特定的 DNS 伺服器作為查詢依據 Server Link 查詢 Server Link 的詳細資料, 目前可以查詢伺服器開啟哪些服務埠, 包含 FTP SSH TELNET SMTP DNS HTTP POP3 SAMBA IMAP SNMP PROXY MySQL SMTPS POP3 IMAPS 等服務使用情形 IP Route 查詢目前 IP Route 與整個設備路由表 Interface Information 查詢網路介面 (WAN / LAN /DMZ) 綁了哪些位址 Wake UP 支援 Wake on Lan 的機制 IPv6 支援 IPv6 偵測設定 430

432 13-1 連線測試 PING 於線路偵測之 Ping 功能中, 可直接由 UTM 多功能防火牆用 Ping 指令, 發送封包到特定位址, 以確認連外線路的資料傳輸狀況 :( 圖 13-1) 輸入封包發送的目標 IP 或網域名稱輸入每個發送封包大小 ( 預設為 32 Bytes) 輸入回應次數 ( 預設為 4) 輸入等待時間 ( 預設為 1 秒 ) 選擇封包發送的來源介面位址, 可以選擇 LAN WAN1 WAN2 DMZ 等網路介面按下確定鈕 ( 圖 13-2) 圖 13-1 Ping 偵測設定圖 13-2 Ping 偵測結果 431

433 Traceroute 線路偵測之 Traceroute 功能中, 可直接由 UTM 多功能防火牆用 Traceroute 指令, 發送封包到特定位址, 以確認連外線路的資料傳輸狀況 :( 圖 13-3) 輸入封包發送的目標 IP 或網域名稱輸入每個發送封包大小 ( 預設為 40 Bytes) 輸入最大存活時間 ( 預設為 30 節點 ) 輸入等待時間 ( 預設為 2 秒 ) 選擇偵測方式, 可以用 ICMP TCP UDP 等方式選擇封包發送的來源位址按下確定鈕 ( 圖 13-4) 圖 13-3 Traceroute 偵測設定圖 13-4 Traceroute 偵測結果 432

434 DNS Query 查詢 DNS 的詳細資料, 目前可以查詢 ANY SOA NS A MX CNAME PTR 等資料, 可以使用本機或是特定的 DNS 伺服器作為查詢依據於線路偵測之 DNS Query 功能中, 可直接由 UTM 多功能防火牆用 DNS 查詢工具指令, 發送封包到特定位址, 以確認 DNS 資料傳輸狀況 :( 圖 13-5) 輸入代表使用本機為查詢的 DNS 伺服器 IP 位址名稱輸入查詢對象的名稱或 IP 位址 ( 最多 50 各字元 ) 輸入欲查詢的類型按下確定鈕 ( 圖 13-6) 圖 13-5 DNS 查詢工具圖 13-6 DNS Query 偵測結果註 : 查詢對象的名稱或 IP 位址 : 正向或是反查資料均可以在這裡填入相對應的 IP 位址或是網域名稱 433

435 Server Link 目前可以查詢伺服器開啟哪些服務埠, 包含 FTP SSH TELNET SMTP DNS HTTP POP3 SAMBA IMAP SNMP PROXY MySQL SMTPS POP3 IMAPS 等服務使用情形於線路偵測之 Server Link 功能中, 可直接由 UTM 多功能防火牆檢查目前伺服器服務埠使用狀況 :( 圖 13-7) 輸入 IP 位址域名名稱按下確定鈕 ( 圖 13-8) 圖 13-7 DNS 查詢工具圖 13-8 Server Link 偵測結果 434

436 IP Route 點選 IP Route,UTM 多功能防火牆會帶出目前設備路由表資料 ( 圖 13-9) 圖 13-9 IP Route 查詢工具 435

437 Interface Information 選定來源位址 (DMZ WAN1 WAN2 LAN), 系統會秀出目前該網路介面概況 ( 圖 13-10) 圖 IP Addr Show 查詢工具 436

438 Wake Up 可透過 LAN 或 DMZ 介面, 喚醒內部網路的電腦, 被喚醒的電腦需要支援 Wake on Lan 的網路卡 ( 圖 13-11) 介面位址 : 用哪一個介面做 Wake On Lan 的工作 MAC 位址 : 被喚醒電腦的 MAC 位址圖 Wake Up 工具 437

439 Ipv6 ShareTech UTM 提供 IPv6 偵測設定查詢介面 ( 圖 13-12) 圖 IPv6 Ping 偵測工具 438

440 SNMP 可利用 SNMP 通訊協定優異的網管特性與 ShareTech UTM 結合, 讓網管人員能夠更有效率地管理網站伺服器 ( 圖 13-13) Switch IP : 輸入查詢 IP 位址 Read 權限 : 輸入 public OID : 如果不了解 OID, 可直接點選 SNMP?, 系統會顯示每個 OID 說明事項 ( 圖 13-14) Vlan ID : 設定 Vlan ID 數字圖 13-13Wake Up 工具圖 Wake Up 工具 439

441 13-2 封包擷取使用者可擷取透過系統傳輸的封包, 來觀察排除網路異常的情形排程中列表步驟 1. 在網路工具封包擷取排程中列表頁面中, 可直接擷取透過眾至多功能防火牆傳輸的封包, 以觀察分析其內容來排除傳輸異常狀況 :( 圖 13-15) 勾選啟用封包擷取功能自行設定時間範圍選擇封包擷取的網路介面傳輸的封包選填擷取特定通訊協定的封包輸入通訊條件選填 PCAP 檔案大小為 5 設定 PCAP 檔案份數為 10 按下新增鈕, 來擷取封包圖新增排成列表 440

442 步驟 2. 完成排成列表設定 ( 圖 13-16) 圖完成列表設定 441

443 已完成列表系統會針對已排入為排程中的條例進行封包擷取, 所有完成事項會在已完成列表中呈現 ( 圖 13-17) 圖完成列表清單 442

444 第十四章日誌登入事件當 UTM 多功能防火牆偵測到系統發生某些事件時, 系統管理員可經由此事件登入功能, 瞭解事件發生的時間詳細說明登入事件的名詞解釋及搜尋條件電腦名稱依電腦名稱做搜尋條件 IP 位址依 IP 位址做搜尋條件登入設定記錄使用者登入主機時間系統設定紀錄使用者登入管理介面更動時間設定管理員備份與升級語系設定時間網路介面及路由紀錄使用者登入管理介面更動網路介面路由設定時間管制條例紀錄使用者登入管理介面更動 LAN 的管制 DMZ 的管制 WAN 的管制時間管理目標紀錄使用者登入管理介面更動位址表服務表頻寬管理時間表應用程式管理 URL 管理與虛擬伺服器設定時間網路服務紀錄使用者登入管理介面更動 DHCP 服務 DNS 代理服務 DDNS 服務 DNS 服務 Web 代理服務與掃毒服務時間郵件管理紀錄使用者登入管理介面更動郵件閘道器郵件代理郵件掃毒垃圾郵件過濾與郵件紀錄查詢時間 443

445 內容紀錄紀錄使用者登入管理介面更動 web 紀錄管理 MSN 紀錄管理 IM 紀錄管理郵件記錄器時間 VPN 紀錄使用者登入管理介面更動 IPSec Tunnel PPTP 伺服器 PPTP Client 時間事件紀錄保留最久可保留一年 (12 個月 ) 444

446 系統操作查詢登入事件的詳細資料, 任何權限的管理者 (View Read Write View-Read- Write), 在 UTM 多功能防火牆做的任何事情 ( 新增修改刪除查詢下載 ) 都會在這裡詳細的紀錄 ( 圖 14-1) 事件列表的說明如下 : 時間 : 發生該事件的時間帳號 : 那個管理者帳號, 觸發這個事件 IP 位址 : 管理者帳號使用的 IP 位址功能路徑 : 管理者進入那一個管理畫面動作 : 管理者執行的動作, 有 ( 登入新增修改刪除搜尋下載 ) 等內容 : 管理者執行的動作前及後的詳細內容圖 14-1 事件列表 445

447 搜尋說明如下 : 可依照特定 IP 或相關事件特徵, 來尋找儲存在 UTM 多功能防火牆內所有符合條件之記錄帳號 : 登入帳號電腦名稱 : 用哪一個電腦登入系統 IP 位址 : 用哪一個 IP 位址登入系統設定搜尋指定相關條件的記錄, 按下搜尋鈕 ( 圖 14-2) 圖 14-2 事件搜尋 446

448 第十五章系統狀態使用者可隨時由系統狀態中, 得知目前網路連線狀態如區域網路與外部網路的 IP 位址子網路遮罩預設閘道 DNS 伺服器連線 IP 位址等各項資訊 ( 一 ) 系統效能 : 顯示目前 UTM 多功能防火牆 CPU 使用率, 負載記憶體負載, 系統負載, 每個介面的上下傳流量也可以查詢上述資訊的歷史流量 ( 二 ) 連線狀態 : 記錄 UTM 多功能防火牆之連線使用情況, 包含上線數量封包的紀錄等 ( 三 ) 流量分析 : 顯示目前所有與 UTM 多功能防火牆連線的主機流量排行表 447

449 15-1 系統狀態系統狀態系統效能之系統狀態功能中, 會顯示目前 UTM 多功能防火牆系統狀態之相關訊息, 總結來說有 CPU 負載圖記憶體負載圖系統負載圖等 3 種, 其中系統負載圖需要管理者啟動才會出現 CPU 負載圖 : 顯示 UTM 多功能防火牆 CPU 目前使用狀況 ( 圖 15-1) 圖 15-1 CPU 負載記憶體負載圖 : 顯示 UTM 多功能防火牆記憶體使用狀況 ( 圖 15-2) 圖 15-2 記憶體負載系統負載圖 : 顯示 UTM 多功能防火牆系統的綜合效能, 必須啟動開啟系統負載圖才會出現 ( 圖 15-3) 圖 15-3 系統負載 448

450 網路流量於系統效能之網路流量功能中, 會顯示目前 UTM 多功能防火牆所有介面 (LAN WAN1 WAN2 WAN3 WAN4 DMZ) 網路流量之相關訊息, 藍色 ( 圖形上方 ) 是上傳流量, 綠色 ( 圖形下方 ) 是下載流量, 以 WAN1 的圖示為例 ( 圖 15-4) 449

451 圖 15-4 網路介面流量 450

452 歷史狀態搜尋特定時間區間內的訊息, 如 CPU 負載記憶體負載, 系統負載 LAN WAN1 WAN2 WAN3 WAN4 DMZ 網路流量等, 選擇要查詢的區間及項目, 按下搜尋鍵就可以設定查詢目標 CPU 負載設定搜尋日期, :00 ~ :00 按下查詢鈕 ( 圖 15-5) 圖 15-5 CPU 負載搜尋 451

453 15-2 連線狀態成員列表連線狀態之成員列表功能中, 會顯示目前 UTM 多功能防火牆內網電腦的狀態, 是開機或是關機, 從那一個網路界面來 (LAN 或是 DMZ), 也可以按照大小排序 ( 圖 15-6) OS 內網電腦作業系統偵測是一個相當難的動作,UTM 多功能防火牆會主動偵測內部電腦的作業系統及目前對外開放的服務, 不論是在掌握公司內部的資源或是預防木馬跳板上, 都有非常好的參考價值啟用 OS 偵測功能 : 可以關閉或是啟用偵測機制, 當選擇啟用偵測機制時也可以設定 ( 例外 IP), 排除不想被偵測的區段名稱 : 該部電腦的 NETBIOS 名稱, 可以在管理目標的位址表中自定義名稱 IP 位址 : 該部電腦的 IP 位址 MAC 位址 : 該部電腦的 MAC 位址介面 : 該部電腦的來源介面, 是 LAN 還是 DMZ 狀態 : : 代表電腦開機中, : 代表電腦關機中狀態更新時間 : 所有更新時間訊息 : 按照大小排序圖 15-6 成員列表 452

454 無線成員列表如果 UTM 有與 AP 搭配結合, 藉由連線狀態分析, 可以清楚掌握每一位由無線上網之 IP 或 MAC 位址 ( 圖 15-7) 453

455 連線追蹤藉由網路封包的分析及追蹤, 分析每一個使用者網路使用行為, 分析的資料是從電腦開機到關機, 每個用戶利用網路, 在幾點幾分, 花了多少時間作了哪些事情此主要是以來源端名稱作為分類, 顯示目前所有使用者之紀錄, 包含 IP 位址連線數上傳流量下載流量紀錄 ( 紀錄所使用協定來源 IP 目的 IP 通訊埠上傳封包下載封包上傳 Bytes 下載 Bytes) 連線狀態之連線追蹤功能中, 會顯示目前 UTM 多功能防火牆內網電腦所有使用者上傳下載流量統狀態 :( 圖 15-8) 總連線數 : 顯示當下的連線數, 顯示的格式為, 這個頁面聯線數總和 / 全部連線數電腦名稱 : 顯示目前該電腦 IP 位址 IP 位址 : 該部電腦的 IP 位址連線數 : 該部電腦目前對外已經建立的連線數上傳流量 : 該部電腦目前的上傳流量, 單位是 Kbytes/Second 下載流量 : 該部電腦目前的下載流量, 單位是 Kbytes/Second 圖 15-8 連線數及流量列表選擇項目 : 全部 : 只顯示打一條對外線路的資料 :( 圖 15-8) 紅色框框內可以單獨輸入一個 IP 位址, 空白是顯示全部 Outging/Incoming : 顯示哪一個方向的連線數時間 : 每隔幾秒鐘顯示一次立即更新 : 按下後可以馬上更新連線數資訊 454

456 按下紀錄按鈕後, 會出現更詳細的封包通聯訊息 ( 圖 15-9) 目的 IP 搜尋 : 指定搜尋特定的目的 IP 位址時間 : 每隔幾秒鐘顯示一次 Clear /Clear all : 清除顯示資訊 Refresh : 按下後可以馬上更新連線數資訊匯出 : 將資料表匯出, 以供查詢來源 IP : 該部電腦的 IP 位址目的 IP : 目的 IP 位址通訊埠 : 來源及目的通訊埠上傳 : 目前的上傳量下載 : 目前的下載量上傳 Bytes : 累積的上傳量下載 Bytes : 累積的下載量自動更新 : 按照設定的時間, 自動更新封包統計值圖 15-9 使用者連線狀態註 : 如果想監視特定電腦主機的即時連線封包結構, 按下該電腦的 IP 位址後, 畫面的下方會出現詳細的封包連線狀態, 可設定多少時間更新畫面, 包含來源 port 目的 IP 通訊埠上傳封包下載封包上傳流量與下載流量 455

457 15-3 流量分析流量排行列表顯示內部對外傳輸流量的統計資訊, 有 2 個部份, 一個是總量排行, 一個是使用通訊協定分析流量分析之流量排行列表功能中, 會顯示目前 UTM 多功能防火牆內網電腦所有使用者上傳下載流量統計狀態, 管理者可以選取 1~50 名的流量排行榜 :( 圖 15-10) 連線類型 : 可以針對 WAN 介面或是連線方向 (Outgoing/Incoming), 個別統計每頁列出 : 選擇要作 10~50 名的排行名次 : 排行的名次電腦名稱 : 該部電腦的 NETBIOS 名稱 IP 位址 : 該部電腦的 IP 位址 MAC 位址 : 該部電腦的 MAC 位址上傳流量 KBytes : 累積的上傳量, 單位為 KBytes 下載流量 KBytes : 累積的下載量, 單位為 KBytes 圖使用者流量排行列表 456

458 點選電腦名稱 IP 位址 MAC 位址會進一步顯示該部電腦使用哪些通訊協定, 並且以服務表中的基本服務為分類依據, 如果使用的通訊埠在基本服務中沒有定義, 統統會被歸納成 Other ( 圖 15-11) 連線類型 : 顯示連線方向 (Outgoing/Incoming) 的資訊圖使用者使用通訊埠分佈比例按下紀錄按鈕後, 會出現更詳細的封包通聯訊息 ( 圖 15-12) 連線類型 : 顯示連線方向 (Outgoing/Incoming) 的資訊反解目地 IP : 可以將 IP 位址反解成 DNS 資料, 更方便判斷匯出 : 將資料表匯出, 以供查詢來源 IP : 該部電腦的 IP 位址目的 IP : 目的 IP 位址通訊埠 : 來源及目的通訊埠外部線路 : 封包走的外部網路線路上傳 Bytes : 累積的上傳量下載 Bytes : 累積的下載量協定 :TCP 或是 UDP 圖使用者流量詳細資訊 457

展开

飞鱼星多WAN防火墙路由器用户手册

飞鱼星多WAN防火墙路由器用户手册 WAN VER: 20110218 Copyright 2002-2011 VOLANS WAN VR4600 VR4900 VR7200 VR7500 VR7600 1.1 1.2 IP 1.3 2.1 2.2 2.2.1 2.2.2 3.1 3.2 3.2.1 3.2.2 3.2.3 4.1 4.2 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.3 4.3.1 4.3.2

More information

D-link用户手册.doc

More information

联想天工800R路由器用户手册 V2.0

联想天工800R路由器用户手册 V2.0 LSA-800R V2.0 2 0 0 4 l e n o v o 0755-33306800 www.lenovonetworks.com support@lenovonet.com 1 1 1.1 1 1.2 1 2 2 2.1 2 2.2 2 3 2 3.1 2 3.2 3 3.3 4 3.4 5 4 TCP/IP 5 4.1 Windows 95/98/ME 5 4.2 Windows 2000/XP

More information

11N 无线宽带路由器

11N 无线宽带路由器 http://www.tenda.com.cn 1... 1 1.1... 1 1.2... 1 2... 3 2.1... 3 2.2... 3 2.3... 5 2.4... 6 2.5... 7 2.6... 9 2.6.1 无线基本设置... 9 2.6.2 无线加密设置... 9 2.7... 10 3... 18 3.1... 18 3.2... 19 3.2.1 ADSL 拨号上网设置...

More information

R3105+ ADSL

R3105+ ADSL ... 1 1 1... 1 1 2... 1... 3 2 1... 3 2 2... 3 2 3... 5 2 4... 5 2 4 1... 5... 7 3 1... 7 3 2... 8 3 2 1... 8 3 2 2... 9 3 3... 12 3 3 1... 13 3 3 2 WAN... 16 3 3 3 LAN... 21 3 3 4 NAT... 22 3 3 5... 24

More information

SAPIDO GR-1733 無線寬頻分享器

More information

My Net N900 Central Router User Manual

My Net N900 Central Router User Manual My Net N900 Central 路由器 WD 服務與支援如果您遇到問題, 請在決定退回本產品之前, 先讓我們有機會解決此問題大部分的技術支援問題都可透過我們的知識庫或電子郵件支援服務 (http://support.wdc.com) 獲得解答如果無法獲

More information

穨CAS1042快速安速說明.doc

穨CAS1042快速安速說明.doc CAS1042 4 Port 10/100M Switch Internet BroadBand Router IP IP... PC CAS1042 UTP Cable CAS1042 5V / 2.4A 6 1. 2. ADSL Cable Modem 3. CAS1042 4. TCP/IP 5. 6. 1 2 ADSL Modem Cable Modem CAS1042 ) / "LAN

More information

LSR-120 Router

LSR-120 Router II 1 1.1 1 1.2 1 2 2.1 2 2.2 2 2.3 3 2.4 3 2.5 3 4 3.1 4 3.2 4 3.3 8 3.3.1 8 3.3.2 8 3.3.3 9 3.3.4 9 3.3.5 DHCP 12 3.3.6 14 3.3.7 17 3.3.8 23 3.3.9 24 3.4 29 Windows95/98 TCP/IP 30 31 32 33 SOHO 34 37

More information

IP505SM_manual_cn.doc

IP505SM_manual_cn.doc IP505SM 1 Introduction 1...4...4...4...5 LAN...5...5...6...6...7 LED...7...7 2...9...9...9 3...11...11...12...12...12...14...18 LAN...19 DHCP...20...21 4 PC...22...22 Windows...22 TCP/IP -...22 TCP/IP

More information

NetST 2300系列防火墙产品白皮书

NetST 2300系列防火墙产品白皮书 2000 (NetST 2000 ) ... 3... 4 NetST 2000... 5 1...5 2...5 3...6 4...9 5...9 6...9 7...10 7.1...10 7.2...10 7.3...11 7.4...11 7.5...13 7.6...13 7.7 VPN...14 7.8...14 7.9...15 7.10...17 7.11 IP...17 7.12...18

More information

网康科技•互联网控制网关

More information

VIDEOJET connect 7000 VJC-7000-90 zh- CHS Operation Manual VIDEOJET connect 7000 zh-chs 3 目录 1 浏览器连接 7 1.1 系统要求 7 1.2 建立连接 7 1.2.1 摄像机中的密码保护 7 1.3 受保护的网络 7 2 系统概述 8 2.1 实况

More information

QVM330 多阜寬頻路由器

QVM330 多阜寬頻路由器俠諾神捕 QnoSniff 專業版 2.0 繁體中文使用手冊目錄一簡介... 4 二 QnoSniff 專業版系統安裝與配置... 6 2.1 開始之前的準備... 6 2.2 QnoSniff 專業版安裝過程中所需元件... 6 2.3 佈署連接範例拓樸... 7 2.4 開始安裝... 7

More information

SL2511 SR Plus 操作手冊_單面.doc

SL2511 SR Plus 操作手冊_單面.doc IEEE 802.11b SL-2511 SR Plus SENAO INTERNATIONAL CO., LTD www.senao.com - 1 - - 2 - .5 1-1...5 1-2...6 1-3...6 1-4...7.9 2-1...9 2-2 IE...11 SL-2511 SR Plus....13 3-1...13 3-2...14 3-3...15 3-4...16-3

More information

QVM330 多阜寬頻路由器

QVM330 多阜寬頻路由器侠诺神捕 QnoSniff 专业版 2.0 简体中文使用手册目录一简介... 4 二 QnoSniff 专业版系统安装与配置... 5 2.1 开始之前的准备... 5 2.2 QnoSniff 专业版安装过程中所需组件... 5 2.3 布署连接范例拓朴... 6 2.4 开始安装... 6

More information

穨CAS1042中文手冊.doc

穨CAS1042中文手冊.doc CAS1042 4 port 10/100M Switch Internet BroadBand Router ...1...2...3 5...3 1...3 2 ADSL MODEM CABLE MODEM...4...5 4 TCP/IP...6 Windows 95 / 98 / ME/XP...6 WINDOWS 2000...8 WINDOWS NT 4.0...8...9 ADSL (ADSL

More information

QL1880new2.PDF

QL1880new2.PDF ADSL Modem 1 MODEM 56K MODEM 128K ISDN INTERNET ADSL Modem VOD ADSL ADSL 2 1.1 ADSL 1.2 1.3 KM300A 2.1 2.2 2.3 2.4 2.5 KM300A 2.6 web 2.7 1.1ADSL 1.2 1.3 2.1 ADSL 2.2 ADSL 3 ADSL KM300A ADSL KM300A DIY

More information

Web 服务器网上银行服务器邮件服务器置于停火区 (DMZ), 通过病毒防御网关入侵检测及防火墙连接到 Internet 上, 办公网也通过 VPN 防火墙连接到 Internet 上二金融网络

Web 服务器网上银行服务器邮件服务器置于停火区 (DMZ), 通过病毒防御网关入侵检测及防火墙连接到 Internet 上, 办公网也通过 VPN 防火墙连接到 Internet 上二金融网络 Hillstone 山石网科金融行业网络优化解决方案一金融行业网络现状 & 安全问题分析随着我国金融改革的进行, 各个银行纷纷将竞争的焦点集中到服务手段上, 不断加大电子化建设投入, 扩大计算机网络规模和应用范围但是, 应该看到,

More information

1 产品简介... - 1-1.1 特性... - 1-1.2 包装... - 1-1.3 产品外观... - 2-1.4 电脑系统要求... - 3-1.5 硬件安装... - 3-1.6 软件安装... - 4-2 软件操作... - 6-2.1 IP

1 产品简介... - 1-1.1 特性... - 1-1.2 包装... - 1-1.3 产品外观... - 2-1.4 电脑系统要求... - 3-1.5 硬件安装... - 3-1.6 软件安装... - 4-2 软件操作... - 6-2.1 IP 无线 / 有线网络摄像机使用说明书黑色白色深圳市富泓电子有限公司电话 : +86-755-26509025 传真 : +86-755-26509229 1 产品简介... - 1-1.1 特性... - 1-1.2 包装... - 1-1.3 产品外观... - 2-1.4 电脑系统要求... - 3-1.5 硬

More information

目彔 1. 准备工作... 1 2. 登彔设置... 2 3. 功能说明... 4 3.1 实时监控... 4 3.1.1 基本控制... 4 4.1.2 功能设置... 4 3.1.3 画质调节... 6 3.1.4 彔像与抓拍... 6 3.1

目彔 1. 准备工作... 1 2. 登彔设置... 2 3. 功能说明... 4 3.1 实时监控... 4 3.1.1 基本控制... 4 4.1.2 功能设置... 4 3.1.3 画质调节... 6 3.1.4 彔像与抓拍... 6 3.1 嵌入式 Web Server 用户手册 V2.0 感谢您选用本公司的产品, 请您在使用本产品前仔细阅读用户手册, 本用户手册将为您提供正确的使用说明版权声明 : 本用户手册版权归天津市亚安科技股仹有限公司所有, 未经本公司许可, 仸何机构

More information

《计算机网络》实验指导书

《计算机网络》实验指导书 1 实验一网络组建与管理一. 实验目的 1. 掌握平行双绞线和交叉双绞线的制作方法 ( 初级 ) 2. 掌握对等网和代理服务器网络的组建 ( 初级 ) 3. 会用 ipconfig 和 ping 命令 ( 初级 ) 4. 掌握网络中文件夹共享和打印机共享 ( 初级 )

More information

湖北省政府采购中心

湖北省政府采购中心湖北省省级政府采购招标文件项目编号 :EZC-2014-ZX1026 项目名称 : 湖北省测绘成果档案馆测绘服务云平台配套设备购置招标内容 : 五台精密空调两台核心交换设备一台上网行为管理设备一台安全 VPN 设备湖北省政府采购中心二

More information

Dell SonicWALL Network Security Appliance Dell SonicWALL Network Security Appliance (NSA) (Reassembly-Free Deep Packet Inspection, RFDPI) NSA NSA RFDP

Dell SonicWALL Network Security Appliance Dell SonicWALL Network Security Appliance (NSA) (Reassembly-Free Deep Packet Inspection, RFDPI) NSA NSA RFDPI NSA Web URL CloudAV Dell SonicWALL Capture NSA Dell

More information

一、选择题

一、选择题计算机网络基础第 7 章练习思考与认识活动一选择题 1. 下面命令中, 用于检查 WINDOWS2000 下 TCP/IP 配置信息的是 ( ) A. cmd B. nslookup C. ipconfig D. ping 2. 内部网关协议 RIP 是一种广泛使用的基于距离矢量算法的协议

More information

工程师培训

工程师培训 .1 TCP/IP TCP/IP 1 .2.2.1 Host 1960 S 1970 S Host Low Speed Lines 1970 S 1980 S pc Server Local Interneting 1980 S 1990 S Branch. pc Branch. WAN Branch. pc pc IBM SNA IBM X.25 2 .2.2 OSI OSI Application

More information

專業式報告

專業式報告 IP Kamera 9060A-SL IP Kamera 9060A-SL : V1.00 : 2006.04 IP KAMERA 9000(A) 說 FCC CE 1.IP Kamera 9060A-SL 2.IP Kemera 9060A-SL 3. 4. 9060A-SL 5. 9060A-SL - 1 - 1....3... 2....4 9060A-SL...... 3....5 4....6......

More information

中文朗科AirTrackTM T600 迷你无线路由器用户手册.doc

中文朗科AirTrackTM T600 迷你无线路由器用户手册.doc AirTrack T600 http://www.netac.com.cn Netac Netac AirTrack OnlyDisk Netac Netac Netac http://www.netac.com.cn Netac 800-830-3662 FCC 15 B 1 2 3 4 / FCC 20cm 1 2 3 / / ...1 1.1...1 1.2...1 1.3...1 1.4...3...4

More information

IC-900W Wireless Pan & Tilt Wireless Pan & Tilt Remote Control / Night Vision FCC ID:RUJ-LR802UWG

IC-900W Wireless Pan & Tilt Wireless Pan & Tilt Remote Control / Night Vision FCC ID:RUJ-LR802UWG --------------------------------------------TABLE OF CONTENTS------------------------------------------

More information

版權 2014 贊雲科技股份有限公司版權保護聲明未經贊雲科技股份有限公司書面許可, 本檔任何部分的內容不得被複製或抄襲用於任何目的本檔的內容在未經通知的情形下可

版權 2014 贊雲科技股份有限公司版權保護聲明未經贊雲科技股份有限公司書面許可, 本檔任何部分的內容不得被複製或抄襲用於任何目的本檔的內容在未經通知的情形下可版權 2014 贊雲科技股份有限公司版權保護聲明未經贊雲科技股份有限公司書面許可, 本檔任何部分的內容不得被複製或抄襲用於任何目的本檔的內容在未經通知的情形下可能會發生改變, 敬請留意於本檔中, 贊雲科技擁有專利權商標

More information

IP Camera

IP Camera ( 高清云摄像机 ) 电脑客户端使用手册本操作手册适用于我公司所有云摄像机系列产品注 : 为了保护您的隐私安全, 登陆后请修改机器的出厂密码, 并请妥善保管好用户名及密码. 手册版本 : 版本日期描述 V1.0 2013 年 5

More information

TCP/IP TCP/IP OSI IP TCP IP IP TCP/IP TCP/IP

TCP/IP : TCP/IP TCP/IP OSI IP TCP IP IP TCP/IP TCP/IP 1. ASCII EBCDIC Extended Binary-Coded Decimal Interchange Code 2. / (1) (2) Single System Image SSI) (3) I/O (4) 3.OSI OSI Open System Interconnection

More information

ch09.PDF

ch09.PDF 9-1 / (TCP/IP) TCP/IP TCP/IP ( ) ICMP ARP RARP 9.1 TCP/IP 9.1.1 TCP/IP OSI TCP/IP (DARPA) DARPA TCP/IP UNIX Berkeley Software DistributionTCP/IP TCP/IP TCP/IP TCP/IP TCP/IP TCP/IP OSI - TCP/IP ( ) ( )

More information

卢艺 16:22:37relaystate 相关状态，为请求中的值，如果其值为空，则没有这个参数url 该登录票据的目标URLuser 登录用户的标识字符串index 用户在统一认证中的会话编号time 登录票据的生效时间，应该早于接收到该票据的时间expire 登录票据的实效时间authn 登录类型，1：用户吊口令登录，2：UsbKey登录app 用户要访问的应用的标识ip 用户的IP地址tid 该登录票据的唯一编号卢艺 16:23:42刚和王老师确认过，Key里面没

卢艺 16:22:37relaystate 相关状态，为请求中的值，如果其值为空，则没有这个参数url 该登录票据的目标URLuser 登录用户的标识字符串index 用户在统一认证中的会话编号time 登录票据的生效时间，应该早于接收到该票据的时间expire 登录票据的实效时间authn 登录类型，1：用户吊口令登录，2：UsbKey登录app 用户要访问的应用的标识ip 用户的IP地址tid 该登录票据的唯一编号卢艺 16:23:42刚和王老师确认过，Key里面没随易通系统使用指南 3 月 27 日 2014 [ 常见问题 ] 中国科学院国家科学图书馆随易通系统常见问题手册 2014 年 3 月 27 日指南目录 : 常见问题手册... 2 1. 常见提示错误及解决方案... 5 1.1. 错误提示 : 此网站的安全证书有问题...

More information

目录 1 产品简介... 5 功能简介... 5 接口和按钮... 6 指示灯硬件安装... 8 选择合适的安装位置... 8 连接线缆建立计算机的 Wi-Fi 连接... 9 通过手动方式

目录 1 产品简介... 5 功能简介... 5 接口和按钮... 6 指示灯硬件安装... 8 选择合适的安装位置... 8 连接线缆建立计算机的 Wi-Fi 连接... 9 通过手动方式 WS832 11ac 1200Mbps 双频无线路由器用户指南目录 1 产品简介... 5 功能简介... 5 接口和按钮... 6 指示灯... 7 2 硬件安装... 8 选择合适的安装位置... 8 连接线缆... 8 3 建立计算机的 Wi-Fi 连接... 9 通过手动方式连接 Wi-Fi...

More information

專業式報告

專業式報告 IP POWER 9258 1U IP POWER 9258IU 說 : V1.38 : 2006. 08-1 - VER. X.X, FCC CE 1. IP POWER 9258. 2. 9258 3. 9258-2 - 1....4... 9258... 2....5...... 3....6 4....8...... 5....9... PC WINDOWS... 6.... 11 7. IE...

More information

i-Mege B2210 Series

i-Mege B2210 Series 固定式网络摄像机使用手册 201305.750. A1 目录重要须知使用前请仔细阅读... 2 产品概述... 2 标准配备... 3 摄像机安装... 4 硬件安装...4 软件安装...4 搜索 IP 摄像机...4 分配 IP 地址...5 通过 Windows 网络访问摄像机...7 ActiveX

More information

專業式報告

專業式報告 IP POWER 9258 IP POWER 9258 說 : V1.38 : 2006. 08-1 - VER. X.X, FCC CE 1. IP POWER 9258. 2. 9258 3. 9258-2 - 1....4... 9258... 2....5...... 3....6 4....7...... 5....8... PC / SERVER.. 6. IE... 11 9258...

More information

政府采购招标文件

政府采购招标文件政府采购招标文件 * * 投标前请认真阅读本文件 * * 项目名称 : 纳雍县教育局采购纳雍县第一中学整体搬迁设施设备项目编号 : BJZC-2014-156 采购方式 : 公开招标毕节市公共资源交易中心二一四年十月目录第 1 章招标公告... 3

More information

84

83 84 EKI-1526 EKI-1528 EKI-1524 EKI-1522 EKI-1521 2 2 2 2 2 16 8 4 2 1 10/100 Mbps 10/100 Mbps 10/100 Mbps 10/100 Mbps 10/100 Mbps RS-232/422/485 RS-232/422/485 RS-232/422/485 RS-232/422/485 RS-232/422/485

More information

<4D6963726F736F667420506F776572506F696E74202D20A1B6CFEEC4BFD2BB20B3F5CAB6BCC6CBE3BBFACDF8C2E7A1B7C8CECEF1C8FD20CAECCFA4544350A1A24950D0ADD2E9BACD4950B5D8D6B72E707074>

<4D6963726F736F667420506F776572506F696E74202D20A1B6CFEEC4BFD2BB20B3F5CAB6BCC6CBE3BBFACDF8C2E7A1B7C8CECEF1C8FD20CAECCFA4544350A1A24950D0ADD2E9BACD4950B5D8D6B72E707074> 项目一 : 初识计算机网络任务三熟悉 TCP/IP 协议和 IP 地址一. 学习要求 : 学习要求及难点 1. 了解 IP 协议 TCP 协议和 UDP 协议 2. 熟悉 IP 地址的划分和分类 3. 了解 IPV6 的地址结构二. 难点 : 1. IP 地址三. 学时 : 1. 理论教学 :6

More information

Microsoft Word - YDB doc

Microsoft Word - YDB doc YDB 中国通信标准化协会标准 YDB 118 2012 宽带速率测试方法用户上网体验 Broadband speed test method User experience of internet surfing 2012-11 - 13 印发中国通信标准化协会目次前言... Ⅱ 1 范围... 1 2 规范性引用

More information

C3_ppt.PDF

C3_ppt.PDF C03-101 1 , 2 (Packet-filtering Firewall) (stateful Inspection Firewall) (Proxy) (Circuit Level gateway) (application-level gateway) (Hybrid Firewall) 2 IP TCP 10.0.0.x TCP Any High Any 80 80 10.0.0.x

More information

安全信息此摄像机适用于室内安装使用若要安装于室外, 需要配合使用室外防护罩 ( 不提供 ) 开启摄像机前, 请确保所用电源符合要求使用不适当的电源可能会损坏摄像机请

安全信息此摄像机适用于室内安装使用若要安装于室外, 需要配合使用室外防护罩 ( 不提供 ) 开启摄像机前, 请确保所用电源符合要求使用不适当的电源可能会损坏摄像机请 1080p 方形网络摄像机使用手册 201301 800 A2 安全信息此摄像机适用于室内安装使用若要安装于室外, 需要配合使用室外防护罩 ( 不提供 ) 开启摄像机前, 请确保所用电源符合要求使用不适当的电源可能会损坏摄像机请勿将摄像机

More information

第 11 章互聯網技術 11.1 互聯網和萬維網的發展歷史 A. 互聯網的發展互聯網是由 ARPANET 開始發展的 1969 年美國國防部高級研究計劃署 (ARPA) 把部分軍事研究所和大的電腦連接起來建造了㆒個實驗性的電腦網絡稱為 ARPANET 並列的功能

第 11 章互聯網技術 11.1 互聯網和萬維網的發展歷史 A. 互聯網的發展互聯網是由 ARPANET 開始發展的 1969 年美國國防部高級研究計劃署 (ARPA) 把部分軍事研究所和大的電腦連接起來建造了㆒個實驗性的電腦網絡稱為 ARPANET 並列的功能互聯網技術在完成這章後, 你將能夠描述互聯網的發展歷史描述萬維網的發展歷史了解連接互聯網的基本概念能夠連接到互聯網知道互聯網如何運作互聯網是全球網絡的集合互聯網 (Internet) 是 ㆒ 個集合全球許多網絡 ㆒ 起的大型網

More information

D. 192.168.5.32 E. 192.168.5.14 答案 :C 3. 工作站 A 配置的 IP 地址为 192.0.2.24/28. 工作站 B 配置的 IP 地址为 192.0.2.100/28. 两个工作站之间有直通线连接, 两台

D. 192.168.5.32 E. 192.168.5.14 答案 :C 3. 工作站 A 配置的 IP 地址为 192.0.2.24/28. 工作站 B 配置的 IP 地址为 192.0.2.100/28. 两个工作站之间有直通线连接, 两台 CCNP 学前测试题都选自官方的全真考试题, 共 100 道题实际测试选 60 道题, 同官方正式考题数目基本一致, 因此等于是模拟考试, 采用网上形式进行测评学前测评目的是为了检验大家对 CCNA 阶段知识掌握的程度, 同时对 CCNA 最核心

More information

untitled

untitled TS-411U Turbo Server TS-411U Turbo Server ( : 1.0.0) 2005 2005 12 8-2 - 1. 2. TS-411U Turbo Server - 3 - ... 7 1.1... 7 1.2... 8 1.3... 9 TS-411U... 10 2.1... 10 2.2... 14 2.3 TS-411U... 15 LCD... 17...

More information

untitled

untitled ...3...5 1. eunipacket QoS?...5 2....6 eunipacket...10 1....10 1.1....10 1.2....12 1.3....13 2....13 2.1....14 2.2. Top N...15 2.3....16 2.4....16 3....17 3.1....17 3.2....18 3.3....18 3.4....18 4....18

More information

KillTest 质量更高服务更好学习资料半年免费更新服务

KillTest 质量更高服务更好学习资料半年免费更新服务 KillTest 质量更高服务更好学习资料 http://www.killtest.cn 半年免费更新服务 Exam : 070-647 Title : Windows Server 2008,Enterprise Administrator Version : Demo 1 / 13 1. Active directory Windows Server 2008 (WAN) WAN WAN A.

More information

1. ( B ) IT (A) (B) (C) (D) 2. ( A ) (A) (B) (C) (D) 3. ( B ) (A) GPS (B) GIS (C) ETC (D) CAI 4. ( D ) (A) (B) (C) (D) 5. ( B ) (Stored Program) (A) H

... 2... 4... 6... 8... 10... 12... 14... 16... 18... 20... 22... 24... 25... 26... 28 1. ( B ) IT (A) (B) (C) (D) 2. ( A ) (A) (B) (C) (D) 3. ( B ) (A) GPS (B) GIS (C) ETC (D) CAI 4. ( D ) (A) (B) (C)

More information

杭州顺网科技股份有限公司拟实施股权收购涉及江苏国瑞信安科技有限公司股权评估项目资产评估报告目录杭州顺网科技股份有限公司拟实施股权收购涉及的江苏国瑞信安

杭州顺网科技股份有限公司拟实施股权收购涉及江苏国瑞信安科技有限公司股权评估项目资产评估报告目录杭州顺网科技股份有限公司拟实施股权收购涉及的江苏国瑞信安杭州顺网科技股份有限公司拟实施收购涉及的江苏国瑞信安科技有限公司股权评估项目资产评估报告苏华评报字 [2015] 第 192 号江苏华信资产评估有限公司二一五年七月二十四日杭州顺网科技股份有限公司拟实施股权收购涉及江

More information

SEC-220

SEC-220 Session CERT/CC 60000 50000 40000 52,658 30000 26,829 20000 10000 0 2,412 1995 1999 2000 2001 Q1, 2002 Source: http://www.cert.org/stats/ CERT/CC 3000 2500 2000 2,437 1500 1000 500 0 171 1,065 1995

More information

untitled

untitled IP POWER 9258SX IP POWER 9258SX 說 : V1.38 : 2006. 11-1 - VER. X.X, FCC CE 1.. 2. 9258 3. 9258-2 - 1....4... 9258... 2....5...... 3....6 4....8...... 5.... 10 PC... PC... 6.... 13 7. IE... 14 9258... 9258...

More information

CD (OpenSourceGuide OpenSourceGuide.pdf) : IR LED

CD (OpenSourceGuide OpenSourceGuide.pdf) : IR LED 1... 1... 1... 2 2... 3... 3... 3... 3 ( Ø100)... 3 ( Ø80)... 4... 4... 4 ( Ø100)... 5 ( Ø80)... 6... 7... 7... 9... 9 ( Ø100)... 9 ( Ø80)... 9... 10

More information

(Microsoft Word - IP CAM\302\275\304\266_0103)

$(Microsoft Word - IP CAM\302\275\304\266_0103)$ PT-N02B 無線 / 有線網路監控攝影機產品使用手册感細心謝您選購款 IP 攝影機, 本手冊的途是幫助您熟悉和正確使用 IP 攝影機可能在這些技術宜節或第的方者一變面當更描地章, 述的不經用公夠銷司準商戶將確查使不, 再詢假如您

More information

untitled

untitled EZ947 路理 Chinese Version 1.1 1 Table of Contents...4 1.1... 5 1.2... 7 1.3... 7...8 2.1 說... 8 2.1.1 LEDs... 8 2.1.2... 9 2.2 流... 10 2.2.1... 10 2.2.2 路 (LAN) 連... 10 2.2.3 路 (WAN) 連... 10 路...11 3.1

More information

机密等级：受控

机密等级：受控 V.0 版 [ 高职方案 B] 锐捷网络大学 - - 目录一文档说明... 错误! 未定义书签二职业能力分析... 3 三教学指导方案... 3. 课程规划... 3.2 课程实训设备... 3.3 教材简介... 3. 规划... 7 四推荐认证... 5 五相关服务... 5 - - 2 一

More information

untitled

untitled IP 13 100088 010-62043020 www.gohigh.com.cn - 1 - IP 1. 1 2 3 4 5 6 7 8 9 10. 11. - 2 - IP 2. IP IP H.323 SIP IP IP IP ADSL CABLE FTTB LAN VPN 2.1 IP IP H.323 MCU 1 A/V 1 A/V 30 CIF 2.2 ITU-T H.323 IETF

More information

G1-0406国务院教学设备

G1-0406国务院教学设备广西科联招标中心公开招标采购文件项目名称 : 教学设备采购项目编号 :GXZC2016-G1-0406-KLZB 采购人 : 广西国际商务职业技术学院采购代理机构 : 广西科联招标中心 2016 年 5 月目录第一章公开招标公告... 2 第二章招标项目采

More information

Microsoft Word - VC2K_20141030_cht.doc

Microsoft Word - VC2K_20141030_cht.doc 影像伺服器 VC-1500/1800/2000 操作說明書影像伺服器操作說明書 20141030 0 目錄硬體介紹...4 正面...4 背面說明...4 配件...5 接線架構說明圖...5 搭配有線電視數位盒接法...6 PC-09N 無線轉發器指定插槽...6 軟體安裝說明...7

More information

一．NETGEAR VPN防火墙产品介绍

一．NETGEAR VPN防火墙产品介绍 NETGEAR VPN NETGEAR 6 http://www.netgear.com.cn - 1 - NETGEAR VPN... 4 1.1 VPN...4 1.2 Dynamic Domain Name Service...4 1.3 Netgear VPN...4 Netgear VPN... 6 2.1 FVS318 to FVS318 IKE Main...7 2.1.1 A VPN

More information

專業式報告

專業式報告 IP Video 9100 IP VIDEO 9100 說 IP Video 9100 : 2.37 : 2006.05-1 - FCC CE 1. IP Video 9100. 2. IP Video 9100.. 3. 4. 9100 5. 9100, - 2 - IP VIDEO 9100 說 1.... 4... 2... 5...... 3... 5 4.... 6...... 5....

More information

untitled

untitled Ruckus Wireless XXXX... 3 1... 3 XXXX... 4 21... 4 22... 4 23... 4 24... 5 25... 5 Ruckus... 6 31 Ruckus... 6 311 Ruckus... 6 312... 7 313 BeamFlex 802.11n... 8 32 Ruckus... 9 321 ZoneDirector 3000...

More information

FW450R 450M REV2.0.0

FW450R 450M REV2.0.0 FW450R 450M 1910070105 REV2.0.0 Copyright 2014 www.fastcom.com.cn 400-8830-660 E-mail fae@fastcom.com.cn 第 1 章产品概述... 6 1.1 产品简介...6 1.2 主要特性...6 第 2 章硬件描述... 8 2.1 面板布置...8 2.1.1 前面板...8 2.1.2 后面板...9

More information

信息安全保障参考文件

信息安全保障参考文件注册信息安全专业人员 (CISP) 知识体系大纲版本 :2.0 中国信息安全测评中心版权 2010 中国信息安全测评中心中国信息安全测评中心目录目录...1 前言...4 第 1 章注册信息安全专业人员 (CISP) 知识体系概述...5 1.1 CISP 资质认

More information

PH802使用手册

PH802使用手册 net technology PH802 net Words Machine Manual http://www.manuallib.com/file/616304 From ManualLib.com ManualLib.com collects and classifies the global product instrunction manuals to help users access

More information

untitled

untitled IP Video 9100B-RS IP VIDEO 9100(B) 說 IP Video 9100B-RS 說 : 2.39-RS : 2007.1-1 - FCC CE 1. IP Video 9100B-RS. 2. IP Video 9100B-RS. 3. 4. 9100B-RS 5. 9100B-RS - 2 - IP VIDEO 9100(B) 說 1.... 4... 2.... 5

More information

RG-NBS5816XS交换机RGOS 10.4(3)版本WEB管理手册

More information

編輯室手札 Editor Navigation 刑事資訊科技再造整合分析犯罪情資文 / 編輯室刑事資訊科技的發展, 從最初定位於犯罪資料電子數位化, 再隨著犯罪手法科技化的趨勢, 刑事資訊科技在犯罪偵查工作上的角色也愈顯重要, 刑事資訊業

More information

BYOD Http Redirect convergence Client (1) 2008R2 NLB( ) (2) NLB Unicast mode switch flooding (arp ) NLB DNS Redirect 1. Round-Robin DNS DNS IP/DNS Cli

BYOD Http Redirect convergence Client (1) 2008R2 NLB( ) (2) NLB Unicast mode switch flooding (arp ) NLB DNS Redirect 1. Round-Robin DNS DNS IP/DNS Cli BYOD 204 2015 GoogleHicloud (Load Balance) Server Load Balance Link Load Balance Server Redirect 1. URL Redirect redirector URL redirect Real Server Client HTTP Real Server Web Client 2 (1) URL Redirect

More information

EPSON

EPSON NPD6017-00 TC .... 6....6....6....8....8....8....10....12....14....14....15....15....15....15....17....17 IP....17 DNS Proxy....18....18 IP....18 LAN...22....25 Web Config ( )...25....26 /....26....30....32....33....34....36....37....37....38....38

More information

ebook140-11

ebook140-11 11 VPN Windows NT4 B o r d e r M a n a g e r VPN VPN V P N V P N V P V P N V P N TCP/IP 11.1 V P N V P N / ( ) 11.1.1 11 V P N 285 2 3 1. L A N LAN V P N 10MB 100MB L A N VPN V P N V P N Microsoft PPTP

More information

注意事项：

注意事项：注意事项 : 请勿将重物置于本设备上 ; 请勿让任何固体或液体, 掉入或渗入设备内 ; 请定期用刷子对电路板接插件机箱风机机箱等进行除尘, 在进行机体清洁工作前, 请关闭电源并拔掉电源 ; 请勿自行对本设备进行拆卸维修或更换零

More information

GPRS IP MODEM快速安装说明

GPRS IP MODEM快速安装说明 GF-3026D CDMA 无线路由器用户手册北京嘉复欣科技有限公司地址 : 北京市海淀区阜成路 115 号北京印象 2 号楼 213 室电话 :86-10-88122130 88153193 88153197 传真 :86-10-88122129 网站 :http://www.garefowl.com/ 目录一产品

More information

Microsoft Word - PA168XSIPPhoneWebSetupGuideGB.doc

Microsoft Word - PA168XSIPPhoneWebSetupGuideGB.doc PA168X SIP 网络电话 Http 设置指南使用标准 WEB 浏览器设置... 2 网络设置 :... 2 语音设置 :... 4 呼叫设置 :... 7 SIP 协议设置 :... 10 其他设置 :... 14 PA168X SIP 网络电话经过正确的安装后, 即可使用 PC 机及标准的 WEB

More information

项目采购需求编写模板

项目采购需求编写模板金税三期工程第二阶段外部信息交换项目竞争性磋商文件技术部分项目编号 :0706-15410008N059 采购人 : 国家税务总局采购代理机构 : 中国技术进出口总公司二〇一五年十二月 1 / 91 目录第一章金税三期工程项目背景... 5 1.1

More information

目錄壹學校現況..1 一學校現有資源 1 二學校發展方向及執行重點特色.... 1 7 三本 ( 102 ) 年度發展重點..20 貳支用計畫與學校整體發展規劃之關聯...31 一資本門支用項

目錄壹學校現況..1 一學校現有資源 1 二學校發展方向及執行重點特色.... 1 7 三本 ( 102 ) 年度發展重點..20 貳支用計畫與學校整體發展規劃之關聯...31 一資本門支用項目錄壹學校現況..1 一學校現有資源 1 二學校發展方向及執行重點特色.... 1 7 三本 ( 102 ) 年度發展重點..20 貳支用計畫與學校整體發展規劃之關聯...31 一資本門支用項目與學校整體發展規劃關聯性.... 3 2 二經常門支用項目與

More information

EPSON

EPSON NPD5493-00 TC .... 5....5....5....6 SSL/TLS....7....7 IP....8.... 8 Web Config...9 Web Config...10 EpsonNet Config...11 EpsonNet Config Windows...11 EpsonNet Config Windows...11 EpsonNet Config - Windows...

More information

AVG AntiVirus User Manual

AVG AntiVirus User Manual AVG AntiVirus 用户手册文档修订 AVG.04 ２０１６２９版权所有 AVG Technologies CZ, s.r.o. 保留所有权利所有其它商标均是其各自所有者的财产目录 1. 简介 3 2. AVG 安装要求 4 2.1 支持的操作系统 4 2.2 最低推荐硬件要求 4 5 3. AVG 安装过程 3.1 欢迎 5 3.2 输入您的许可证号码 6 3.3 自定义安装

More information

【工程类】

【工程类】茂名市地方税务局会议室功能升级项目采购项目编号 :GZGD-2015-008 公开招标文件广州广大工程项目管理有限公司编制发布日期 : 二 0 一六年一月捌日目录第一部分投标邀请函 -----------------------------------------------------------------------------------------------------------

More information

卢艺 16:22:37 relaystate 相关状态，为请求中的值，如果其值为空，则没有这个参数 url 该登录票据的目标URL user 登录用户的标识字符串 index 用户在统一认证中的会话编号 time 登录票据的生效时间，应该早于接收到该票据的时间 expire 登录票据的实效时间 authn 登录类型，1：用户名口令登录，2：UsbKey登录 app 用户要访问的应用的标识 ip 用户的IP地址 tid 该登录票据的唯一编号卢艺 16:23:42 刚和王老师确认过，Key里面没

卢艺 16:22:37 relaystate 相关状态，为请求中的值，如果其值为空，则没有这个参数 url 该登录票据的目标URL user 登录用户的标识字符串 index 用户在统一认证中的会话编号 time 登录票据的生效时间，应该早于接收到该票据的时间 expire 登录票据的实效时间 authn 登录类型，1：用户名口令登录，2：UsbKey登录 app 用户要访问的应用的标识 ip 用户的IP地址 tid 该登录票据的唯一编号卢艺 16:23:42 刚和王老师确认过，Key里面没新随易通系统用户简要操作指南指南目录 : 用户简要操作指南...1 1. 新随易通系统 (VPN) 用户登陆入口...4 2. 新随易通系统的统一认证入口 ( 测试当中 )... 5 3. 用户主界面...6 4. 修改密码...6 5. 用户常见问题汇总... 8 5.1.

More information

財金資訊-80期.indd

財金資訊-80期.indd IPv6 / LINE YouTube TCP/IP TCP (Transmission Control Protocol) IP (Internet Protocol) (node) (address) IPv4 168.95.1.1 IPv4 1981 RFC 791 --IP IPv4 32 2 32 42 IP (Internet Service Provider ISP) IP IP IPv4

More information

<4D6963726F736F667420576F7264202D203230303930373037B9E3B6ABCAA1CBAEC0FBB9A4B3CCCAD3C6B5BCE0BFD8CFB5CDB3BCBCCAF5B9E6B7B6A3A8CAD4D0D0A3A9C7A9B7A22E646F63>

<4D6963726F736F667420576F7264202D203230303930373037B9E3B6ABCAA1CBAEC0FBB9A4B3CCCAD3C6B5BCE0BFD8CFB5CDB3BCBCCAF5B9E6B7B6A3A8CAD4D0D0A3A9C7A9B7A22E646F63> 广东省水利信息化技术规范广东省水利工程视频监控系统技术规范 ( 试行 ) 二九年七月广东省水利厅前言广东省水利工程视频监控系统技术规范 ( 下称本规范 ) 是广东省水利信息化技术规范之一, 根据广东省水利信息化发展的需要

More information

98支用計畫書-報部修改.doc

98支用計畫書-報部修改.doc 1. ( )284 97 97 23 60 140 53 8 284 90 16 165 2. 3 56 276 8 424 (1) (2) (3) (4) (5) 1 3. 276 23 8 60 22 140 51 53 19 81% 97 10 15 29.58( ) 30.06 21.57 64.33%( ) 4. 276 179 64.9 92 33.3% 13 4.7% 5. 6. 1.

More information

<4D6963726F736F667420576F7264202D20D2F8D0D043444D41CEDECFDFBDD3C8EB41544DBBFAC1AACDF8D3A6D3C3BDE2BEF6B7BDB0B82DD0DEB8C4B0E62E646F63>

<4D6963726F736F667420576F7264202D20D2F8D0D043444D41CEDECFDFBDD3C8EB41544DBBFAC1AACDF8D3A6D3C3BDE2BEF6B7BDB0B82DD0DEB8C4B0E62E646F63> 银行 CDMA 无线接入 ATM 机联网应用解决方案北京泰亚东方通信设备有限公司公司介绍北京泰亚东方通信设备有限公司成立于 1992 年, 于 2002 年开始关注并进行 2.5G 无线数据传输产品的研发和生产, 目前已经自主拥有 GPRS 和 CDMA

More information

13 根据各种网络商务信息对不同用户所产生的使用效用, 网络商务信息大致可分为四级, 其中占比重最大的是 ( A ) A 第一级免费信息 B 第二级低收费信息 C 第三级标准收费

13 根据各种网络商务信息对不同用户所产生的使用效用, 网络商务信息大致可分为四级, 其中占比重最大的是 ( A ) A 第一级免费信息 B 第二级低收费信息 C 第三级标准收费助理电子商务考试真题试题第一部分 : 理论部分一单项选择题 1 ( B ) 是信息系统的核心组成部分 A 逻辑模型 B 数据库 C 概念模型 D 以上全部 2 ping www.163.com -t 中参数 t 的作用是 :( A ) A 进行连续测试 B 在新窗口中显示 C

More information

网络分析仪网络分析仪软件使网络技术人员可以快速维护和优化下一代网络的话音业务和数据业务此外, 任何人通过这些软件都可随时随地访问几乎任何网络, 运行任何协议,

网络分析仪网络分析仪软件使网络技术人员可以快速维护和优化下一代网络的话音业务和数据业务此外, 任何人通过这些软件都可随时随地访问几乎任何网络, 运行任何协议, 安捷伦网络分析仪 10 Gigabit 以太网分析解决方案有线协议测试 - 能够快速解决当前复杂网络问题的卓越技术网络分析仪网络分析仪软件使网络技术人员可以快速维护和优化下一代网络的话音业务和数据业务此外, 任何人通过这些

More information

经华名家讲堂

经华名家讲堂 5.1 5.1.1 5.1.2 5.2 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5 5.3 5.3.1 5.3.2 5.3.3 / 5.3.4 / 5.3.5 / 5.4 Internet 5.4.1 Internet 5.4.2 Intranet 1. 2. 1 31 5 5.1 5.1.1 Internet 1 Host 20 60 IBM 2000 2 20 60 20 60

More information

说明书

说明书 :, 1 2 3, 4,,,,,,, 5,, 6,, 7, 8, 9 10, 11,,,, ,,, NComputing NComputing, NComputing OfficeStation, EXPANION, WoIP UTMA NComputing, windows,,, NCOMPUTING,, NCOMPUTING, NCOMPUTING, NComputing Co,,,,, NComputing,NComputing

More information

untitled

untitled IP Video 9100(A) IP VIDEO 9100(A) 說 IP Video 9100(A) 說 : V2.38 : 2006.11-1 - FCC CE 1. IP Video 9100(A). 2. IP Video 9100(A).. 3. 4. 9100(A) 5. 9100(A) - 2 - IP VIDEO 9100(A) 說 1.... 4... 2.... 5......

More information

NSC-161

NSC-161 IP Session IP? IP Cisco IP IP IP IP IP? LAN Software Bluetooth,, 802.11 IP IP IP QoS IP Trust Domain (TD 1 ) TD 2 AR AR AP AP (MN) (MN) IP IP ( ) (MR) IP LAN MR (AP) IP 802.11 (AL) LAN/PAN 802.11, 802.15,

More information

Microsoft Word - DIR-615_B2_Manual_1.00_T_.doc

Microsoft Word - DIR-615_B2_Manual_1.00_T_.doc D-Link DIR-615 Wireless N Broadband Router DIR-615...4 DIR-615...6...7 DIR-615...10 IP...10 DIR-615...15 DIR-615...24 DIR-615...29 D-Link DWA-645 DIR-615...30 Windows XP SP2...32 Windows Vista...35 (1)

More information

硬體安裝與ADSL.doc

硬體安裝與ADSL.doc 1-1 ADSL CPU I/O CPU PCI ISA SCSI I/O I/O I/O D-Link cpu RTL8139 LINUX LINUX RTL8139C ( ) nvidia CPU MAXTOR MAXTOR MAXTOR 512M INFINEON DRAM 300 CPU CPU ISA PCI IDE CPU CPU PCI IDE ISA CPU 1-2 ADSL ADSL

More information

第 1 章概述 1.1 计算机网络在信息时代中的作用 1.2 计算机网络的发展过程 1.2.1 分组交换的产生 1.2.2 因特网时代 *1.2.3 关于因特网的标准化工作 1.2.4 计算机网络在

第 1 章概述 1.1 计算机网络在信息时代中的作用 1.2 计算机网络的发展过程 *1.2.1 分组交换的产生 *1.2.2 因特网时代 *1.2.3 关于因特网的标准化工作 1.2.4 计算机网络在计算机网络 ( 第 4 版 ) 课件第 1 章计算机网络概述郭庆北 Ise_guoqb@ujn.edu.cn 2009-02-25 第 1 章概述 1.1 计算机网络在信息时代中的作用 1.2 计算机网络的发展过程 *1.2.1 分组交换的产生 *1.2.2 因特网时代 *1.2.3 关于因特

More information

北京市工商局网络安全系统解决方案

北京市工商局网络安全系统解决方案 WebST 20021 01062988822 010 ...3...3 1.1...4 1.1.1...4 1.1.2...4 1.1.3...4 1.2...5 1.3...5 1.4...9 1.4.1...9 1.4.2...12 1.4.3...15 1.4.4...18 1.4.5...24 1.5...25 01062988822 010 1997 1 Check PointISS NokiaSymantec/Axent

More information

UDP 8.2 TCP/IP OSI OSI 3 OSI TCP/IP IP TCP/IP TCP/IP Transport Control Protocol TCP User Datagram Protocol UDP TCP TCP/IP IP TCP TCP/IP TC

UDP 8.2 TCP/IP OSI OSI 3 OSI TCP/IP IP TCP/IP TCP/IP Transport Control Protocol TCP User Datagram Protocol UDP TCP TCP/IP IP TCP TCP/IP TC 8 TCP/IP TCP/IP TCP OSI 8.1 OSI 4 end to end A B FTP OSI Connection Management handshake Flow Control Error Detection IP Response to User s Request TCP/IP TCP 181 UDP 8.2 TCP/IP OSI OSI 3 OSI 3 8.1 TCP/IP

More information