win7系統(tǒng)下載
當(dāng)前位置: 首頁 > 網(wǎng)絡(luò)技術(shù)教程 > 詳細(xì)頁面

5.1 防火墻訪問規(guī)則

發(fā)布時間:2023-01-04 文章來源:深度系統(tǒng)下載 瀏覽:

網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機(jī)、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。
有些企業(yè)內(nèi)部使用固定IP地址,例如ISP發(fā)放公網(wǎng)IP區(qū)域、DMZ的服務(wù)器、開放一對一NAT的服務(wù)器等,由于需要對互聯(lián)網(wǎng)上用戶開放服務(wù),必須使用固定IP。公開雖然有好處,但相對的也容易成為惡意人士攻擊的目標(biāo),因此若是企業(yè)網(wǎng)絡(luò)有這樣配置的服務(wù)器或是計算機(jī),就必須先加以保護(hù)。
要保護(hù)公網(wǎng)IP服務(wù)器或是計算機(jī),第一個要作的就是除了保留要提供服務(wù)的TCP/UDP端口,之外的網(wǎng)絡(luò)端口全部封掉,以避免服務(wù)器受到攻擊。例如提供網(wǎng)頁服務(wù)器,只要保留80端口的服務(wù)讓外界存取即可,其它的都加以封閉。另外,如果能限定開放服務(wù)只是特定的用戶,例如其它分公司的用戶,也可以只允許特定用戶進(jìn)入,再次降低受到攻擊的可能性。
在Qno俠諾路由器上,這個功能可使用路由器中網(wǎng)絡(luò)存取規(guī)則條例工具進(jìn)行配置,存取規(guī)則可以依據(jù)不同的條件來過濾,例如可以設(shè)定封包要管制的進(jìn)出方向是從內(nèi)部到外部,還是從外部到內(nèi)部,或是設(shè)定以使用者的IP位置、目地端IP位置、IP通訊協(xié)議型態(tài)等條件來做管制,管理者可以依照實際的需求調(diào)性設(shè)置。
俠諾路由器產(chǎn)品中有默認(rèn)的網(wǎng)絡(luò)存取規(guī)則條例,網(wǎng)管可以選擇關(guān)閉(deny)或是允許(allow)來調(diào)整使用者對互聯(lián)網(wǎng)的存取。管理者可以自定存取規(guī)則并且超越路由器的默認(rèn)存取條件規(guī)則。在做規(guī)則確認(rèn)時是依照由前到后 1-2-3…。依序做規(guī)則判斷,所以前后順序是讓您在做訪問規(guī)則的設(shè)定規(guī)劃中必須要考慮的,以避免您想開啟或關(guān)閉的功能失效。
圖一:訪問規(guī)則設(shè)置,是最基本阻擋不必要存取的基本工具。對于使用公網(wǎng)IP的服務(wù)器,更是必須設(shè)置的基本項目。減少存取不但可以降低路由器的工作負(fù)擔(dān),更可增加內(nèi)網(wǎng)的安全性。
對于采用NAT產(chǎn)生私網(wǎng)IP,或稱虛擬IP地址的計算機(jī)或內(nèi)部服務(wù)器,則主要需進(jìn)行內(nèi)網(wǎng)用戶的配置。主要的目的在于管控內(nèi)網(wǎng)用戶上網(wǎng)的行為,以避免員工上網(wǎng)降低生產(chǎn)力,或是帶進(jìn)不必要的病毒或攻擊,這對很多網(wǎng)管來說是必要的。配置群組的功能,可以為不同部門的人員配置不同的存取權(quán)限。例如業(yè)務(wù)部允許上網(wǎng)及使用Skype、MSN及郵件與客戶連絡(luò),而行政部門人員只能以郵件與外部連絡(luò)等。這個管制動作,對于很多企業(yè)也是可以節(jié)省很多損失的一種配置。

網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項技術(shù)都需要適時應(yīng)勢,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。

本文章關(guān)鍵詞: 路由器 配置 防火墻 安全 中小企