2009-05 ShareTech Aw Lb

防火牆設備教育訓練防火牆設備教育訓練UTM AW UTM AW andand LB LB

翁維聰翁維聰20092009年年 55月月

[email protected]@sharetech.com.twSKYPE:tsungwei888SKYPE:tsungwei888

MSN:[email protected]:[email protected]

mailto:[email protected]

msn:[email protected]

前言前言• 從早期利用電子郵件快速交換訊息，到現在不管是影音娛樂、廣告行銷、教育訓練、產品資訊、線上購物交易等，目前許多都藉由網路推展。網路資訊發展更新的速度變化快速，已經跟我們生活息息相關，是全球潮流。唯有運用

“網路的效率與便利，才能掌握致勝的關鍵。所謂水能載”舟，亦能覆舟，網路的效率與便利是我們想要的，但是

網路上面還是有許多的駭客跟攻擊，這些不安全性就是我們想避免的狀況。

• 但是網路安全政策的制定。要從人為的管理、整體的網路架構和網路安全的規劃與搭配著手才行。

• 本篇報告著重於眾至資訊的防火牆設備技術，目的是希望藉由一步步的導引，協助大家建立一個基本的安全網路環境概念，讓大家了解一下如何保護企業在開放的網際網路環境之下防堵有心人士的惡意干擾與破壞，建構一個安全的網路閘道環境。

前言前言企業已經有分享器還需要防火牆？

• 一般中小企業一開始規模小，建置共用網路環境大都使用 IP網路分享器，提供企業與 Internet連線的一個管道，這樣還需要規劃購置防火牆嗎？

• 一般 IP分享器定位在家庭 SOHO族 (10人以內 )使用，對企業來說則建議需使用防火牆。

• 防火牆在運作效率、防護功能及安全認證上優於 IP分享器，在大部份企業網路安全屬第一線的防護的功能，擔負企業內部與外界溝通的閘道安全管制，所以防火牆規劃與建置為很重要的課題。

• 現今駭客跟駭客工具氾濫猖獗的程度，只要一接上 Internet，就會收到許多未知異常流量流入企業內部，輕者會影響企業網路速度的正常使用，嚴重時連重要資料被竊取或破壞，造成企業損失，因此規劃及建置防火牆對企業來說是勢在必行的資安工作。

• 規劃的好能幫企業阻擋許多惡意的駭客攻擊，反之則可能造成漏洞、系統運作不正常；更可能造成網路瓶頸。

ShareTech LBShareTech LB系列特色系列特色

• 防火牆： ICSA認證過的防火牆為設計基礎，內建 SPI技術，主動欄截阻擋駭客攻擊。• 異常流量阻擋：超過設定連線數，會將多餘連線要求阻擋，

通知管理者。• VPN： SSL VPN、 IPSec、PPTP Server、PPTP Client，

資料安全傳遞。 • 認證閘道器：搭配無線AP或有線網路系統，將要求上網的封包

轉向認證伺服器，認證伺服器認證完成才可以使用網路。

• QoS：讓有限的網路資源，做合理的分配，不因某些服務或是操作，將整個網路拖垮，可設定保證頻寬、最大頻寬及優先權等方式。

ShareTech LBShareTech LB系列特色系列特色• IM/P2P管理：從行為特徵值上，直接封鎖這些行為，並且利用即時更新技術 (Live Updagte)，防火牆會自動更新最新的特徵值。

　• 內容過濾：提供Web Filter(網頁過濾 )功能，能阻擋

工作端存取不當網頁 (如色情、暴力 )和攻擊性網頁 (如駭客、病毒 )，且能自設過濾條件，阻擋不當網站。

　• 線路負載均衡： ShareTech的WAN端可以接入ADSL固接、

PPPoE、Cable　Modem、數據專線、光纖、 FTTB等多種線路，會針對不同線

路頻寬設定、自動作負載分流，當其中一條線路斷線後，自動將流量切換至另一條正常的線路，充分發揮線路備援的功能。

ShareTechShareTech AW AW系列特色系列特色• 除了包含 LB系列特色外，還包含下列：• 防毒牆：提供Clam AV與

Sophos(AW-5150G、AW-5250G、AW-5350G)防毒引擎，不論是電子郵件的夾帶病毒

、WWW的病毒甚至 FTP傳遞檔案中內含病毒，只要封

包經過，就會自動將病毒攔下。

• 垃圾信件過濾：垃圾郵件的困擾，讓工作效率降低，內建智慧型的郵件過濾機制，貝氏分析法、指紋辨識法等，都可從郵件的特徵值上直接過濾。

• IDP：入侵偵測是AW系列設備對已知、未知的攻擊行為防範的利器，藉由自動更新的特徵值資料庫，掌握最新的攻擊行為

並且加以防範。• 郵件稽核：AW-5250G / 5350G可以針對進出的郵件做稽核動作，

只要符合設定條件的郵件，執行審核後放行、刪除、延遲傳送、附本抄送、轉寄等稽核動作，不論使用者是用內部的郵件伺服器或是外部公用的郵件帳號。

安裝安裝 ShareTech ShareTech 防火牆硬體防火牆硬體

安裝安裝 ShareTech ShareTech 防火牆硬體防火牆硬體

ShareTech AW ShareTech AW 功能功能• AW5050無此功能

• AW5150G無此功能

• AW5250G• AW5350G

ShareTech LB ShareTech LB 功能功能• LB2206 LB2206W 無此功能• LB2225無此功能 (無 VPN功能 )• LB2235• LB2411G

輕鬆獲得安全、管理、便利輕鬆獲得安全、管理、便利

三大特性、強化網路維護系統

•安全性高：加強內部電腦及自設網站服務器網路安全

•管理性強：加強內部聯外使用及自設服務器，外部連線的網路管理

•便利性多：加強對各樣網路環境架構，快速增加原有架構功能性

系統特性：安全系統特性：安全

•可以加強內部電腦使用網際網路安全，以及自設網站服務外部攻擊防護

•瀏覽網頁：預防木馬病毒惡意網頁內容•信件收發：預防病毒跟垃圾夾檔信件攻擊•服務提供：預防駭客後門程式線上攻擊•H A 機制：預防硬體故障做即時備援運作

系統特性：管理系統特性：管理

•可以加強使用電腦時，內部網路連出的管理，以及外部網路連入的管理

（管理分配服務表、位置表、應用程式管制）對內部連出服務管控，針對電腦 IP、MAC，做不同的開放

• A部門：能收信發信，不能上網頁、使用MSN• B部門：能使用 SKYPE，不能上網頁、寄信收信、使用

MSN• C部門：能上網、寄信收信，不能使用 SKYPE、MSN• D部門：完全開放• E部門：完全禁止


•（管理分配時間）針對特定時間做使用管理

•上班時間 8:00-12:00 ,13:30-18:00 禁止使用 IM軟體或上網瀏覽

•休息時間 12:00-13:30, 開放使用 IM軟體或上網瀏覽


（管理分配驗證帳號密碼，位置表）針對特定電腦通過帳號密碼認證後的使用者才能使用網路

•A電腦使用者必須認證後才能使用上網•B電腦使用者無需認證就可以使用上網


（管理分配頻寬）針對特定服務， IP、MAC、時間，去做頻寬管理

•可運用在企業視訊影像， VOIP語音，網站瀏覽，郵件主機， ERP主機等

•確保資料傳輸流量頻寬保障，避免異常流量影響


•（管理分配 VPN連線）針對 VPN虛擬加密通道（ pptp , ipsec）做連線管理

•可藉由管制條例，管制 VPN通道的連線來源及目的位置，去做開放、禁止的處理（ IP、MAC、服務、排程）


（管理分配 VPN做備援）利用兩點間對外線路，均具有多條外線，可作多條 VPN通道的備援。

避免 VPN建立在單一對外線路環境下，因線路連線中斷，也中斷 VPN通道裡所運作的服務。


（管理分配對外流量平衡）針對內部對外連線上網做流量、封包數的線路平衡均分，跟整合多條對外線路使用管理

•例如：學生宿舍連線使用管理、企業內部各區段對外連線使用管理


（管理分配對內負載平衡）

利用對內負載平衡機制，讓網域名稱DNS SERVER回應導引使用者，連入企業對外正常運作的頻寬線路

對有提供外部使用者存取的主機服務網路環境，避免單一線路 ISP線路異常中斷後，也中斷所有對外服務


（管理分配URL網址頁瀏覽，位置表）對各使用者瀏覽的URL做不同群組分配使用

•A電腦USER能瀏覽 kimo,hinet網頁其他禁止

•B電腦USER能瀏覽公司網頁其他網頁禁止


（管理分配 IP配發，位置表）利用DHCP SERVER及位置表去分配區段以及 IP、MAC綁定

•避免使用者自行設定 IP衝突導致網路混亂情形


（管理記錄 syslog）•針對設備流量監控後的紀錄一、可設定用 E-MAIL做寄發記錄通知二、可設定遠端 syslog server 做記錄

存檔查詢管理可以搭配 TaskMaster 或是 sawmill、 3CDaemon

系統特性：便利系統特性：便利

可以針對不同網路環境，做適當的切入，即可增加原有架構功能性

以下展示相關情況，可以運用的方式



•

原有網路架構下，為了加強郵件病毒跟

垃圾的過濾安全

系統特性：便利系統特性：便利原有網路架構下，為了增加V

PN

功

能


•

原有網路架構下，為了取代原有故障路

由器設備

系統特性：便利系統特性：便利原有網路架構下，為了增加p

2p

，im

使用管制

系統特性：便利系統特性：便利原網路架構下，為了增加異常流量IP

的偵測阻擋，及協同防禦的功能

系統特性：便利系統特性：便利提供介面狀態給管理者知道設備目前線路

跟負載狀況跟運作時間

系統特性：便利系統特性：便利提供流量排行掌握內部使用者

使用歷史流量、服務記錄


提供異常流量IP

歷史紀錄查詢

系統特性：便利系統特性：便利提供郵件過濾後的往來歷史紀錄查詢

系統特性：便利系統特性：便利提供郵件過濾後的往來歷史紀錄查詢

ShareTech AW LBShareTech AW LB基礎管理基礎管理

• 登入管理設備特性• 預設出廠值 LAN IP 192.168.1.1/255.255.255.0

• 預設有啟動 DHCP SERVER 管理 PC 可設 DHCP CLIENT

• 預設管理帳號密碼 admin / admin

• 預設管理介面 LAN 有開啟 PING ， HTTP 80 , HTTPS 443

• 使用只需幾個簡單 3 步驟：一、確定要安裝的模式（ NAT、 TR、 ROUTER ）

二、將使用介面的 IP ，修改填入（ LAN、WAN、 DMZ ）三、設定管制條例（開設相關介面條例）



確認 PC 網卡設定好之後

去 ping 192.168.1.1 預設 LAN 位置

在去用瀏覽器開啟管理畫面做設定

ShareTech AW LBShareTech AW LB基礎管理基礎管理• NAT運作模式：

運作在內部電腦設備上網共用外部 IP模式時• ROUTER運作模式：運作在路由模式需求的網路環境運作時• Transparent運作模式：需要在不變動網路架構、設備設定的環境運作時• 郵件過濾運作模式：需要過濾目前網路垃圾郵件及增加安全強度環境時• VPN運作模式：需加密安全通道在異地存取內網路環境安全便利時• QOS運作模式：

需要保障特定目標給予頻寬使用時

AW LBAW LB 基礎管理基礎管理 NATNAT運作模式運作模式• NAT運作模式：運作在內部電腦上網共用外部 IP模式時1.此模式可以在 LAN DMZ上面運作（看你內部設備要從哪）

AW LBAW LB 基礎管理基礎管理 NATNAT運作模式運作模式

• 除了可以從介面位置去做設定外，還可以從• 系統管理 -組態 -Multiple Subnet這邊去做設定

AW LBAW LB 基礎管理基礎管理 NATNAT運作模式運作模式• 2. 再去設定管制條例，相關設備取得 IP資訊後即可使用

AW LBAW LB 基礎管理基礎管理 ROUTERROUTER運作模運作模式式

• ROUTER運作模式：• 運作在路由模式需求的網路環境運作時

1.Gateway--- 學校 Router 的 LAN-port2.A 點 --- 學校 Router 的 WAN-port3.B 點 --- 就是 ATU-R 的 LAN-port4.D 點 --- 就位於縣網中心的 CISCO7206 上

以 xx 高中為例：1.Gateway---164.77.198.24

255.255.255.02.A 點 ---10.200.9.142 3.B 點 ---10.200.9.1374.D 點 ---10.200.14.137

AW LBAW LB 基礎管理基礎管理 ROUTERROUTER運作運作模式模式

1. —去介面位置外部網路將相關的 A點B點的位置填入

2. — —去系統管理組態 Multiple Subnet 設定路由區段位置

AW LBAW LB 基礎管理基礎管理 ROUTERROUTER運作運作模式模式• 3. 再去設定管制條例，相關設備取得 IP資訊後即可使用

AW LBAW LB 基礎管理基礎管理 TransparentTransparent運作模運作模式式

• TR運作模式：• 需要在不變動網路架構、設備設定的環境運作時

AW LBAW LB 基礎管理基礎管理 TransparentTransparent運作模運作模式式

• 郵件過濾運作模式：

• 需要過濾目前網路垃圾郵件及增加安全強度的環境時

AW LBAW LB 基礎管理基礎管理郵件過濾運作模式郵件過濾運作模式



AW LBAW LB 基礎管理基礎管理 VPNVPN運作模式運作模式• VPN運作模式：需加密安全通道在異地存取內網路環境安全便利時

右圖為使用IP

SEC

加密方式建立

AW LBAW LB 基礎管理基礎管理 VPNVPN運作模式運作模式

右圖為使用P

PTP

加密方式建立


右圖為利用通道建立連接的區段設定



AW LBAW LB 基礎管理基礎管理 QOSQOS運作模式運作模式

• QOS運作模式：需要保障特定目標給予頻寬使用時



.ShareTech AW LB .ShareTech AW LB 維護維護

•如何獲知目前閘道器 LAN IP？•如何恢復管理者密碼？•如何確認設備負載流量大小？•如何製作設定備份檔案？•如何回存備份設定檔案？•如何限制只有特定 IP能管理防火牆設備？•如何確認網路是否正常連線或是斷線？•如何恢復出廠預設值？•如何更新軔體版本？•搭配其他扶助軟體？

.ShareTech AW LB .ShareTech AW LB 維護維護• 如何獲知目前閘道器 LAN IP？

有幾個方式：• 預設設備會啟動DHCP SERVER功能，工作站電腦設定自動取得 IP方式連線，可獲取得 IP位置

• 利用 ipconfig 去知道目前使用的閘道 IP

（去看閘道位置就是設備 IP）

.ShareTech AW LB .ShareTech AW LB 維護維護•如何獲知目前閘道器 LAN IP？• 使用有 console的設備　使用超級終端機• 登入後輸入 ifconfig 獲得 IP資訊• LB2215 AW5050 速率 115200• 其他型號都是使用速率 9600

CONSOLE 管理密碼AW ： mailsecurityLB ： multihomingOr itsecurityFW ： firewall

.ShareTech AW LB .ShareTech AW LB 維護維護• 如何恢復管理者密碼？

• 無法登入管理畫面狀態下，高階設備有 console的，使用超級終端機，操作速率

• aw5050 115200,n,8,1• aw5150g 9600,n,8,1• aw5250g 9600,n,8,1• aw5350g 9600,n,8,1

• lb2206,lb2206w因為沒有 console所以只能使用RESET按鈕

• lb2225 9600,n,8,1• lb2235 9600,n,8,1• lb2411g 9600,n,8,1• 進入後，輸入預設CONSOLE管理帳號密碼• 輸入 passwd_recover 即可恢復 admin / admin

.ShareTech AW LB .ShareTech AW LB 維護維護•如何確認設備負載歷史使用流量大小？

• 查看系統狀態，去看相關介面的運作使用負載比率，跟流量封包數量大小

• 查看流量統計 -- 介面位置-- 外部網路，觀看 MRTG歷史流量


•如何確認設備負載歷史使用流量大小？• 查看流量排行，查看歷史累計使用者使用的總量


•如何製作設定備份檔案？

•如何回存備份設定檔案？


•如何限制只有特定 IP能管理防火牆設備？


•如何確認網路是否正常連線或是斷線？

.ShareTech AW LB .ShareTech AW LB 維護維護•如何恢復出廠預設值？• 無法登入管理畫面狀態下，高階設備有 console的，使用超級終端機，操作速率

• aw5050 115200,n,8,1• aw5150g 9600,n,8,1• aw5250g 9600,n,8,1• aw5350g 9600,n,8,1

• lb2206,lb2206w因為沒有 console所以只能使用RESET按鈕• lb2225 9600,n,8,1• lb2235 9600,n,8,1• lb2411g 9600,n,8,1• 進入後，輸入預設CONSOLE管理帳號密碼• 輸入 reset 即可恢復出廠預設值

.ShareTech AW LB .ShareTech AW LB 維護維護•如何更新軔體版本？

登入官方網站，下載專區，選取符合的型號版本下載再到管理介面，系統管理，軟體更新，上傳軔體檔案

www.sharetech.com.tw

.ShareTech AW LB .ShareTech AW LB 維護維護• 搭配利用其他扶助軟體？Taskmaster

ftp://download.sharetech.com.tw/setup_tm_v1.0.2.exe Sawmill http://www.sawmill.net.tw/lite.html 3CDaemon http://support.3com.com/software/3cdv2r10.zip MRTG http://oss.oetiker.ch/mrtg/ PRTG http://www.paessler.com/prtg

ftp://download.sharetech.com.tw/setup_tm_v1.0.2.exe

http://www.sawmill.net.tw/lite.html

http://www.sawmill.net.tw/lite.html

http://support.3com.com/software/3cdv2r10.zip

http://oss.oetiker.ch/mrtg/

http://www.paessler.com/prtg

• 問題討論

Self Improvement

2009-05 ShareTech Aw Lb