瑞芳高工校园网路管理漫谈-新北立瑞芳高工.DOC

瑞芳高工校園網路對外連線及防火牆基本管理 電子科林瑞豐 九十四年三月二十八日 教師專題研究 瑞芳高工校園網路對外連線及防火牆基本管理 電子科林瑞豐 前言 隨著網路提供之服務推陳出新，人們對它的依賴也日益加重，因此網路管理工作之重要性也就不言可喻，本人自民國八十七年本校網路中心成立以來，即負責本校網管之責，在此提一點連線及防火牆管理心得供大家分享。 對外連線管理 本校原有一線ADSL連接基隆網路中心，後於93年7月再增設一線ADSL連接中華電信， 因兩線對外，所以購置一部網路寬頻負載平衡器路寬頻負載平衡器-SMB ? ? 在駭客入侵與企業資料外洩的雙重疑慮下，企業應積極透過防火牆（Firewall）的架設，以進行內部與外部資料存取流通的過濾管制，避免內部網路遭受未經授權的使用者入侵竊取與竄改企業內部重要資料以保護內部與外部網路資料傳輸的安全性。此外，企業的單一、缺乏管理的網際網路連線，正是目前許多錯誤網路建置的範例，因此，對企業來說，讓企業營運永續經營的最佳ROI策略，便是建置備援（Back Up）且安全的網際網路連線，隨著網際網路連線的品質變動，動態切換使用品質最佳的線路，確保企業營運不中斷。 High Security 運用嵌入式硬體防火牆技術的MH550，提供策略式防火牆功能，內建十多種常見的駭客攻擊防範模式，可主動攔截多種網路攻擊類型與自訂網路存取規則，配合24x7全天候彈性時程管理與預警紀錄(Log)，並傳送Email即時通知管理者，加強組織內部網路安全的防護，及完整駭客預警功能Anti Hacker與網頁內容過濾Content Filtering，保護企業網路的安全性。 VPN GatewayMH550內建DES 3DES IPSec及256Bit AES ASIC加密晶片的硬體式VPN Gateway，提升虛擬私有網路加解密的效能，處理速度快，適合高速網路通訊環境的企業。Transparent Mode對大部分企業而言，建置新的網路設備往往需要改變網路原有的設定，例如需花費大量時間與人力修改IP位址。為解決此問題，MH550提供實體DMZ Port作Transparent Mode透通模式，完全無須改變原有的網路架構與配置，同時亦可解決IP位址不足的問題，以Plug Play隨插即用的方式在異質網路環境中使用，具有靈活應用的特點。 ?WAN Load BalancingMH550提供2 WAN ports作多種負載平衡演算法，企業可依需求自行設定負載平衡規則，而網路流量可參照所設定的規則，執行網路流量負載導引。演算法有：依序Round Robin比重Weighted Round Robin流量比例Traffic應用別Application連線數量Session服務別Service使用者端User自動分配Auto ModeLog ManagementMH550使用友旺公司特有的即時網路使用監控表(MRTG ＆ Policy Statistics)，可動態偵測頻寬使用情況，正確且有效率的管理現有的網路頻寬。提升網路效能，更可透過 NetCops 作中央管控，同時遠端監控多台AboCom全系列寬頻網路設備。ManageabilityMH550提供多國語系(繁體中文/簡體中文/英文)的Web化介面管理，易於即時管控。可因應各種不同網路管理之需求，藉由各種圖表與報告，以及網路異常時的警告通知（Email Alert）等功能，讓網管人員快速掌握與隨時管理使用者的網路安全性的狀況。且MH550無使用人數授權的限制，讓企業IT預算更有效益。 [外部線路1]接基隆網路中心，[外部線路2]接中華電信 [非軍事區]連接校內主交換器， [內部線路]提供NAT(網路位址轉換)，目前沒用 提供Transparent Mode：如上圖[非軍事區]，本校利用DMZ(非軍事區) Port作Transparent Mode透通模式，完全須改變原網路架構與配置:一般可透過ip、服務種類、連接埠…等方法，達到管制封包的進出 如圖為設定校外進入校內之管制條件，可減少受到攻擊的機會， ， 下圖為設定校內到校外封包走的路徑及限制異常的連線，其中動作欄位中，”1”表示封包走線路1， “2” 校內電腦中毒的偵測及管制： 造成校內網路不通最大的問題就是有電腦中毒，對外攻擊，以致對外頻寬堵塞，連帶影響下載，至於要如何知道那台電腦中毒，我們可藉由NetXRay軟體攔截其封包即可判斷，如圖大約可知IP 210.59.2.107及210.59.2.103的電腦目前疑似中毒正對外攻擊中（因連線數量太多），所以違一步攔截其封包後，發現是攻擊對方