第5章 管理目標¶
INF 是以物件導向管理整台設備,事先定義所有的物件或是目標後,再到管制條例中禁止或是放行,除了傳統的位址表、應用程式跟 URL 可以當成管理目標外,連 ZONE、介面位址、路由表甚至指定閘道都是管理目標。設定管理目標的目的是讓管理者在建立管制條例時,更容易辨識每一個條例的目的及用途,也可以不設定任何管理目標,直接在管制條例中輸入 IP 位址跟 Port 進行管制動作。
5-1、位址表¶
INF 支援 IPV4 跟 IPV6 位址模式,主選單 MENU 上方顯示藍色的按鈕表示目前的模式,代表目前顯示/設定的是 IPV4 的位址模式,
代表顯示/設定的是 IPV6 的位址模式。
直接點選灰色按鈕(如),可將顯示跟設定切換到另一模式。
這 2 個按鈕適用於整個系統,設定時隨時切換,設定畫面會跟著切換成選擇的 IPV4 或是 IPV6 模式。
5-1-1、位址表¶
事先定義好為位址表,讓管制條例的建立更清楚明瞭。每一個位址表可以是單一個 IP 位址、IP 網段或是 IP 區段。• 輔助選取此功能僅限 IPV4 使用。任何設備,只要有網路封包經過 INF,不論是外部還是內部,系統都會把它記錄下來,方便管理者建立位址表。點選的圖示,系統會列出所有記錄內的電腦名稱、IP 位址跟 MAC 位址,甚至連從 DHCP 伺服器取得的固定 IP 位址,
選擇要增加的 IP 或是 MAC 位址後,按下鈕即可加入位址表中。
圖 72. 圖5-1 選取 IP 位址¶
• 新增位址表按下1、IP 位址IPV4/IPV6 共用設定,只用 IPV4 位址或是 IPV6 位址辨識使用者,適用於每一個電腦都是使用固定 IP 位址的網路環境。【電腦名稱】:這個 IP 位址的名稱,例如:張三的電腦。【IP 位址】:輸入 IP 位址,例如:192.168.1.1。2、IP 和 MAC 位址只在 IPV4 有效,用 IPV4 位址跟 MAC 位址綁定使用者。適用於每一個電腦都是使用固定 IP 位址或是透過 DHCP 取得固定 IP 位址的網路環境,最重要的是電腦到 INF 間沒有經過 Layer 3 路由器。【電腦名稱】:這個 IP 位址的名稱,例如:張三的電腦。【IP 位址】:輸入 IPV4 位址,例如:192.168.1.1。【MAC 位址】:這部電腦的真實 MAC 位址,例如:00:01:02:03:04:05。【DHCP】:在 DHCP 環境,可以利用 DHCP 伺服器發放固定 IP 位址給同一個 MAC 位址。勾選後,代表這部電腦會由 DHCP 伺服器發放固定的 IPV4 位址。可參考 6-1-3、DHCP 固定 IP 位址 章節。3、MAC 位址只在 IPV4 有效。只用 MAC 位址綁定使用者,而不管它的 IP 位址。【電腦名稱】:這個 IP 位址的名稱,例如:張三的電腦。【MAC 位址】:這部電腦的真實 MAC 位址,例如:00:01:02:03:04:05。4、IP / MaskIPV4/IPV6 共用設定,用 IPV4 位址或是 IPV6 位址加上子網路遮罩的方式,辨識一整個區域的使用者。【電腦名稱】:這個 IP 位址的名稱,例如:工程部全部的電腦。【IP 位址】:輸入 IP 位址,例如:192.168.1.1。【網路遮罩】:選擇適當的網路遮罩,例如:255.255.255.0/24。5、IP 位址範圍IPV4/IPV6 共用設定,用 IPV4 位址或是 IPV6 位址的開始 IP 位址跟結束 IP 位址,辨識一整個區域的使用者。【電腦名稱】:這個 IP 位址的名稱,例如:工程部全部的電腦。【開始 IP】:輸入這一個範圍的開始 IP 位址,例如:192.168.1.1。【結束 IP】:輸入這一個範圍的結束 IP 位址,例如:192.168.1.100。此例代表工程部全部電腦有 100 個 IPV4 位址。6、使用者自訂 DomainIPV4/IPV6 共用設定,用 Domain 的方式,辨識一整個區域的使用者,適合外部網路伺服器或是有做 Domain 正解的網路環境。【電腦名稱】:這個網域的代表名稱,例如:張三的家。【Domain】:輸入 Domain 資訊,可以輸入多筆網域資料,每一筆為一行,且支援萬用符號 *,例如:*.example.com 或是 example.com.*。7、預設 Domain 黑名單【電腦名稱】:這個網域的代表名稱,例如:張三的家。【預設名單】:選擇預先設定的黑名單群組,讓它成為可在條例內管控的來源目的網路對象。【Domain 測試】:輸入可疑的網址並點選「測試」,查看此網址是否在預設黑名單中。
5-1-2、位址表群組¶
每一個位址表是一個單獨 IP 位址或是 IP 網段,建立好的位址表可以再組合成位址表群組,位址表群組的成員除了是位址表外,也可以是別的位址表群組。按下
圖 73. 圖5-2 選取位址表群組¶
【群組名稱】:這個位址表群組名稱,例如:2F 的電腦。【所有成員】:在位址表中建立完成的位址表名稱會於此顯示。【被選擇的成員】:選擇要加入這個位址表群組的位址表,再點選即可加入。
【所有其他群組】:已經建立的位址表群組會在這裡顯示。【被選擇的其他群組】:選擇要加入這個位址表群組的位址表群組,再點選【使用者自訂】:若沒有事先建立位址表,也可以在此區手動加入,可輸入多筆資料,每一筆為一行。
5-2、服務表¶
TCP 協定和 UDP 協定提供各種不同的服務,每一個服務都有一個 TCP 埠 (TCP Port) 號碼或 UDP 埠 (UDP Port) 號碼代表,如 TELNET (23),FTP (21),SMTP (25),POP3 (110) 等等。在【輔助選取】中可從基本服務表中選取服務,包含比較常用已預告定義的 TCP 服務或 UDP 服務。此類服務不能修改也不可刪除。使用者也可依自己的需求到自訂服務表設定適當 TCP 埠和 UDP 埠號碼。在自訂服務時,客戶端埠 (Client Port) 設定的區間一般為 1024:65535,伺服器端埠 (Server Port) 號碼則是設定在 0:65535 之間。服務表中定義的服務跟應用程式中定義的服務稍微不一樣,以 HTTP 協定為例,在服務表中把它定義成 TCP 80 Port 代表 HTTP 協定,但在實際運作上,在 TCP 80 Port 的封包不一定都是 HTTP (Web),有時跑 HTTP 的也不一定要在 TCP 80 Port 上。在應用程式中定義的 HTTP 協定,不會管來源跟目的 Port 號,只要封包內容是執行 HTTP(Web) 協定的都可以,所以應用程式對於執行協定的辨識是更準確。系統管理者可以在「服務表 > 服務群組」選項中,新增服務群組名稱,將要提供的服務包含進去。有了服務群組的功能,管理者在制訂管制條例時可以簡化許多流程。例如:有 10 個不同 IP 位址可以對伺服器存取 5 個不同的服務,如 HTTP、FTP、SMTP、POP3 和 TELNET。若不使用服務群組的功能,總共需制定 10x5=50 條管制條例,但使用服務群組名稱套用在服務選項上,則只需一條管制條例即可。
5-2-1、基本服務表¶
圖示 |
說明 |
|
任何服務。 |
|
TCP服務,如:Gopher、ICQ、Ident、LDAP、NTTP over SSL、PPTP、SFTP、SSH、Terminal、WINFRAME、AFPoverTCP、FTP、H323、L2TP、MSN Messenger、POP2、SMTP over SSL、Yahoo、AOL、Finger、HTTP、IMAP over SSL、LDAP Admin、NNTP、POP3 over SSL、RLOGIN、SMTP、VNC、BGP、GNUTella、HTTPS、IMAP、LDAPover SSL、POP3、Real Audio、Telnet、WAIS |
|
UDP服務,如:DNS、TFTP、NTP、SNMP、IKE、SYSLOG、RIP、UUCP等。 |
5-2-2、服務群組¶
建立新的服務群組時,此頁面有 8 筆空白的欄位,管理者從編號 1 開始依序加入服務表,若要加入這個服務群組的服務項目多於 8 筆,按下後,即會新增空白的欄位。
圖 75. 圖5-4 建立服務群組¶
【服務及服務群組名稱 】:辨識這個服務群組的名稱,例如:郵件服務器。【輔助選取】:選取內建的基本服務表。(圖5-5)【通訊協定】:選擇這一筆服務是使用 TCP、UDP、TCP&UDP 或是自訂的通訊協定。【使用的通訊埠】:通訊服務使用的開始跟結束埠號。例如:SMTP 只用 TCP 25,填入 25:25,POP 只用 TCP 110,填入 110:100,如果填入是 0:65535,代表所有埠號都滿足,也就等於。
• 輔助選取點選的圖示,會出現新視窗顯示 INF 內建的基本服務表,供管理者選擇。
可於視窗左上選單選擇 TCP、UDP 或是其他通訊協定,即會切換使用的通訊協定。
圖 76. 圖5-5 輔助選取基本服務表¶
【TCP】:常用的 TCP 類型服務,例如:SSL、HTTP 等。【UDP】:常用的 UDP 類型服務,例如:DNS、SNMP 等。【其他通訊協定】:其他不常使用到的服務類型,例如:TFTP、RDP 等。➤ 建立新的服務群組後,INF 會把所有定義好的服務群組列表,同時標示它使用的埠號。
圖 77. 圖5-6 服務群組列表¶
5-3、時間表¶
INF 提供系統管理者時間表的設定,管理者根據實際的需求,事先設定啟用的時間,在【管制條例】中套用時間表,讓這條例在特定時間內生效,相同的功能條例可以重複套用不同的時間表,變成 2 個不同的條例,藉以控管不同的時間需求。按下時間表的設定週期有 2 種,模式一:以周為週期,設定每天生效的時間;模式二:自訂起訖日期及時間【時間表名稱 】:辨識這個時間表的名稱,例如:白天規則、晚上規則。【設定模式】:共有 2 種模式可以選取。· 模式一:以周為週期,設定每天生效的時間區間。有三種選擇,關閉、全天跟開始到結束時間,設定起始時間 00:00 ~ 結束時間 00:00 代表的意義就是全天。(圖5-7)
圖 78. 圖5-7 以周為週期的時間表¶
· 模式二:自訂起訖日期及時間,管理者設定特定日期下會生效的時間表,例如:2016年7月1日開始到2016年12月31日結束。(圖5-8)
圖 79. 圖5-8 自訂日期的時間表¶
5-4、頻寬管理¶
INF 可以管理經過介面的網路服務封包的傳輸速度,藉由事先規劃的頻寬表,管理者可以精準地控制每一個條例經過 ZONE 的 Zone Out (TX) / Zone In (RX) 流量,再加上頻寬優先權的概念,讓優先權高的網路封包可以快速地通過,在配置上,有 2 種模式可以選擇,一種是每個條例的頻寬管理,另一種是此條例內每個來源 IP 位址的頻寬管理。在頻寬管理上,因為是以 ZONE 介面串起整個網路,所以需要事先定義每一個 ZONE 的 Zone Out (TX) / Zone In (RX) 流量,例如:ZONE 1 有包含 2 個實體 Port 分別是 Port A 跟 Port B,每一個實體 Port 的連線速度都為 1Gbps,在頻寬表選用上網服務 10Mbps 並套用在每個來源 IP 位址,這樣的設定代表不論從 Port A 或是 Port B 過來的 IP 位址,只要是屬於這個 ZONE 的, Zone Out (TX) / Zone In (RX) 流量都會被限制在 10Mbps 。
5-4-1、QoS 設定¶
• 設定介面速度在此設定每一個介面的最快網路速度,分別是 Zone Out (TX) 流量、Zone In (RX) 流量。進去實體 Port 的網路封包為 Zone In (RX) 流量,從實體 Port 送到下端設備的網路封包為 Zone Out (TX) 流量。這樣的配置,在網路速度是對稱性(上傳跟下載的速度都一樣)的內部網路或是交換器上不會有問題,但是在非對稱性的 WAN 類型網路就有方向性的問題,思考一下線路商提供的上傳跟下載速度,對承接網路封包的 INF 來說,剛好是相反的方向,所以對於 WAN 類型的網路,例如:ADSL,設定 ZONE 速度時就需要特別注意。
圖 80. 圖5-9 自訂介面的速度¶
在表格勾選啟用,表示將此介面啟用頻寬管理。INF 預設會把所有的 Zone Out (TX) 流量、Zone In (RX) 流量設為 1Gbps (1024Mbps=1024000Kbps),同時把這個 ZONE 有包含哪些實體 Port 一併列出來,管理者可以修改速度,使其符合實際的線路狀況,儲存後此設定值就是設定頻寬表時最高的速度限制。
5-4-2、QoS 列表¶
每一個設定完成的 QoS 都會在這裡列出,方便管理者查詢,也可以在這邊執行修改與刪除。• 新增頻寬表按下列表下方的
圖 81. 圖5-10 頻寬表設定¶
【QoS 名稱】:辨識這個頻寬表的名稱,例如:白天上網、晚上開放。【優先權】:當介面還有空閒的頻寬可以使用時,INF 會根據優先權將剩餘的頻寬分配給使用者,讓他們有機會可以到達設定的最大頻寬。數字越低表示優先權越高。【設定模式】:共有 2 種模式可以選擇,分別是【基本模式】跟【進階模式】。【頻寬模式設定】:共有 2 種模式可以選擇,分別是【每個條例能使用的頻寬】(預設)跟【每個來源 IP 能使用的頻寬】,詳細說明如下:· 每個條例能使用的頻寬當頻寬表套用在條例時,每一個進入條例的來源 IP 位址,不論是 IPV4 或是 IPV6,網路封包的總數上限就是頻寬表的設定值,也就是大家共用這一個頻寬表分配的頻寬。例如:192.168.1.2 跟 192.168.1.3 都符合頻寬表 10Mbps / 10 Mbps的條例,當192.168.1.2 使用量是 9.9Mbps / 9.9Mbps 時,192.168.1.3 只能分配到 0.1Mbps / 0.1Mbps 的頻寬。· 每個來源 IP 能使用的頻寬當頻寬表套用在條例時,每一個進入條例的來源 IP 位址,不論是 IPV4 或是 IPV6,都可以使用到頻寬表的設定值,也就是每一個 IP 位址都是頻寬表分配的頻寬。例如:192.168.1.2 跟 192.168.1.3 都符合頻寬表 10Mbps / 10Mbps的條例,當 192.168.1.2 最高可以用到10Mbps / 10Mbps,192.168.1.3 也能用到 10Mbps / 10 Mbps 的頻寬。在這個模式下要注意一下 IP 位址數量跟分配頻寬表加總的最高值會不會超出介面能提供的最高速度,例如:這個條例估計有 100 個 IP 位址,每個人分配 20Mbps,當這 100 個 IP 通通上線且使用最高的分配頻寬時,它的總額是 100*20Mbps=2000Mbps=2G,這已經超過介面的最高數值 1Gbps,這樣的狀況會導致頻寬分配不準確。【介面-保證】:選擇頻寬表要在哪一個介面套用,系統會提醒設定者最高的網路速度,此時設定的就是當 INF 網路壅塞,系統會保證這個條例使用者可以使用的頻寬。【介面-最大】:系統會提醒設定者最高的網路速度,此時設定的就是當 INF 網路不壅塞,根據優先權設定,系統再分配剩餘的頻寬給這個條例使用者使用的頻寬。note
在設定頻寬表時務必要注意設定的介面,因為 INF 是以介面為管理基礎,如果在頻寬表設定頻寬時是設定在 ZONE0 介面,但是在管制條例中卻是套用在其他 ZONE,這樣會導致要管理的 IP 位址或是服務無法準確的管理。
5-5、應用程式管制¶
INF 是以 DPI (Deep Packet Inspection) 為基礎的 UTM,所有經過的流量都會經過 DPI 的分類及管理,使用 DPI 技術管理應用程式,比傳統以 TCP/UDP Port 的管制更精準,以加密類型的網站 HTTPS 為例,使用 SSL 加密技術,確保瀏覽網頁內容經過網際網路後仍安全無慮(SSL 的加密是用 TCP443 為溝通的埠號)。在以前的防火牆設計中,要管理 HTTPS 型的網站,只要把對外的 TCP 443 封掉,內部就無法瀏覽加密型的網站,但是現在因為安全因素,很多網路通訊軟體開始使用 SSL 加密技術,例如:SSL VPN,封掉 TCP443 代表 HTTPS 跟 SSL VPN 都無法使用。為了更精準的分辨這一些應用程式,單純使用 Port 分類就沒辦法滿足現在的網路需求,因此 INF 導入 DPI 技術,它不是單純使用 TCP / UDP 的埠號為判斷依據,而是更深層的檢查封包內容,根據傳遞的內容判斷往來的封包是執行那些服務,所以這樣的判斷方式比傳統的防火牆更準確。INF 目前能夠辨識超過 900 種的應用程式,同時也使用自動更新特徵值技術,不定期的更新這些應用程式的特徵值跟數量,管理者只需要設定好自動更新的選項,其他的就讓系統自動執行,這些應用程式同時會出現在統計分析的項目上。因應雲端時代,很多網站提供軟體即服務 (Software as a Service,SAAS) 的服務。進入網站,不需要安裝任何軟體,就可以完整的使用該軟體提供的服務。例如:WebQQ,WebSkype 等,尤其是這些網站通常使用的是 HTTPS 協定或是 IPV4/IPV6 雙位址模式,管制 IPV4 位址並不代表同時封掉 IPV6 的位址,再加上用 SSL 加密技術,一般的 Firewall 或是 UTM 通常無法禁止這一類型的 SAAS 網站或是服務,造成網路管理者管理上的困擾,此時可以搭配 INF 的 5-6、URL 管理 功能管理這一些 SAAS 的服務。
5-5-1、應用程式管制¶
要管理超過 900 種的應用程式管理是複雜的,因此 INF 根據每一個應用程式的屬性,分成 17 大類,管理者先選擇這 17 類後,再從中選擇要管理的應用程式,選擇完成後建立群組並可以到管制條例中套用。• 應用程式資訊INF 的應用程式的特徵值需要額外授權,授權到期後,系統不會再更新特徵值,管理者設定的管制項目就可能有不準確的狀況。
圖 84. 圖5-13 應用程式資訊¶
【授權】:要啟用 DPI 的應用程式需要匯入授權碼,點選【瀏覽】並匯入。【授權期限】:目前應用程式的到期日。【服務狀態】:應用程式辨識是啟用或是關閉。• 應用程式管制建立完成的應用程式列表如下:• 新增應用程式管制管理者可以新增很多筆應用程式,或在某個應用程式群組內包含多種服務。按下
圖 86. 圖5-15 選取應用程式¶
【群組名稱】:辨識這個應用程式的名稱,例如:上網組、禁止的服務。【動作】:針對每一個應用程式管制,有 3 個選項分別說明如下:· 阻擋:把比對出符合特徵值的應用程式阻擋。· 阻擋+紀錄:把比對出符合特徵值的應用程式阻擋,並且記錄哪一位使用者何時使用。· 頻寬管理:符合特徵值的應用程式進入頻寬管理機制,例如:符合 LINE/SKYPE 的應用程式,只能使用 500Kbps 的網路頻寬。【搜尋】:輸入關鍵字,就可以搜尋要找的應用程式被分類在哪裡。【已選擇項目】:當勾選下方要管制的應用程式時,在這邊顯示已勾選的項目。可將選項收合避免影響操作。【選擇應用程式】:每個分類下的選項可全選或個別選取,已選取的項目會用顏色區分並在該分類名稱後顯示此分類已選數量。
5-5-2、管制紀錄¶
管理者設定要管理的服務群組後,到管制條例中套用,不論是允許或是禁止的動作,滿足條件的應用程式項目,都會被記錄下來,管理者也可在管制紀錄中查詢特定時間內哪一些服務被允許通過或禁止。
圖 87. 圖5-16 應用程式紀錄¶
5-6、URL 管理¶
INF 的 URL 管理,除了可管理傳統的 HTTP(Web) 型網站外,HTTPS SSL 加密型網站也可以管理,管理者可設定 HTTP 類型網站黑白名單,同時系統提供預設的黑名單資料庫,讓管理者可以隨時加入,這些資料庫的資料會隨著自動更新的機制增加或刪除,有別於 HTTP 管理方式,HTTPS 加密型的網站,只能設定黑名單,也就是禁止訪問的網址。管理使用者瀏覽的網站,除了可以增加工作效率之外,亦可預先過濾惡意網站,避免使用者在不知情的狀況下遭植入惡意程式、病毒,以確保網路安全。當使用者欲瀏覽黑名單網址時,系統會自動在使用者的瀏覽器出現預先設定的阻擋文字,提醒使用者這個網站已經被封鎖,管理者可以建立不同 URL 管理機制及套用不同的阻擋訊息,這些阻擋紀錄也會被記錄下來,管理者日後可以查詢。
5-6-1、URL 設定¶
INF 在阻止使用者觀看黑名單中設定的網頁時,會把使用者的瀏覽器轉向到預設或自訂的阻擋網頁。管理者可以針對不同的黑名單設定頁面阻擋的顯示畫面。按下
圖 88. 圖5-17 URL 設定 > 新增¶
【群組名稱】:辨識這個黑名單的阻擋名稱,例如:禁止看的網站。【啟動自訂網頁阻擋】:預設沒有勾選,所有的阻擋網頁都會使用在 5-6-3、其他設定 預設的頁面阻擋設定。啟用後,系統會展開下列設定項讓管理者修改。【阻擋結果網頁設定】:點選檢視的按鈕就可以預覽目前的阻擋頁面設定。【主題】:黃色區塊想要顯示的文字,例如:禁止的網站。【欲顯示的內容】:需要顯示更詳細的文字說明,例如:禁止觀看否則查辦。【名單選擇】:INF 列出所有的黑、白名單供管理者選擇。note
建立完成的 URL 會在【URL 設定】以表格顯示。此處設定的管理規則只是一些管理物件,這一些物件仍需要到 第4章 管制條例 中決定哪一些 IP 位址要套用這一些規則。
5-6-2、黑白名單設定¶
WEB 資料庫資訊¶
INF 的 WEB 資料庫運作模式有 2 種,一種是黑名單資料庫,另一個是 WEB 資料庫,管理者只能選擇一種運作模式,如果要切換模式,就要將之前設定的資料全部刪除。1、WEB 資料庫:ShareTech 合作廠商提供的資料庫,分類更細也更完整,其中也包含黑名單或是惡意網站,系統分成 6 大類,也會即時的更新最新的網站列表,啟用這個資料庫需要額外的授權碼。若不知道要管制的網站被分類到哪一個群組,可以點選旁邊【URL 測試】按鈕測試。
圖 89. 圖5-18 WEB 資料庫設定¶
WEB 資料庫資訊顯示目前使用的模式及其授權狀態。
圖 90. 圖5-19 WEB 資料庫資訊¶
【授權】:要啟用 WEB 資料庫需要匯入授權碼,點選【瀏覽】並匯入就完成。【模式】:目前運作的是黑名單資料庫還是 WEB 資料庫,可以切換到另一個模式。【授權期限】:目前使用資料庫的到期日。【服務狀態】:在 WEB 資料庫下,會顯示目前是啟用還是停用中。2、黑名單資料庫 :以 ShareTech 網路上蒐集的黑名單網站資料為主,不定期的更新這一些網站。
圖 91. 圖5-20 黑名單資料庫¶
黑白名單設定¶
所謂白名單就是可以瀏覽的網址,當套用白名單後,管理者在套用白名單的下一條條例禁止所有的 HTTP,代表只能瀏覽白名單的網址,其他都會被禁止。相反的黑名單的運作就是黑名單列的網址不能瀏覽,其他的都可以。按下• 黑白名單基本設定
圖 92. 圖5-21 黑白名單基本設定¶
【名稱】:辨識這個黑/白名單的名稱,例如:禁止上網、只允許上班時間的網站。【名單模式】:運作模式是黑名單還是白名單。【比對模式】:提供兩種比對模式,分別為「完整」與「模糊」,完整模式為比對的網址需全部符合,模糊模式只要關鍵字部分符合。例如欲封鎖 yahoo 網站:此時可以用萬用字元 * 輔助,把資料改成 yahoo.com.*,就可以把 yahoo 所有相關的網站都封鎖掉。· 模糊模式:輸入 yahoo,就可以將所有包含 yahoo 的網址都封鎖掉,在這樣的情況下,誤擋網站的機率相當高,像是 abcyahoo 和 yahooabc 等不相干的網站也會被黑名單的阻擋機制擋掉,此時可以搭配萬用字元 *,讓整個配置更有彈性。• Sandstorm 服務將 Sandstorm 會做管制的網址套用到黑名單中,可在 6-6、SandStorm 內調整風險程度來決定限制的網址量。點選圖示,即可測試網址是否存在 SandStorm 資料庫。
• 自訂黑白名單設定黑名單的來源可以由管理者自行輸入或是選用系統內建的黑名單資料庫,同時針對 IPV4/IPV6 甚至 HTTPS 都可以建立黑名單。一筆為一行,若有多筆可換行新增。【URL 黑名單】:輸入黑名單的網址,例如: tw.news.yahoo.com/sports/ 或 www.pchome.com.tw 等等。除了網址外,後面的 URI 資訊也可以加入,當選擇是完整比對時,除了網站的特定內容進不去外,其他的都可以暢行無阻。【IPV4 IP 黑名單】:輸入黑名單的 IPV4 位址,例如:11.12.13.1422.23.24.25【IPV6 IP 黑名單】:輸入黑名單的 IPV6 位址,例如:2001:b030:8102:bd::12001:b030:8102:2001::1【Domain 黑名單】:依照網域來認定黑白名單,可使用特殊字元 「*」 來包含目標網域的所有子網域。• 預設黑名單設定當名單模式選擇【黑名單】時才會出現此項目,選擇【白名單】這一個項目就會被隱藏。黑名單的來源可以由管理者自行輸入外,系統預設 11 類黑名單資料庫,讓管理者根據實際需求選用。為了避免自行輸入的黑名單跟資料庫內的 URL 資料庫重複,INF 有 URL 測試的功能,點選預設黑名單設定旁的如圖5-22:輸入 yahoo.com.tw 測試是否存在預設的黑名單資料庫中,結果為不存在。
圖 93. 圖5-22 URL 測試¶
• 其他黑白名單設定INF 的黑名單設定支援群組包含群組的組合,例如:事先已經建立 2 個黑名單群組 — 黑名單 A 跟黑名單 B,新增黑名單 C 時,除了黑名單 C 自己內建的黑名單之外,更可以包含黑名單 A 跟黑名單 B 中所有的黑名單設定。當名單模式為【黑名單】時,會顯示所有黑名單群組提供管理者選擇,名單模式為【白名單】時,則只會顯示白名單群組。
5-6-3、其他設定¶
當使用者瀏覽黑名單網站時,INF 會出現警示畫面,畫面的文字可以由管理者自訂,管理者可以預先設計好警示畫面,也可以讓每一個黑名單都有不同的警示畫面。預設的警示畫面系統的預設黑名單阻擋警示設定是在【其他設定】的【預設頁面阻擋設定】中,內部的細項說明如下:
圖 94. 圖5-23 預設黑名單阻擋網頁設計¶
【阻擋結果網頁設定】:點選【檢視】的按鈕就可以觀看目前的阻擋頁面效果。【主題】:黃色區塊想要顯示的文字,例如:禁止的網站。【欲顯示的內容】:需要顯示更詳細的文字說明,例如:禁止觀看否則查辦。
5-6-4、記錄¶
管理者制定好要管理的 URL 並到管制條例中套用後,不論是允許或是禁止的動作,只要是滿足條件的 URL 項目都會被記錄下來,管理者可在此依條件查詢。
5-7、防火牆功能¶
內建 SPI 技術,主動攔截、阻擋駭客攻擊,不論是 DOS、DDOS、UDP Flood 等攻擊方式都可以阻擋,甚至可以抵擋疾風病毒的攻擊,確保內部用戶的安全。如果攻擊者不是從外部到內部,而是由內部互相攻擊呢?在 ICSA 中沒有定義這樣的攻擊模式,可是這樣的任意攻擊卻是真實存在。ShareTech 套用合理流量及連線數的觀念,認為同一部電腦,不會同時產生太多的連線數,萬一超過合理的流量及連線數時,結合管制條例的運用,防火牆會要求將多餘的連線阻擋。• 常見的駭客攻擊方式(阻斷服務攻擊)1、SYN 攻擊:SYN Flood 是當前最流行的 DoS(拒絕服務攻擊)與 DDoS(分散式拒絕服務攻擊)的方式之一,這是一種利用 TCP 協議缺陷,發送大量偽造的 TCP 連接請求,使得被攻擊方資源耗盡(CPU 滿載或記憶體不足)的攻擊方式。2、ICMP 攻擊:ICMP (Internet Control Message Protocol) 是 TCP/IP 通訊協定中定義封包的一種,主要功能是用來在網路上傳遞一些簡單的控制訊號。ICMP DoS 攻擊主要有以下兩種手法:Ping of Death 與 Smurf 攻擊。3、UDP 攻擊:利用 UDP 協議,發送大量偽造的 UDP 連接請求,使得被攻擊方資源耗盡(CPU 滿載、頻寬被占滿或記憶體不足)的攻擊方式。4、Land 攻擊:運用 IP Spoofing 技術送出一連串 SYN 封包給目標主機,讓目標主機系統誤以為這些封包是由自己發送的。由於目標主機在處理這些封包的時候,它自己無法回應給自己 SYN-ACK 封包,因而造成系統當機。5、Smurf 攻擊:Smurf 攻擊是以最初發動這種攻擊的程序名 Smurf 來命名。這種攻擊方法結合使用了 IP 欺騙和 ICMP 回覆方法使大量網絡傳輸充斥目標系統,引起目標系統拒絕爲正常系統進行服務。6、Tear Drop 攻擊:Teardrop 攻擊則是利用 IP 封包重組的漏洞。當資料經由網路傳送,IP 封包經常會被切割成許多小片段。每個小片段和原來封包的結構大致都相同,除了一些記載位移的資訊。而 Teardrop 則創造出一些 IP 片段,這些片段包含重疊的位移值。當這些片段到達目的地而被重組時,可能就會造成一些系統當機。7、Ping of Death 攻擊:「Ping of Death」是經由發送過大的 ping 請求 (ICMP echo request),以造成緩衝區溢位 (Overflow),繼而導致無法正常運作或當機。Tip
影片參考|眾至NU系列 UTM教學 防火牆防護系統.介面.條例
5-7-1、防火牆功能¶
針對 DOS 或是 DDOS 攻擊的防護,INF 提供 SYN、ICMP 與 UDP 等 3 種協定的設定值,管理者可以根據需要適當的調整數值:
圖 95. 圖5-25 防火牆的防護設定¶
• 共用設定【永久封鎖】:同一來源 IP 觸發下方的各種偵測超過一定次數,則會永久封鎖。次數的判定可在 5-8-2、防護記錄 內查看。被封鎖的名單會顯示在【解除IP封鎖】的連結內。• 偵測 SYN 攻擊設定值【允許最大流量】:每一個防火牆保護的外部 IP 位址能夠承受的每秒最大封包要求。預設值是 10,000 封包/秒,超過設定數值,防火牆就會認為受保護的 IP 位址遭受攻擊。【允許每個來源位址最大流量】:網路上同一個 IP 位址每秒能傳送的數量。預設值是 100 封包/秒,超過設定數值,防火牆就會認為受保護的 IP 位址遭受攻擊。【當來源地址超過最大流量時的阻擋時間】:一旦防火牆判斷被攻擊,自動丟棄來自攻擊者 IP 位址封包的時間,預設是 60 秒。• 偵測 ICMP 攻擊設定值【允許最大流量】:預設值是 10,000 封包/秒,超過設定數值,防火牆就會認為受保護的 IP 位址遭受攻擊。【允許每個來源位址最大流量】:預設值是 100 封包/秒,超過設定數值,防火牆就會認為受保護的 IP 位址遭受攻擊。【當來源地址超過最大流量時的阻擋時間】:一旦防火牆判斷被攻擊,自動丟棄來自攻擊者 IP 位址封包的時間,預設是 60 秒。• 偵測 UDP 攻擊設定值【允許最大流量】:預設值是 10,000 封包/秒,超過設定數值,防火牆就會認為受保護的 IP 位址遭受攻擊。【允許每個來源位址最大流量】:預設值是 100 封包/秒,超過設定數值,防火牆就會認為受保護的 IP 位址遭受攻擊。【當來源地址超過最大流量時的阻擋時間】:一旦防火牆判斷被攻擊,自動丟棄來自攻擊者 IP 位址封包的時間,預設是 60 秒。• IP 位址封鎖輸入要封鎖的來源 IP 位址或是目的 IP 位址,這些位址不再經過防火牆的防護機制,所有來自這些網路的連線要求會 全部拒絕 。以 TCP 為例,這一些 IP 位址送過來或是要送過去的 SYN 封包通通不回應或是不送出去,設定 192.168.1.1 或 192.168.1.1/24。• IP 位址例外輸入來源 IP 位址或是目的 IP 位址,這些位址不再經過防火牆的防護機制,所有來自這些網路的連線要求 全部接受 ,即使它的網路封包數量可能比設定值高很多。• 其他項目除了可以偵測 SYN 攻擊、ICMP 攻擊與 UDP 攻擊外,UTM 提供管理者可以阻斷網路常見的攻擊手法。
圖 96. 圖5-26 其他項目防護設定¶
這些防護規則,可以套用在 INF 的介面位址上,或是每一個管制條例上,只要來自網際網路的攻擊超過設定值,INF 就會自動將攻擊者 IP 位址的封包阻擋,確保網路設備的網路安全。
5-7-2、防護記錄¶
INF 會記錄所有攻擊行為,管理者可針對攻擊類型、攻擊來源 IP 位址、被攻擊 IP 位址進行搜尋,系統會詳細列出遭受攻擊時間、攻擊類型、協定、通訊埠、攻擊來源 IP 位址與被攻擊 IP 位址。
圖 97. 圖5-27 防火牆防護記錄¶