第2章 系統設定¶
系統設定是整台機器的基本配置,包含分配次管理者的權限、系統升級、備份還原及通知重要項目。並非每個可進入設備的管理者都具有相同權限,僅主要管理者有權限進行系統設定。NG-UTM 提供多層次的管理權限,管理者權限設定可前往「系統設定 > 管理員 > 帳號管理」。
2-1、基本設定¶
2-1-1、一般設定¶
• 一般設定NG-UTM 基本運作設定。例如:瀏覽器標題、記憶體及連線 timeout 等。
圖 8. 圖2-1 管理介面顯示設定¶
【首頁標題】:在管理介面的標題區顯示的文字。當管理者同時管理多台設備時,首頁標題可有效幫助管理者辨識並正確設定至要執行的設備上。【瀏覽器標題】:登入管理介面的瀏覽器標題文字。設定容易辨識的標題,讓管理者在開啟多個網頁時,快速地找出此介面。【更新 Logo】:預設為 ShareTech Logo,可以自行更換。圖片大小限制為最大 150 x 90 pixel,最佳顯示為 150 x 90 pixel 的 GIF 圖片,也可以上傳通用的 PNG、JPEG 格式。【清除記憶體】:為了避免記憶體被無用的程序占用,導致系統運作不正常,NG-UTM 內建自動清理記憶體機制。系統預設為每 30 分鐘檢查系統的記憶體使用量,當記憶體超過 90% 使用量時,就會觸發清除機制,把沒有在使用的記憶體釋放。管理者可根據使用狀態調整檢查時間跟觸發的上限值。定期清理記憶體:預設為關閉。可以指定時間讓系統定期執行檢查及清理,而非等記憶體達到觸發條件之後才執行清理的動作,提高系統的穩定度。設定清理的時間通常是系統比較不忙碌的時間,例如:凌晨 00:00。【Session timeout of established】:設定每個已經建立的 TCP 連線,在多長時間內沒有傳輸資料時,系統會主動將這個 TCP 連線中斷。預設值為 600 秒,如果設定時間太長 86400秒 (1 天),系統可能會被很多空的 TCP 連線占據記憶體資源。一般來說,通聯的雙方會在傳輸資料結束後自動將此連線中斷,但若是發生不正常結束或是被惡意攻擊時,這些 TCP 連線就會被保留在系統中占據記憶體資源;當無效連線佔據太多記憶體後,會導致正常的連線要求無法被服務,此時就需要這個機制把這些異常連線中斷。note
Session timeout of established 的設定只對已建立的 TCP 連線有效,對未完整建立的 TCP 連線及 UDP 協定無效:UDP 協定是因為沒有三方交握機制;未完整建立的 TCP 連線就有太多可能性,DDOS 攻擊中的 SYN 攻擊就是一種消耗資源的攻擊方式。NG-UTM 提供 SYN 攻擊的防護,在「管制條例 > 管制規則 > SYN 防護」中可以設定需要 SYN 保護機制的主機。【Pass-through Protocol】:當 NU-UTM 運用在視訊會議或 SIP 網路電話時,建議啟用這項功能。啟用後,對 H.323/SIP 協定的封包自動 pass,不做額外的管制。【LAN 加速模式】:將多實體介面所綁定的虛擬介面,從 Bridge模式改為 Switch模式。不同的模式在 3-2、網路介面 會提供不同的設定。【管制 Bridge Vlan 封包】:當防火牆位在兩交換器之間做過濾,且封包會帶 VLAN tag 時,需勾選此項讓防火牆能管制這些封包。【FTP 主動模式開放 Port】:若內部的 FTP 伺服器使用非標準的 20 PORT 來傳輸資料,可以在此設定讓防火牆開放這個 PORT。• Auto VPN
圖 9. 圖2-2 Auto VPN¶
NG-UTM 在 9.0.1.5 版後提供 Auto VPN,此處設定 Auto VPN 使用的通訊埠預設值是 24188, 當 port 設為 0 代表不啟用這個功能。Auto VPN 在建立大量且都是動態 IP 位址的 IPSec VPN 時能降低設置 IPSec VPN 的複雜度、加快 VPN 建立的速度及提高整體運作的穩定度。關於這個功能的詳細說明請參考 12-1-2、Auto VPN Server 章節。• 登入失敗封鎖設定不論是主要管理者或是次管理者,系統會限制每一個來源 IP 位址輸入錯誤的帳號、密碼的次數,當次數超過設定值,NG-UTM 就會封鎖此來源 IP 位址。被封鎖的 IP 位址必須等到設定的封鎖時間過後,或是其他主要管理者登入並執行解除封鎖,才能將此來源 IP 位址解除鎖定。
圖 10. 圖2-3 登入失敗封鎖設定¶
【登入失敗次數超過多少暫時封鎖】:設定登入時,密碼輸入錯誤的次數限制,當同一個帳號輸入密碼錯誤超過設定次數,此來源 IP 位址將被封鎖,預設值為 0,代表不限制錯誤次數。【多久解除被暫時封鎖的 IP】:當 IP 位址嘗試輸入密碼錯誤超過設定次數,會被 NG-UTM 封鎖不能登入一段時間。單位為分鐘,超過這個時間後,此 IP 位址又可以再次嘗試登入。預設值為 0 ,代表不限制 , 即永久不解除,除非具有主要管理權限的管理者到【解除 IP 封鎖】中將這個 IP 位址解除。【解除 IP 封鎖】:被封鎖的 IP 位址將會列在這裡,由主要管理者決定要不要將他解除封鎖。• 首頁設定NG-UTM 提供 2 種操作介面,傳統的管理介面與 Dashboard 介面。傳統的管理介面可以對整台機器進行管理動作,Dashboard 則會以圖形介面顯示整個 NG-UTM 進出網路的流量或是駭客攻防紀錄等。
圖 11. 圖2-4 首頁設定¶
【首頁設定】:共有 2 個選項,管理介面跟 Dashboard。設定當管理者登入時,會進入哪一個畫面,預設是管理介面。• 首頁網路介面預設顯示主要管理者登入 NG-UTM 的管理介面時,會顯示每個網路區域 (ZONE) 的即時流量,當網路區域數量眾多時,對管理者來說不容易辨識,此處可以設定預設顯示的網路區域。
圖 12. 圖2-5 選擇首頁顯示網路介面¶
【首頁網路介面預設顯示】:共有 3 種模式可供選擇,全部、已連線跟自訂。· 全部:所有 ZONE 介面都會列出來,不論有無啟用或是流量。· 已連線:只顯示已經連線的介面,其他沒有啟用或是連線的介面都會被隱藏。· 自訂:由管理者挑選要顯示的 ZONE,不論它是否已經連線。• Drop Session Log
圖 13. 圖2-6 Drop Session Log¶
管制條例中顯示封包通聯記錄的功能。預設僅顯示已建立的連線,通常已建立的連線代表符合管制條例的規則,而對於違反條例的封包,系統會將它丟棄且不會有任何紀錄;勾選這項功能後,系統會將丟棄的封包留有紀錄。
2-1-2、DNS 解析¶
這裡設定 DNS 伺服器是提供給 NG-UTM 自己查詢使用,因為 NG-UTM 不一定是放在對外的閘道上,所以需要設定 DNS 伺服器查詢網域名稱。使用的 DNS 伺服器可以是 IPV4 或是 IPV6 。【DNS Server 1】:NG-UTM 第一個使用的 DNS 伺服器,例如,168.95.192.1。【DNS Server 2 】:NG-UTM 第二個使用的 DNS 伺服器,例如,168.95.192.1。【DNS Server 3 】:NG-UTM 第三個使用的 DNS 伺服器,例如,2001:b000::1。
圖 14. 圖2-7 DNS 伺服器¶
NG-UTM 需要查詢 DNS 紀錄時會先由 DNS Server 1 開始查詢,如果設定的 DNS 伺服器沒有回應,再依序使用其他的 DNS 伺服器。
2-1-3、管理介面存取設定¶
• 管理介面存取設定NG-UTM 使用瀏覽器設定,目前只允許使用 https 的協定進入管理介面。https 預設使用的 port 為 443,管理者依據自己的需求,可以把這個 port 改成 1 ~ 65535 中的任意號碼,當更改完成後,下次登入管理介面時就需要使用新的 port 進入。
圖 15. 圖2-8 HTTPS Port 及自動斷線時間¶
【HTTPS Port】:進入 NG-UTM 管理介面使用 port 號,預設是 443。例如:NG-UTM 預設網路 IP 位址是 192.168.1.1,把它的管理 port 改為 10443,儲存後下次登入時就須使用新的 port(https://192.168.1.1:10443)。【管理介面閒置多久自動斷線】:當超過設定的閒置時間,NG-UTM 會自動將管理者的連線中斷,如需要再進入管理介面,則需要重新登入。閒置時間的區間為 5 ~ 60 分鐘,預設為 60 分鐘。NG-UTM 可以設定多個 ZONE,每一個 ZONE 都可以設定 IP 位址,此 IP 位址就可以提供給主要管理者或是次管理者進入管理介面。• 管理者密碼自訂規則為了提高安全度,系統提供設定密碼的複雜度跟定期提醒管理者更換密碼這 2 項措施。
圖 16. 圖2-9 管理者密碼自訂規則¶
【啟用】:啟用管理者密碼自訂規則的功能,此預設為關閉。【最短長度(3-16 個字元)】:設定密碼時,最短的密碼長度。一般來說,越長的密碼安全性越高。【必須包含】:設定密碼必須包含哪一些字元,以增加密碼強度。一般情況下,由大寫字母、小寫字母、數字組合的 8 位數密碼,能提供足夠的安全性,被猜中的機率相較單純數字或小寫字母的密碼低得多。【新密碼不可包含舊密碼】:每次更改密碼時,管理者設定的新密碼不可跟舊密碼一樣,這項功能預設為關閉。【要求修改密碼頻率】:設定每隔多少天系統會提醒管理者修改密碼,預設為 90 天;0 代表關閉這項功能。
2-2、時間設定¶
NG-UTM 的紀錄都會標註時間,所以時間的準確度很重要,系統具有自動校正時間的功能,會根據設定的時區跟時間伺服器進行網路校正。
圖 17. 圖2-10 設定系統時間跟時區¶
• 時區與時間【時區】:設定 NG-UTM 的時區,從時區列表中選一個 NG-UTM 所在的時區。【時間】:設定 NG-UTM 的時間。【日期】:設定 NG-UTM 的日期。自行設定時區與時間,再按下儲存,就完成設定時間的動作。• 網路時間校正將【網路時間校定】的選項啟用,並選擇網路上公開的時間伺服器或自己輸入特定的時間伺服器,NG-UTM 每 30 分鐘會跟時間伺服器校正一次。校正過的資料顯示會在「時區與時間」中,所有跟時間伺服器校正的過程,都會記錄在【時間記錄】中。【網路時間校定】:選擇是否啟用這項功能,預設為關閉。【目前時間伺服器】:目前使用的時間伺服器。:如果需要馬上校正時間,可以按下
:紀錄 NG-UTM 跟時間伺服器的校正資料,所有的資料會保留 3 天。
【選擇時間伺服器】:按照時區,選擇適用的時間伺服器。【自訂伺服器】:自行輸入使用的時間伺服器。
2-3、管理員¶
依管理權限,分為主要管理者跟次管理者。預設的 admin 帳號就是預設主要管理者,而主要管理者可以有多個。例如:由預設的主要管理者 admin 新增一個主要管理者 Joy,由 Joy 協助 admin 管理整台設備,而 Joy 也可以更改 admin 的權限為次管理者。為了避免因為權限設定錯誤導致沒有主要管理者,系統會自動保留最後一個具有主要管理者權限的帳號。NG-UTM 根據管理設備需求,可新增數個權限不一的次管理者,搭配自定義的管理者項目挑選,讓次管理者分擔主要管理者的工作內容,也可以用網路介面 (ZONE) 分配給次管理者,讓整台設備的管理更有彈性。在次管理者的應用情境上,設想一下幾個運作的情況,依情況搭配自定義的管理者項目,就可以輕鬆達到要求:A. 某位管理者只能管理 VPN 的操作,例如 VPN 通道的建立、管制等,至於其他功能就不方便讓他知道太多。B. 稽核人員可以進入 NG-UTM 中查詢被紀錄下來的資訊。C. 網管人員可以管理設備,但是沒辦法看到內容紀錄的資料。關於管理者帳號跟權限的說明如下:• 帳號管理admin 為 NG-UTM 預設主要管理者,預設密碼為 admin,這個預設帳號無法被刪除。在第一次安裝的情況下,需要用預設的 admin 帳號登入,此時 admin 可新增其他主要、次管理者的帳號,而因為 admin 在類似的網路管理者介面經常使用,基於安全考量,可以將它的權限限縮為 Read。• 權限權限分為 Read / Write / All Privileges 三種,再搭配自訂化選單功能,就能把某些項目的管理權限分配給不同的次管理者。NG-UTM 的權限配置相當靈活,具備有 All Privileges 權限的稱之為主要管理者,具備 Read 或 Write 權限的通稱為次管理者。只有主要管理者具有新增、修改或刪除其他次管理者的權限,詳細說明如下:· 【Read】:具有瀏覽功能,沒有寫入(設定)的權限。可搭配自訂化選單,讓次管理者只看到被授予權限的部分,如不搭配自訂化選單代表對整機的所有項目都具有「看」的權限。· 【Write】:具有寫入、瀏覽權限。可搭配自訂化選單,讓次管理者能設定被授予權限的項目。例如:A 次管理者被授予管理 VPN 通道,當 A 登入系統後,他左側的選單只會顯示 VPN,其他的項目都會被隱藏。如不搭配自訂化選單代表對整機的所有項目都具有「設定」的權限。· 【All Privileges】:對整機皆有寫入、瀏覽權限的主要管理者,因此不需要再設定自訂化選單。
2-3-1、帳號管理¶
帳號管理會列出所有可以進入 NG-UTM 管理介面的管理者帳號及權限,包含可以瀏覽或是寫入的功能項目、預計變更密碼的時間等。• 新增管理者帳號及權限點選按鈕,進入新增管理者的設定,說明如下:
圖 18. 圖2-11 新增一個管理者¶
【帳號】:新增管理者使用的帳號,任何英文跟數字的組合皆可。【密碼】:密碼會區分英文大、小寫,請用 3 至 64 個字元,密碼不能與帳號相同。一般而言,8 位數的英文+數字組合就能提供一定強度的密碼。【密碼檢測】:NG-UTM 會自動幫您判斷密碼強度。利用下面幾種方式增加密碼安全度:1. 英文字母和數字混合使用。2. 使用特殊字元,例如 「@」,但是冒號 「:」 與逗號 「,」 禁止使用。3. 大小寫混合使用,例如:Joy123 的複雜度就比 joy123 高。【密碼確認】:需要再次輸入設定的密碼,避免設定的密碼前後不一致。【下次登入要更改密碼】:新的管理者第一次登入成功後,是否要強迫改密碼,預設為關閉。【要求修改密碼頻率】:每隔多少天,系統就會自動提醒管理者修改密碼,預設為 90 天,0 代表關閉這項功能。【註解】:新增管理者容易辨識的描述。【兩步驟驗證】:啟用後,除了輸入原本的密碼,需再輸入由 Google Authenticator 產生的驗證碼才能登入帳號。【權限】:設定管理者的權限,共有 3 種權限可供選擇,分別是 Read、Write 跟 All Privileges。選擇 Read 或 Write 權限時,如沒有勾選自訂化選單代表這一個次管理者可以看到所有的功能選項。All Privileges 即是主要管理者,因此選擇此項時,自訂化選單會被自動隱藏。【自訂化選單】:主要管理者授予次管理者能瀏覽或設定的項目,如果沒有勾選,代表次管理員可以對整個系統進行瀏覽或設定。NG-UTM 的設定架構是由主項目+次選單+分頁選單組成,實際的設定區是在分頁選單中;只要限制次管理者可否看到主項目+次選單這 2 個項目,就可以控制他的使用權限,這 2 個項目就在左側的主選單區,所以可以理解為:自訂化選單 = 左側主選單區。範例:建立自訂化選單,並觀察 Read 跟 Write 權限的不同。A、設定自訂化選單有「基本設定」、「訊息通知」、「區域設定」、「IP Tunnel」、「管制規則」、「位址表」等項目。
圖 19. 圖2-12 自訂化選單¶
B、具有 Read 權限的帳號登入管理介面後,他可以看到選單的項目,但是沒有【確定】或是【儲存】的按鈕。
圖 20. 圖2-13 Read 權限及自訂功能¶
C、具有 Write 權限的帳號登入管理介面後,他可以看到選單的項目,且有【確定】或是【儲存】的按鈕。
圖 21. 圖2-14 Write 權限及自訂功能¶
2-3-2、管理者的 IP 位址¶
NG-UTM 可以限制特定來源 IP 位址無法進入管理介面,藉以排除不相關的人員猜測帳號、密碼的機會。預設值是空白,表示不限制來源 IP 位址,任何內、外網路來源 IP 位址都可以進入管理介面。NG-UTM 通常會開啟 NAT 功能,所以設定來源 IP 位址必須要注意內、外網的 IP 位址。例如:若設定內部的 IP 位址可以進入管理介面,但沒有設定外部網路進入的來源 IP 位址,當需要從外部網路連入系統時,則會被拒絕。一旦有 IP 位址被設定,代表啟用此一過濾機制,只有符合的來源 IP 位址可以進入,因此設定時管理者務必確認自己的 IP 位址被加入,以免無法進入管理介面。新增第一筆來源 IP 位址時通常會加入當下管理者的來源 IP 位址,否則儲存後就無法進入管理介面(不是被允許的來源 IP 位址);此時只能藉由 RS-232 介面進入把這一個功能取消,才有辦法利用網路進入管理介面。• 設定
圖 22. 圖2-15 設定阻擋回應¶
【阻擋回應 (HTTP Status Code)】:當非設定的管理 IP 嘗試登入管理介面時,防火牆會如何回應。可選擇回應禁止連線 (403),或是不回應 (404)。• 新增一筆管理者 IP 位址在管理者的 IP 位址列表下方點選
圖 23. 圖2-16 設定管理者的來源 IP 位址¶
【註解】:來源 IP 位址容易辨識的名稱。【IP 與網路遮罩】:可以進入管理介面的來源 IP 區段,不論是合法的 IP 位址或是私有 IP 位址都可以。設定時要注意子網路遮罩問題,如果是合法 IP 位址通常會用 255.255.255.255,代表某一個固定的 IP 位址;內部私有 IP 位址通常會用 255.255.255.0 ,代表內部某一個區段的來源 IP 位址。
2-3-3、記錄清除¶
NG-UTM 會記錄大量的資料,包含管理者登入、登出甚至他在這一台設備的操作紀錄,還有使用者通過這台設備的使用紀錄,包含郵件、WEB/HTTPS 等,還有系統運作及防護的記錄,包含防火牆攻防紀錄、IPS及病毒等,當這些資料累積到一定的程度,有些是按容量,有些是按時間,系統就必須把這一些資料清除掉。智慧清除設定當資料空間使用量達到下列所有條件時,系統將會自動更改記錄保留時間設定並清除紀錄1. 資料空間使用率達到設定值(80 ~ 99%)2. 資料庫使用量超過資料空間 40%【啟用】:啟用後,當系統容量使用率達到設定的數值,將自動變更下方的內容記錄保留時間【紀錄保留時間變更紀錄】:智慧清除設定啟用後,每當自動變更記錄保留時間,會在此留下記錄【自動清空內容紀錄】:記錄保留時間已達最小值且容量仍不足時,將會從使用量最大的資料庫開始清空記錄直到容量足夠【內容清空紀錄】:每當發生自動清空內容,會在此留下記錄• 記錄清除【手動清除紀錄】:當管理者認為需要清除某些系統紀錄時,就到此處執行,根據不同的型號有不同的清除項目,最多有 11 個紀錄資訊。依據需求選擇適當項目,也可勾選【全選】選擇所有項目,按下清除按鈕,把已經記錄在 NG-UTM 內的資料清除掉。• 內容記錄保留時間設定NG-UTM 有些是用內建硬碟,有些是用內部的記憶卡紀錄系統資訊,有硬碟的系統,記錄最高保存時間為 36 個月 (3年),超過 3 年的歷史資料,一定會被清除掉;沒有硬碟的設備系統會自動設定儲存上限,一般是使用 90 % 以上就會觸發清除機制。系統的內容記錄保留時間預設值為 12 個月 (1年),管理員可以依照實際的需求在可以設定的範圍內 (1~36個月) 設定要保留的時間。而一些數量比較大且跟系統運作無關的紀錄,例如:郵件過濾、流量統計跟 DNS 查詢紀錄,時間間隔會縮小。
2-4、系統升級¶
NG-UTM 的最新韌體資訊發布在官網上,管理者可以在 http://www.sharetech.com.tw 網站上找到最新的韌體資訊下載。有全自動、半自動跟手動 3 種升級模式:· 全自動跟半自動升級:系統設定 > 系統升級 > 韌體資訊 。· 手動升級:系統設定 > 系統升級 > 軟體升級 。
2-4-1、韌體資訊¶
這裡可設定全自動或半自動的升級模式:半自動模式 :自動檢查及下載韌體,管理者手動更新。系統定期到更新伺服器檢查韌體,並將最新韌體自動下載到設備中,管理者登入管理介面後,按下韌體升級按鈕,執行升級動作。全自動模式 :自動檢查及下載韌體,並在預定時間,自動執行韌體升級動作。在執行升級動作前,可設定通知管理者預計要執行韌體升級的時間,管理者收到郵件後如果不想升級,可以進入管理介面中暫停或是刪除升級檔。
圖 24. 圖2-17 NG-UTM 的韌體升級設定¶
【最後更新時間】:最後一次韌體資訊檢查的時間。若想知道目前是否有最新的韌體,可以按下按鈕檢查是否有新的軔體,如果有的話就會下載到設備中讓管理者使用。
【定時更新時間】:設定每天檢查的時間,此為檢查跟下載軔體的時間,不是軟體升級的時間。【更新伺服器】:NG-UTM 檢查最新韌體的伺服器名稱。此為系統預設,管理者無法更改,預設網址為:autoUpdate.sharetech.com.tw。【自動下載】:啟用自動下載的功能後,NG-UTM 會在指定時間到更新伺服器檢查最新韌體並自動將韌體下載 NG-UTM 中。【自動升級韌體】:全自動升級韌體模式。首先啟用 自動下載 的功能後,此功能才能被啟用。針對自動下載的韌體,在管理者排定的時間內,執行升級動作。Note
當自動升級韌體過程因為某些因素導致升級失敗,此時這個功能就會被停用,也就是升級失敗後管理者須排除失敗因素,否則系統將不再執行自動升級韌體動作。
【升級韌體時間】:管理者指定在此時間執行升級動作。一般而言為了避免影響正常的使用,通常會排定在系統使用率最低的時候。【自動升級通知】:當有新韌體且已經下載到 NG-UTM 中,在排定升級韌體的前幾個小時,寄出升級通知郵件通知管理者。在全自動模式下,升級成功或是失敗都會寄出通知信。管理者郵件帳號可以設定多筆,設定路徑在「系統設定 > 訊息通知 > 訊息通知 > 收件者項目」中。【韌體升級紀錄】:每次韌體更新系統都會詳細記錄時間、版本、成功或是失敗,這些資料可由紀錄按鈕中取得。• 韌體檔案NG-UTM 到更新伺服器檢查後,如果有最新韌體且選擇自動下載,最新的韌體檔案就會被下載並放在系統,等候管理者的命令。當管理者決定升級後,只要在韌體升級欄位按下升級,系統就會開始執行升級動作。通常韌體更新需 3 分鐘的時間,更新後系統將會自動重新開機,而在系統更新期間請勿關機、斷線或是離開網頁,這可能會造成 NG-UTM 不可預期之錯誤。管理者也可以把韌體下載到本機中,再用手動的方式上傳到設備中;通常這個動作是要檢查下載檔案的 MD5 值跟網站公布的韌體 MD5 值是否一樣,當 2 者不一樣時,韌體檔案有被竄改的可能。
2-4-2、軟體升級¶
手動升級韌體機制:先取得韌體後,再上傳到 NG-UTM 中。【伺服器型號】:NG-UTM 的型號。【目前軟體版本】:NG-UTM 的軟體版本,9.0.0.0 是最初始的版本號碼,新的版本號碼數字會比前一版的數字大。【軟體升級】:選擇要上傳到 NG-UTM 的韌體。按下按鈕後,系統就會開始執行升級動作。
2-4-3、韌體下載紀錄¶
不論採用自動下載或是手動上傳,NG-UTM 會把韌體更新過程記錄下來,管理者可以透過【韌體下載紀錄】,找尋相關歷史記錄,包含起始時間、結束時間、傳輸時間、版本、大小、事件等。
圖 25. 圖2-18 韌體下載紀錄¶
【版本】:針對韌體版本搜尋。【事件】:NG-UTM 韌體下載成功或是失敗的事件。
2-5、備份與還原¶
當設定 NG-UTM 完成且正常運作下,管理者會把所有的設定資料備份下來,並將備份檔案另外保管,以備不時之需。在相同硬體規格下,備份出來的檔案,可以匯入另一台 NG-UTM 中,達成還原的動作,儲存備份檔案有 2 個方式,一個是 USB 另一個是本機的儲存媒體。備份動作分成手動跟全自動,手動方式在 2-5-1、系統備份與還原 操作,全自動則在 2-5-2、自動備份 。萬一備份還原的動作仍然無法滿足,管理員可以對系統執行恢復出廠值的動作,把 NG-UTM 還原到最初的狀態,再重新設定。
2-5-1、系統備份與還原¶
此處的動作是手動的備份與還原,系統只備份當下的設定檔。NG-UTM 的備份資料儲存有 2 種模式,USB 跟備份檔:USB 是將備份檔直接傳到 USB 裝置上;備份檔是以檔案形式存在管理者的電腦中。2 種備份方式使用目的不太一樣,在還原時做法也稍微不一樣,管理者 2 種都可以使用。• 系統備份至 USB在設備上插入 USB 的裝置,並按下備份按鈕,系統會自動偵測 USB 設備並自動將所有設定檔複製到 USB 中,完成後請把 USB 設備拔除。每當 NG-UTM 重新開機時,會自動偵測 USB 是否存在,如果存在,則會自動將 USB 的備份檔載入,並執行系統還原動作;因此這個功能適用於更換故障硬體設備,把當初備份的 USB 插入新的設備,就可以快速的把機器還原回原來的狀態。• 系統備份按下備份鍵可將目前系統之設定值匯出。NG-UTM 會將整個系統的設定資料,壓縮成一個 tgz 格式的壓縮檔,當要執行還原動作時,匯入此檔案即可。
圖 26. 圖2-19 系統備份¶
• 系統還原管理者選擇想要還原的設定檔( tgz 格式的壓縮檔)後按下確定鍵,系統會自動上傳設定檔。重新開機後,NG-UTM 就回到當初備份時的狀態。上傳時,NG-UTM 會再自動檢查一次設定檔是否有損壞,若發現損壞,將不會執行還原動作,只有檢查是正常的設定檔,才會將它解壓縮後還原到系統中。• 恢復出廠預設值管理者可以將整台設備還原到出廠的預設值,按下【確定恢復】按鈕後,NG-UTM 會清掉所有的設定值,同時將 ZONE 0 的 ETH0 介面 IP 位址改為 192.168.1.1。· 保留網路介面設定:執行恢復出廠設定值時,是否要保留原來的網路介面 IP 設定值。這個機制適用於網路架構正常,但是管制動作或是內部資料太複雜,管理者就可以保留設定的網路資料,然後將其他的資料清除後重設。· 格式化資料空間:執行恢復出廠設定值時,是否要執行格式化的動作。如果勾選此選項,會將整個資料空間(如硬碟)格式化,此時需要較多時間執行,完成後將重新開機並回到系統最原始的出廠預設值。• 資料空間狀態NG-UTM 的 LOG 都是記錄在資料空間中,系統會自動檢查資料空間的狀態,並將狀態呈現在管理介面中。當資料空間故障時,不會影響網路封包的傳送、接收,但是該記錄的資料可能因為資料空間毀損而無法記錄。
2-5-2、自動備份¶
為了節省管理者定期執行備份動作的時間及工作,也為了保護設備資料不遺漏,NG-UTM 提供自動備份功能。管理者只要設定備份的日期與時間並選擇保留在 NG-UTM 資料空間的備份數量,系統會依管理者的設定自動進行備份動作,超過設定份數的舊設定檔會被自動刪除。【啟用】:勾選啟用後,就開始設定執行備份的日期、時間。【自動備份時間】:有 2 種模式可供選擇。· 週期性日期跟時間,例如:每隔 3 天或是每隔 23 小時定期執行備份動作。· 自訂日期及時間,例如:星期一的凌晨 00:00 執行備份動作。【保留備份數量】:NG-UTM 會在系統上保留最新的數份設定檔,新的設定檔將會覆蓋較舊的,採先進先出的覆蓋方式。【立即備份】:按下立即備份按鈕,系統會馬上執行備份動作,並將它儲存在 NG-UTM 中。• 備份紀錄所有自動備份的紀錄都會被保留下來,包含備份時間、軟體版本等,管理者可以對任何自動備份下來的資料執行下列動作:【下載至 USB】:將備份檔儲存在 USB 裝置上。當系統重新開機並偵測到這個 USB 裝置時,會自動執行還原動作,不需要再去點選系統還原的動作。【下載】:把這一份備份檔下載到管理者的電腦中。【還原】:讓 NG-UTM 直接回到某一設定檔的狀態,點選【還原】後 NG-UTM 會要求管理員輸入數字以確認是否要執行還原動作,如下圖。
圖 27. 圖2-20 系統還原確認¶
【刪除】:把這個備份設定檔從系統中刪除。【紀錄】:NG-UTM 會詳細記錄自動備份設定檔之間的差異項目,方便管理者追蹤比較。點選後會開啟新視窗列出詳細內容,如下圖。
圖 28. 圖2-21 NG-UTM 自動備份的紀錄¶
在記錄中有更改時間、帳號、管理者 IP 位址、更改的項目、動作跟每個項目更改前及更改後的比較,管理者可依據這些資料判斷要不要執行還原或是找出問題的癥結。
2-6、訊息通知¶
NG-UTM 會用郵件通知管理者系統發生的事件,從備份資料成功與否,到系統被攻擊等等,讓管理員可以在第一時間掌握設備及網路訊息。NG-UTM 的通知是以郵件的方式寄送,因此管理員需先設定基本 SMTP 伺服器與收件者帳號。
2-6-1、訊息通知¶
可以設定不同的事件使用不同的寄件者帳號寄出通知信,也可以有多個收件者收到通知訊息。• 訊息通知NG-UTM 共有 26 種訊息通知的事件,每一種事件依照其類型可以做週期性或定期性的檢查,檢查後如發現問題,就會根據管理者的設定來寄出訊息通知郵件。
圖 29. 圖2-22 訊息通知郵件設定¶
【寄件者帳號】:選擇寄出通知郵件時使用的寄件者帳號,寄件帳號在「SMTP 伺服器設定」頁籤中設定。· 自動:選擇自動模式時,系統會從【SMTP 伺服器設定】中優先選擇跟收件者相同網域名稱的寄件者。若無任何對應關係,則使用第一筆寄件者寄出通知信。· 指定 SMTP 帳號:以【SMTP 伺服器設定】中設定的寄件者為寄件者帳號,寄出通知信;如果沒有任何寄件帳號在【SMTP 伺服器設定】中被設定,則不會寄出訊息通知信。【收件者】:輸入訊息通知郵件的收件者,每個事件可以有多個收件者(換行新增)。【嘗試寄送次數】:設定當通知信傳送失敗時,最多會嘗試傳送幾次。設定的範圍是 1~5 次,當寄送失敗超過設定的次數,此封訊息通知將不會寄出。【通知信語系】:選擇通知郵件的語系,共有 English、繁體中文跟簡體中文三種。如果語系設定不正確,有可能導致收信者收到的通知信為亂碼。• 訊息通知事件NG-UTM 目前提供 25 種的事件通知信,每一種檢查項目根據其屬性,可設定不同的檢查時間及機制。例如:「線路斷線」這一個檢查項目一定是週期性時間檢查;「防火牆防護」的檢查週期性會比「系統操作日誌」頻繁,免得攻擊已經過了,才發出系統通知郵件。不論哪一種事件,發出通知訊息的郵件主旨都可以更改,管理員可以把它改成更容易讓收件者理解的主旨,例如:線路斷線的通知信郵件主旨預設為「ZONE disconnect」,可以改為「台北 NG-UTM 斷線」。如果檢查項目的通知沒有被啟用,系統就不會發出這個項目的通知信。各項目逐一說明如下:1. 線路斷線:檢查廣域網路 (WAN) 對外是否暢通。2. DDNS 更新失敗:設定的 DDNS 服務是否正常更新及運作。3. HA 狀態切換及資料同步異常:HA 模式下,Master 跟 Slave 曾經切換或者 2 台設備的資料在同步時有發生異常。4. 防火牆攻擊防護 (SYN, ICMP, UDP, PortScan):NG-UTM 遭受到攻擊時,系統會發出通知信。5. 異常流量 IP:Session, Zone Out (TX), Zone In (RX):內部上網的電腦超出設定的流量。6. 病毒阻擋 (上網,收信…):郵件或是上網的檔案發現病毒。7. 系統操作日誌:系統操作日誌有異動的資料。8. 管理者使用帳號,登入錯誤事件:管理者登入時發生錯誤。9. SSL-VPN,上網認證,登入錯誤事件:SSL VPN 用戶登入時,帳號密碼驗證錯誤。10. 軟體更新通知:新的韌體發布。11. 資料空間容量過低 (Usage over 90%) 和壞軌:資料空間可用空間太少或是有壞軌現象。12. 自動備份系統設定檔:自動備份成功與否的通知信。13. 協同防禦:跟交換器、無線 AP 的協同防禦阻擋通知信。14. 資料庫異常通知:本機的資料庫異常。15. AP 管理通知 (AP 管理請求, 連線狀態異常):新 AP 申請加入或是有連線異常狀況。16. 郵件流量封鎖防禦:對外大量寄信超過設定值。17. IPSec 斷線通知:IPSec VPN 斷線。18. IPSec 切換通知:SD-WAN 環境下,任何一個 IPSec 通道斷線。19. 上網認證即將到期通知:上網認證使用者的帳號即將到期。20. 上網認證到期刪除通知:上網認證的帳號到期後,系統將它刪除前先通知管理者。21. 流量配額用完通知:設定流量配額下,即將用完配額。22. UPS 記錄:跟 UPS 的通聯記錄。23. 應用程式版本異動通知:本機的應用程式版本有新版本釋出。24. CMS 通知 (客戶端管理請求,連線狀態異常,備份失敗,還原失敗):CMS 運作下的通知信。25. 系統空間異常:系統的儲存空間太少或是在短時間內被塞滿。26. 自動升級通知:設定執行自動升級前幾個小時發送通知。
2-6-2、訊息通知記錄¶
鍵可以更改排序方式。
2-6-3、SMTP 伺服器設定¶
NG-UTM 寄出通知郵件時需要使用 SMTP 伺服器設定寄件帳號,如沒有設定任何有效的寄件者帳號,則所有的通知信將無法順利寄出,管理者可以設定多筆寄件者帳號。• 新增 SMTP 伺服器點選 SMTP 伺服器設定列表下方的【寄件者名稱】:預設的寄件者名稱為 Admin,勾選【自訂名稱】後,就可以將 Admin 改成收信者容易辨識的名稱,例如:來自 NG-UTM 的通知。【寄件者】:顯示在收信者的通知信郵件的寄件者名稱。此為顯示名稱,非寄件者帳號,一般的郵件軟體預設會顯示寄件者名稱,如果寄件者沒有設定名稱,才會以郵件帳號當作顯示名稱。【伺服器】:SMTP 郵件伺服器主機,例如:abcd.com 或 211.22.22.22。【Port】:SMTP 是 TCP 25,SMTPS 是 465 或是 587,由寄件伺服器決定。【帳號】:登入 SMTP 郵件伺服器的帳號,根據每一個 SMTP 郵件伺服器的不同要求,輸入帳號或是完整 email,例如 jean 或是 jean@abcd.com。【密碼】:登入 SMTP 郵件伺服器寄件者帳號的密碼。【需要驗證】:若 SMTP 郵件伺服器需要帳號認證,請勾選。【郵件寄送網域】:寄送郵件過濾時使用的寄件者網域通常需要跟收件者的網域相同,否則會發生 A 網域寄給 B 網域通知信的問題。例如:當寄件者帳號 a@ghij.com 只會寄給 ppp@ghij.com 的收件者,此處填入 ghij.com,表示除了 ghij.com 網域外,此寄件者帳號不會寄出通知信郵件。預設為空白,代表任何網域都可以利用這個寄件者帳號。【指定來源位址】:某些郵件伺服器只對特定的寄件 IP 位址提供服務,要用它來寄信,就需要輸入郵件伺服器指定 IP 位址。• 寄件者帳號驗證寄信設定完成 SMTP 伺服器的寄件者帳號後,如果擔心設定的資料有誤,造成收信者無法正常的收到訊息通知郵件,NG-UTM 提供線上測試寄信功能。在 SMTP 伺服器設定列表中,NG-UTM 會列出每一個寄件者帳號的詳細資料,按下在【SMTP 測試郵件】欄位的【測試】按鈕後輸入收件者的郵件帳號。
圖 32. 圖2-25 測試 SMTP 伺服器¶
輸入收件人郵件位址後按下確定,如果收件人的郵件信箱收到一封主旨為「This is a SMTP TestMail」的信件,代表此 SMTP 伺服器設定正常。
2-7、重新啟動&關機¶
NG-UTM 提供 2 個按鈕執行正常開關機動作,管理者可依照需求執行。另外,為提高運作的穩定度,系統可以執行定期重新開關機的動作。
2-7-1、重新啟動&關機¶
NG-UTM 正常的開關動作,系統提供 2 個按鈕:【重新啟動】與【關閉】。按下重新啟動按鈕後,系統會把所有的服務關閉,重新開機並載入預先儲存在設定檔中的資訊;按下關閉鈕就會按照正常程序關機。
2-7-2、自動重新啟動¶
系統可以設定週期性的自動重新啟動。重新開機可清除掉不必要且占記憶體的不正常檔案或是暫存檔,增加系統的穩定度。有天、周跟月 3 種週期長度,管理者可以根據自己的需求配置。一般而言,每月重新啟動一次就足夠。【啟用】:啟用自動重新啟動的機制,預設為關閉。系統會自動記錄重新開機的時間及成功與否,可點選右邊的紀錄按鈕查看。【週期】:3 種週期可選擇,天、周跟月,正常運作下設定每月重新開機一次即可。【自動重啟時間】:何時執行自動重啟,一般會設定在非系統提供服務的時間。
2-8、AP 管理¶
首先,在談論到內網無線網路環境布局前必須先了解 Thin AP 與 Fat AP之間的差異。Thin AP 是這幾年才被提出的概念名詞,和一般無線路由器 (Fat AP) 最大不同在於 Thin AP 功能較單純,大多只負責無線訊號的傳遞,無法像 FAT AP 一樣進行有關管控、安全性等功能。NG-UTM 整合無線 AP 管理功能,可以讓企業不用擔心無線網路擴充的問題,結合無線 AP 設備,將每個 AP 通過的流量整合到 NG-UTM 的網路介面上,且 AP 彼此之間可以無縫聯繫,讓使用者在行動轉移時不會感覺到網路切換。NG-UTM 提供了一個單獨的控制平台來管理有線與無線通聯,透過管理介面,管理員可清楚掌握每台 AP 路由器運作狀態(運作中或當機)、上傳與下載流量、目前該 AP 路由器線上人數。最重要的是,管理員可直接透過控制平台管控每個 AP 路由器,大大減輕管理員負擔,無線 AP 管控平台可以提供強大且完整的無線網路保護部屬空間。打造辦公網路環境無線熱點後,相信多數網管人員接著面臨的困擾就是該如何管控使用者利用 WiFi 上網,由於智慧型手機、平板的普及,加上 NB 筆記型電腦的廣泛使用,無線網路控管是多數企業未來必須去面對的挑戰。Thin AP 主要是傳遞無線網路訊息,對於安全的控管比較薄弱,無法有效防護一些惡意的攻擊行為;而若 WiFi 流量導到 NG-UTM 的網路環境,除了可管控每一台無線 AP 運作狀況外,還提供身分認證機制服務,使用者利用無線上網必須通過認證,取得合法權限後才可通行。此外,透過 NG-UTM 亦可以針對無線上網之使用者進行行為控管與記錄存檔,可以限制使用者瀏覽的網頁、應用程式(即時通訊、P2P、影音等)使用,且記錄所有使用之行為。對於網管人員來說,以一台 NG-UTM 做為主要管理工具,透過單一管理介面,就可以管控到所有無線 AP 運作狀況,且最重要的是可以遠端關閉設備、下管制指令等,讓網管人員不用疲於奔命管理,大幅提高效率。除了給管理員帶來便利外,使用者也可以輕鬆使用,對企業網管人員來說是一個無痛導入的解決方案。
2-8-1、AP 管理設定¶
開啟 NG-UTM 的 AP 管理功能,預設為關閉,啟用後就可以開始加入新的被託管的 Wireless AP。管理員可以按照不同屬性用途,把 Wireless AP 分群組,方便管理。
2-8-2、AP 管理¶
在 AP 管理點選
圖 33. 圖2-26 新增一台無線 AP¶
【名稱】:新增被管理的 AP 名稱,可輸入中英文字。【型號】:選擇目前支援 AP 設備, AP 跟 NG-UTM 之間是用 SNMP 或是 Telnet / SSH 協議溝通,使用 Telnet / SSH 的 AP 能提供更多細項的資料,雖然 SNMP 是標準協議,但是每個 AP 都會增加自己的 SNMP 命令。只有經過驗證測試的 AP 才能完整呈現所有的功能,目前支援的 AP 型號及管理方式如下:1. Howay 2000NI:SNMP2. ShareTech AP-300:SNMP3. Zyxel NWA1100-NH:SNMP、Telnet / SSH4. Zyxel NWA5123-AC:Telnet / SSH5. Zyxel NWA5123-AC-HD:Telnet / SSH6. Zyxel WAC6103D-I:Telnet / SSH7. Zyxel NWA5123-NI:Telnet / SSH8. Zyxel NWA1123-ACv2:Telnet / SSH9. Zyxel NWA1123-ACv3:Telnet / SSH10. Zyxel NWA1123-AC-HD:Telnet / SSH11. Zyxel NWA1123-AC-PRO:Telnet / SSH12. Zyxel NWA5121-NI:Telnet / SSH13. Zyxel NWA110-AX:Telnet / SSH【IP】:Wireless AP 的 IP 位址,例如:192.168.1.5。【群組】:選擇新增的 Wireless AP 隸屬於哪一個已經建立的群組。同一個群組的 AP 可以套用同一個管理動作且資料可以統一派送。如要新創一個群組,在後面空白欄內填入新群組的名稱,系統就會自動創建一個新的群組,群組名稱可輸入中英文及數字。【SNMP 埠號】:AP 用 SNMP 協定跟 NG-UTM 溝通使用的 port ,SNMP 一般是使用 161。【SNMP 登入名稱 (Read)】 :使用 SNMP 溝通時,使用只具有 READ 權限的帳號,一般預設是 public。【SNMP 登入名稱 (Write)】 :使用 SNMP 溝通時,使用只具有 WRITE 權限的帳號,一般預設是 private,基於安全因素,一般這個帳號都會被改掉。【命令模式】:NG-UTM 使用哪一種協定跟後面的 AP 溝通,有 Telnet 跟 SSH 二種,Telnet 為非加密的連線,所以一般都會建議使用加密的 SSH 連線。【命令 Port】:Telnet 使用 TCP 23,SSH 使用 TCP 22。【登入帳號】:無線 AP 的管理者帳號。【登入密碼】:無線 AP 的管理者密碼。【連線測試】:驗證填入的資料是否正常,NG-UTM 能跟設定的無線 AP 正常地溝通。• AP 列表所有被管理的無線 AP 都會按照設定的群組分類,顯示每一台被管理的 Wireless AP 的狀態跟使用人數。
圖 34. 圖2-27 無線 AP 列表¶
【AP 管理請求】 :每個被新增的 AP 設備,都會發出被管理的請求,當管理者接受後,才會進入 AP 設備的列表中。如果有新的 AP 要加入,這裡就會呈現數量,管理者點選後就可以加入。【群組名稱】:按照群組名稱分類所有的 AP 設備。【狀態】:代表斷線,NG-UTM 無法跟 Wireless AP 取得聯繫;
代表連線中。
【通道】:目前 Wireless AP 使用的無線通道,如果是自動選擇通道則會顯示 Auto。【SSID】:SSID 跟使用的頻帶,頻帶分成 2.4G 跟 5G 二種。每個不同的 Wireless AP 功能不一樣,有些只有 2.4G,有些支援 2.4G/5G 雙頻。【線上人數】:每個 SSID 目前有多少人正在使用。點選線上人數,NG-UTM 就會顯示過去利用這個 SSID 上網的人數統計圖,管理者可以查詢當天或之前的歷史資料。Note
此處是根據每個 SSID 列出使用人數,而在「系統狀態 > 連線狀態 > 15-2-2、無線成員列表 」會列出所有正在使用無線設備的設備。
【流量】:每個 SSID 目前的流量。• Wireless AP 派送設定所有被管理的無線 AP 都可以利用 NG-UTM 將常用的設定檔派送到無線 AP 上。例如:SSID 可以更改無線 AP 上管理者的密碼,下列針對無線常用的功能解說。
圖 35. 圖2-28 無線 AP 設定派送¶
【派送項目】:選擇要執行派送的項目,共有 AP 設定 (2.4G/5G)、內部網路、管理介面密碼跟管理介面存取等。【新增 SSID】:在原有的無線 AP 上再增加一組 SSID。【網路模式】:選擇使用 802.11B/G/N。【頻率/頻寬】:使用的通道。
2-8-3、MAC 過濾¶
2-9、特徵碼更新¶
NG-UTM 仰賴封包特徵值比對,確認往來的封包是否正常,ShareTech 會將蒐集到的特徵值定期推送到每一台設備,讓所有的資料都在最新的狀態。目前系統有 3 個自動更新的資料庫,分別是 URL 黑名單資料庫、應用程式管制規則、IPS 特徵碼。
圖 38. 圖2-31 特徵碼更新¶
管理者也可以點選按鈕,立刻檢查。
應用程式的特徵隨使用版本變化,判斷的特徵值就會改變,所以管理者應該套用自動檢查及更新,確保管理的應用程式能正常運作。
2-10、雲端管理服務¶
對多數的企業而言,管理網路的安全是一件複雜且辛苦的工作。尤其對正在成長中的企業而言,要如何能快速回應與維護所面臨的網路問題更是一項艱深的挑戰。網管人員需要的是一個簡單的管理工具,可以用來對相關的網路設備或行為進行控制。而 EyeCloud 雲眼管理系統就是一個集中式的雲端管理設備,透過瀏覽介面可以針對旗下設備包含防火牆、UTM、無線AP、交換器或郵件伺服器…等,輕鬆從任何一地進行設定、管理、監控與問題排除。此外,EyeCloud 整合 Line 即時通知服務,可以有效減輕網管人員工作量,縮短維護管理時間,提升企業競爭力。
2-10-1、雲端管理服務¶
在「系統設定 > 雲端管理服務」功能中,點選「啟用」雲端管理服務。若之前沒有雲端管理的帳號,按下【建立帳戶】後系統會自動帶入申請機制。如已有雲端管理的帳號,可填入帳號密碼以登入,下突圍已經成功代管的顯示畫面:
圖 39. 圖2-32 啟用中的雲端管理¶
【Server Address】:雲端管理伺服器的 IP 位址或是網域名稱。【Server Port】:雲端管理伺服器跟 NG-UTM 溝通使用的 Port,預設為 TCP 2000。【機器序號】:NG-UTM 的機器序號。【最後連線時間】:NG-UTM 跟雲端管理伺服器最後一次溝通的時間。【Eyecloud】: 將 NG-UTM 跟 Eyecloud 綁定。點選後可以讓管理者綁定已經申請過的 Eyecloud 帳號密碼,或新申請一個 Eyecloud 帳號。
2-10-2、雲端管理¶
雲端管理的網址是 https://eyecloud.tw/,可以事先申請 Eyecloud 帳號,把設備託管到雲端。只要用一個 Eyecloud 帳號,就可管理多台的 NG-UTM。1、在 https://eyecloud.tw/ ,建立新帳號。
圖 40. 圖2-33 建立 EyeCloud 帳戶¶
2、登入雲端管理系統後,新增欲託管的設備。
圖 41. 圖2-34 新增設備¶
3、管理託管的設備。
圖 42. 圖2-35 新增設備成功¶
• 在「訊息通知 > 通知項目」可查看設備狀態:綠 → 橘:系統運作正常 → 正常連線,但設備狀態裡的其他設備狀態為 off,例如:AP 或是交換器。綠 → 黃:系統運作正常 → 10~20 分鐘沒有和 server 連線。黃 → 紅:10~20 分鐘沒有和 server 連線 → 20 分鐘以上沒有和 server 連線。黃 → 橘:10~20 分鐘沒有和 server 連線 → 正常連線,但設備狀態裡的其他設備狀態為 off,例如:AP 或是交換器。紅 → 綠:20 分鐘以上沒有和 server 連線 → 系統運作正常。紅 → 橘:20 分鐘以上沒有和 server 連線 → 正常連線,但設備狀態裡的其他設備有狀態是 off 的。灰 → 綠:從沒有和 server 連線過 → 系統運作正常
圖 43. 圖2-36 設備狀態切換燈號解釋¶
• 解除綁定雲端管理服務在【雲端管理服務】中點選「解除綁定」雲端管理服務,此台設備就會脫離雲端管理的機制。
圖 44. 圖2-37 解除綁定雲端管理服務¶
解除綁定後會顯示此設備尚未與 EyeCloud 綁定。
圖 45. 圖2-38 此設備尚未與 EyeCloud 綁訂¶
2-11、SSL 憑證設定¶
網路傳輸資料仰賴 SSL 加密協議,NG-UTM 也是一樣,大量利用 SSL 協議,在 SSL 加密過程需要用到憑證去辨識真偽。一般而言,SSL 憑證有 Server 憑證、Root 憑證跟中繼憑證,不論是跟合法憑證機構申請或是自己簽署的憑證,匯入操作端的電腦後,操作者的電腦就不會出現憑證錯誤的警示字眼。憑證的來源有 3 個,一個是申請合法憑證並使用【匯入 SSL 憑證】的方式匯入,另一個是在【SSL 憑證設定】選擇自行輸入,建立自己私有 SSL 憑證,最後一個是使用 Let’s Encrypt 憑證,Let’s Encrypt 憑證為免費發放合法憑證,但缺點是每 6 個月要重新更新一次。1、自己私有 SSL 憑證在【SSL 憑證設定】中選擇自行輸入,建立自己簽署的私有憑證,建立完成後可以下載並匯入操作者的電腦。以下為設定範例:二碼國碼:TW州/省別:L7FW所在城市:TC組織名稱:L7FW單位名稱:L7FW網站名稱:www.common.com申請人員Email:help@common.com輸入完畢後,下載 server.csr 檔案,並將它匯入瀏覽器,完成後在瀏覽器的檢視憑證區可以看到下圖資訊。
圖 46. 圖2-39 檢視瀏覽器憑證¶
2、匯入 SSL 憑證除了自己簽署的伺服器憑證外,也可以匯入跟外部簽署機構申請的憑證,這裡面就只有 Server 憑證跟中繼憑證 2 種。3、Let’s Encrypt憑證Let’s Encrypt 是合法的憑證發放單位,NG-UTM 可以把申請的動作簡化,管理者只要提出申請並在 DNS 伺服器上搭配設定就可以。Let’s Encrypt 每次發放有效憑證時間為 6 個月,在憑證到期前自動延期。
圖 47. 圖2-40 申請憑證¶
【使用的憑證網域】:輸入申請的網域名稱,按下【申請憑證】系統就會自動向 Let’s Encrypt 提出申請。【TXT 紀錄】:申請成功後,Let’s Encrypt 會送出 TXT 值,管理者必須在 DNS 伺服器上加入一筆 TXT 紀錄,以上面範例 TXT 名稱為,並在名稱上填入 TXT 值。
當 Let’s Encrypt 驗證 TXT 後,合法憑證就能使用。
2-12、不斷電系統¶
為了避免 NG-UTM 因為臨時的斷電,導致主機板或是儲存媒體(如硬碟等)故障,造成設備的損毀,系統支援不斷電系統 (UPS),萬一停電後,且不斷電系統的電源低於設定值,系統會自動進入關機程序,保護裡面儲存的資料。
2-12-1、不斷電系統¶
NG-UTM 跟不斷電系統有 3 種連線方法,SNMP、USB 跟支援網路功能的 UPS 設備。採用 USB 跟支援網路功能的 UPS 連線時,系統會列出 ShareTech 驗證的廠牌跟型號,選擇 SNMP 則用 SNMP 協定跟 UPS 溝通。SNMP 目前支援 3 種協議分別是 SNMP v1 / v2c / v3。• 設定先在【連接模式】中選擇運作模式,每種運作模式的設定都不一樣。
圖 48. 圖2-41 USB 連接設定¶
1. USB 連接模式防火牆透過自己的USB介面和UPS連接【型號】:選擇 UPS 的型號。· 自動:系統自動跟設定的 IP 位址溝通,溝通後的型號會列在【UPS 資訊】中。· 自訂:從 ShareTech 驗證過的型號中選取,目前有 5 個 UPS 型號驗證過。【電池低電量】:當電池的電量低於設定值,預設值是 80%,系統就會進入安全模式,此時會中斷對外備份的機制,並且在設定的分鐘數後進入關機程序。【電池電量下限】:當不斷電系統的電池少於設定值,系統直接進入關機程序。【若為高可用性模式下】:在 HA 模式下,通知另外一台設備要同步執行關機動作。2. SNMP v1 連接模式【UPS 設備 IP】:輸入不斷電系統的 IP 位址及埠號,系統會使用 SNMP v1 協議自動跟不斷電系統溝通,溝通後的訊息會出現在【UPS 資訊】中。3. SNMP v2c 連接模式【UPS 設備 IP】:輸入不斷電系統的 IP 位址及埠號。【存取 SNMP 服務的帳號】:輸入不斷電系統設定的 SNMP v2c 帳號,系統會使用 SNMP v2c 協議自動跟不斷電系統溝通,溝通後的訊息會出現在【UPS 資訊】中。4. SNMP v3 連接模式【UPS 設備 IP】:輸入不斷電系統的 IP 位址。【存取 SNMP 服務的帳號】:輸入不斷電系統設定的 SNMP v3 帳號,系統會使用 SNMP v3 協議自動跟不斷電系統溝通,溝通後的訊息會出現在【UPS 資訊】中。【認證用密碼】:SNMP v3 驗證帳號時使用的密碼,驗證密碼的方式有 SHA 跟 MD5 二種,這些資料都要跟 UPS 主機設置的一樣。【傳輸用密鑰】:SNMP v3 在資料傳輸使用的加密密碼,加密模式有 DES 跟 AES 二種,這些資料都要跟 UPS 主機設置的一樣。5. 網路不斷電系統伺服器連接模式防火牆透過IP和埠號連到不斷電系統伺服器【型號】:選擇 UPS 的型號。· 自動:系統自動跟設定的 IP 位址溝通,溝通後的型號會列在【UPS 資訊】中。· 自訂:從 ShareTech 驗證過的型號中選取,目前有 5 個 UPS 型號驗證過。【伺服器 IP 位址/埠號】:輸入不斷電系統的 IP 位址及埠號,系統會自動跟不斷電系統溝通。• 網路不斷電系統伺服器在 USB 及 SNMP 模式下,NG-UTM 還可以當不斷電設備跟其他設備的溝通媒介,把不斷電系統的資訊,透過網路轉給網路上的設備使用。【啟用】:預設不啟用這項功能,整台 UPS 只給本機使用。【終端設備 IP 位址】:需要這項服務的設備端 IP 位址,當 UPS 低電量時發送通知過去。【等待關機時間】:遠端設備關機需要多少時間。NG-UTM 會等待這個時間後才會進入關機程序。【Ping Timeout】:NG-UTM 跟遠端設備用 ICMP (PING) 的動作確認設備是否存活。
2-12-2、UPS 日誌¶
系統跟 UPS 溝通的紀錄,包含時間及發生的事件。 如下圖
2-13、CMS¶
CMS (Central Management System) 簡單來說,只要把中心端的設備設成 CMS Server 端,就可以管理所有外點的 NG-UTM。CMS 跟雲端管理服務雖然都是提供類似的設備管理功能,運作上還是有點不一樣。1. CMS 需要中心端有固定 IP 位址或是用 DNS 的固定網名,目的是讓遠端的用戶端能夠找到伺服器端。2. CMS 的中心端需要有硬碟的 NG-UTM 設備。3. CMS 只能管理 NG-UTM,不能管理 ShareTech 的其他設備,例如:郵件伺服器。ShareTech CMS 功能,具備遠端組態設定的必要功能:包括系統參數資料的備份、資料回存及設備軔體更新等,使中心端(總部)管理人員可以依照自己的需求或預設的排程來集中管理遠端多台設備,甚至透過 Log (日誌)功能更可詳實記錄所監控設備產品發生之相關事件(events),追蹤設備的最新使用狀態。CMS 系統的示意圖如下 ,每個地方的 NG-UTM 都會向總部彙整它目前的狀態、設定檔,總部的管理者就可以由總部的 NG-UTM 掌握到所有外點的即時狀態並可以介入管理。
圖 49. 圖2-42 CMS 示意圖¶
2-13-1、CMS 基本設定¶
每一台 UTM 防火牆的 CMS 系統都可以扮演成 Client 端或是 Server 端,而如果本身沒有硬碟,則只能扮演成 Client 端。• CMS 基本設定【啟用】:是否啟用 CMS 功能。【模式】:CMS 運作模式是 Client 或 Server,選擇不同模式其設定項目也不同,以下分別說明。1. 設為 Client 端CMS 運作原理相當簡單,設為 Client 端的設備會定時跟 Server 端傳送訊息並賦予 Server 端管理權限。
圖 50. 圖2-43 CMS 設為 Client 端¶
【伺服器】:CMS Server 端的域名或是 IP 位址,必須在網際網路上能夠找到的域名或是 IP 位址。【名稱】:Client 端在 Server 端顯示的名稱,例如:UTM-台北。【更新時間】:間隔多久向 Server 端更新資料,設定值為 1~30 分。【管理者帳號】:Client 端賦予 Server 端的管理者權限,Server 端的管理者就是用這個帳號登入 Client 端設備,若沒有指定管理者,則無法透過 CMS 進入管理介面。詳細的管理者權限請參照「系統設定 > 2-3、管理員 」設定。【出口介面】:使用哪個出口線路向 Server 端回報,系統會自動列出所有的出口線路讓管理者選擇。2. 設為 Server 端將此設備設定成 Server 端,也會紀錄 Client 端送出資料,因此管理者只要管理 Server 端就可以管理所有的設備。
圖 51. 圖2-44 CMS 設為 Server 端¶
當 CMS 的伺服器端,啟用定期備份 Client 的設定檔,備份的時間可以自訂週期。備份後,萬一 Client 故障或是設定錯誤,都可以透過 CMS 伺服器還原之前的設定。【啟用】:啟用備份 Client 端設定檔功能。【自動備份時間】:週期性地備份資料,週期越短系統的負荷越大。【備份保留數量】:備份的設定檔要存幾份,一般來說 5 份就已經足夠,份數越多占的儲存空間越大。
2-13-2、CMS 監控狀態¶
1、接受 Client 端每個 Client 端設定成功後對 CMS Server 端發送接管請求,Server 端的管理者選擇接受後,CMS Server 端才會開始處理這一個 Client 的資料。
圖 52. 圖2-45 接受新的 Client 設定¶
2、管理 Client 端每個 Client 可分成不同的群組,Server 端會即時地顯示目前設備的狀態。
圖 53. 圖2-46 Client 列表¶
【狀態】:以顏色區分,綠色代表 Client 端有定時地按照設定的時間跟 Server 端回報,橘色代表這個設備超過 3 次沒回報資訊,
紅色代表這個設備屬於斷線階段,灰色代表沒有任何更新的資料。【名稱】:Client 端設定的名稱,預設是以 Client 端為主,但 Server 端可以依據自己的需求更改任何名稱。【型號】:Client 端的型號。【IP】:Client 端目前的 IP 位址。【即時監控】:按下圖示之後,就可以利用 Client 端賦予的管理者權限,進入 Client 端的 WEB 管理畫面,空白代表 Client 端沒有授予 Server 端管理權限。【備份】:目前儲存在 Server 端的設定檔備份份數,括弧內的就是份數,點選後就可以查看異動的資訊或是執行還原設定的動作。【自動備份】:是否有啟動自動備份設定檔功能。【動作】:修改 / 刪除 Client 端的設定。當按下按鈕後,就可以修改 Client 端的顯示資訊:
圖 54. 圖2-47 修改 Client 資訊¶
〖型號 / MAC 位址〗: Client 端的型號及 MAC 位址,這 2 個訊息不能更改。〖名稱〗:Client 端設定的名稱,預設是以 Client 端為主,但 Server 端可以依據自己的需求更改任何名稱。〖群組〗:這個 Client 端是歸類在哪一個群組下,選擇已經建立的群組或是自訂,選擇自訂時,在後面的空格中填入要新增的群組名稱。〖自動備份〗:是否要啟用自動備份設定檔功能。【記錄】:分成連線跟控制 2 種,連線是指 Client 端跟 Server 端的通聯紀錄,控制是由 Server 端下了哪些控制命令給 Client 端。【群組收合】:管理者可以按下【群組收合】的按鈕,切換群組間的顯示訊息。【立即備份】:選定 Client 端後,按下【立即備份】按鈕,立刻執行備份的動作。• 備份 → 備份清單CMS 系統最大的好處是可以自動且定時地將 Client 端設定檔備份下來。
圖 55. 圖2-48 備份清單-自訂備份還原設定¶
【備份時間】: 何時備份這個設定檔。【軟體版本】: Client 端備份時的版本。【立即還原】:還原 Client 端的設定檔 能夠快速地將 Client 端的設備還原到指定狀態,在還原時還可以指定時間執行。
在備份清單中選擇要還原的時間點備份下來的設定檔。
在【立即還原】按下【還原】按鈕,則 Server 端會將選擇備份的設定檔送到 Client 端設備。
【下載】:按下圖示後將這一個設定檔下載到本地端。【刪除】:刪除這筆紀錄。【記錄】:查看這個備份檔被修改了哪些設定。