第4章管制條例¶

管制條例是整個 NG-UTM 的精隨，每一個進出 NG-UTM 的網路封包，包含 IPSec VPN 通道、IP Tunnel 、PPTP 跟 SSL VPN 等加密的通道，

除了劃分給 SDN 控制器管理的實體 Port 外，通通在這裡控制。

每一個封包進出介面時，會從第一條逐條比對是否符合管制規則，當封包的條件符合某條管制規則中的 基本設定 時，就會按該管制規則的設定讓它通過或丟掉， 且不會再向下 與其他的管制規則進行比對。

當封包比對到最後一條管制規則，仍然無法符合任何管制規則時，該封包就會被禁止。

因為封包的比對是從第一條管制規則開始逐條比對，所以條例的先後順序就會影響整個運作。

管理者在設定時必須要確認想管制的目標是否有進入相對應的管制規則中，NG-UTM 提供封包的通聯跟統計機制，

通聯記錄讓管理者可驗證封包是否在符合管制規則時進入或者出去，只要點選此條管制規則上的統計，NG-UTM 就會開啟新視窗顯示這個條例所有的進出封包。

每一條管制規則包含 3 個部分「基本設定」、「進階設定」與「防護設定」，用較白話的方式解釋：

· 基本設定：哪些人從哪裡來，走哪一條路到哪裡。

· 進階設定：檢查攜帶的東西。

· 防護設定：要不要保鑣保護。

對於 IPSec VPN 通道來說，應用在 Site-to-Site VPN 場景，所以管制規則相對來說簡單一些，只包含「基本設定」、「進階設定」。

Tip

影片參考｜眾至NU系列 UTM教學虛擬伺服器說明與範例、mapping說明與範例

4-1、管制規則¶

一進入管制規則，NG-UTM 會把目前已經建立完成的管制規則列出來，預設會顯示每一個介面的所有管制規則，

每一頁共會顯示 16 條條例，管理者可以指定查看某介面的管制規則。

管制規則有 4 個頁籤，分別是 Outgoing、Incoming、Advance 跟 SYN 防護，每個頁籤的說明如下：

· Outgoing ：內部對外部的管制規則。

在 IP 位址轉換時只有 Routing 跟 NAT 可以選擇，Routing 是在 ZONE 對 ZONE 才會用到，一般上網通常使用 NAT 模式。

· Incoming：外部對內部的管制規則。

在 IP 位址轉換時只有 IP 對應、Port 對應跟伺服器對應，這些對應機制都是要將封包導入內部時會用到。

· Advance：進階版的管制規則，沒有內外之分，由管理者決定封包的進、出規則。

在 IP 位址轉換時就有所有的規則可以選擇，包含 Routing、NAT、IP 對應、Port 對應跟伺服器對應。

· SYN 防護：提供 SYN 攻擊防護機制，確定連線為真後才會將它傳給後端的伺服器。因為處理階段在建立連線之前，因此優先權最高。

在 IP 位址轉換時只有 IP 對應、Port 對應跟伺服器對應，因為主要是阻擋外面對內部伺服器的不正常連線。

當頁籤中的管制規則有衝突時，優先權如下：

內部出去的規則：Outgoing < Advance

外部進入的規則：Incoming < Advance < SYN

Tip

影片參考｜眾至NU系列 UTM教學內外條例檢視說明與範例

• 圖示說明：

在管制規則上，會用圖示說明該條條例執行的工作，方便管理者快速辨識，圖示的說明如下：

圖示	名稱	說明
	頻寬管理	頻寬管理功能已開啟。
	時間排程	啟動時間表，在設定時間範圍內自動執行條例。
	URL管制	URL 管制功能已開啟。
	應用程式	管理哪一些應用程式，如 web、ftp、skype 等。
	掃毒管制	WEB、FTP 掃毒。
	認證	需登入帳號、密碼，才可上網連線。
	IPS	入侵偵測防禦。
	紀錄管制	HTTP、郵件的紀錄。
	電子白板	使用者必須看過電子白板的內容。
	指定閘道	從哪一個閘道走。
	防護	啟用防火牆防護。
	任何協議	任何協議包含 tcp/udp/icmp 等。
	tcp	tcp 通訊協議。
	udp	udp 通訊協議。
	icmp	icmp 通訊協議。
	允許	NAT 運作模式，允許符合該管制條例的封包進出。
	拒絕	拒絕符合該管制條例的封包進出。
	暫停	暫停該管制條例的運作。
	啟動	啟動該管制條例的運作。
	修改	修改該管制條例的內容。
	刪除	刪除該管制條例。

• 管制規則顯示頁面說明

進入管制規則時，NG-UTM 會列出所有的管制規則，IPV4 跟 IPV6 的管制規則會分開列出，NG-UTM 預設顯示 IPV4 的管制規則，

如果要切換成 IPV6 的管制規則，則在主選單上方點選 IPV6，整個管制規則就會切換成 IPV6 模式。

不論 IPV4 或是 IPV6，在這個頁面可讓管理者調整的項目如下：

圖 81. 圖4-1 管制規則列表¶

【優先權】：NG-UTM 會從第一條 IPSec 管制規則開始執行，所以比對順序對於網路封包的通過與否有關鍵性的影響，數字越小表示越優先。

【啟用】：管制規則的暫停跟啟用按鈕，點選此處圖示後可以將原本啟用的管制規則暫停，原本暫停的改為啟用。

【NAT】：IP 位址轉換的運作模式，空白代表 Routing 模式，DST 代表 Port 對應，SRC 代表 IP 對應。

【進階設定】：管制規則套用的進階管制項目。

【編輯/刪除】：修改或是刪除此條管制規則。

【統計】：每條管制規則進出的封包數量跟流量，暫停跟重新啟用都會把數值歸零，點選數字後，會出現符合這一個規則的所有網路封包詳細的進出記錄。

當管理者在找尋網路問題或想確認設定的目標是否有進入管制規則中，此時就可以利用 NG-UTM 提供的網路封包即時通聯功能，

點選管制規則上【統計】欄位的數字，NG-UTM 會把進出的網路封包擷取並開啟一個新的視窗讓管理者觀察。（圖4-2）

【更新】：立即更新管制條例的列表。

【刪除所有規則】：把所有的管制規則刪除，回到 NG-UTM 初始的狀態。

【計數器歸零】：把所有管制規則上【統計】欄位的數字通通歸零，重新計算。

【顯示來源網路介面】：選擇要查看的網路介面管制規則，網路介面包含實體網路介面 (ZONE 0，1..)、PPPoE、IP Tunnel、PPTP 跟 SSL VPN。

預設為顯示全部的網路介面。

• 管制規則的封包通聯記錄

圖 82. 圖4-2 管制規則的封包通聯記錄¶

【自動更新】：NG-UTM 每隔 3~30 秒，就會自動更新封包的通聯記錄，方便管理者觀察。

【清除】：把通聯記錄的資料全部清除掉，重新記錄跟顯示。

【時間】：封包通過的時間。

【來源 IP/Port】：通過管制規則的來源 IP 位址跟 Port。

【目的 IP/Port】：通過管制規則的目的 IP 位址跟 Port。

【通訊協定】：通過管制規則的通訊協定，有 TCP/UDP/ICMP 三種協定。

【封包大小】：這一個連線的封包大小，單位為 Bytes。

【出口線路】：封包由內到外走的線路出口，如果顯示為【-】，表示是對方 TCP 回傳的封包。

• 管制規則的組合

每條管制規則由 3 個部分組合而成，分別是基本設定、進階設定跟防護設定，除了基本設定區的資料必填，另外 2 個區域的設定由管理者自行決定配置。

4-1-1、Outgoing¶

內部對外部的網路都在這裡管制，內部 ZONE 對 ZONE 的管制則在 Advacne 中設定。

點選管制規則的編輯圖示後，即可進入設定畫面，修改基本設定、進階設定及防護設定。

Outgoing 基本設定¶

每個管制規則的來源跟目的都在基本設定中定義，為了增加管理的方便性跟閱讀便利，管理者可以事先在【管理目標】中事先定義位址表、服務表跟應用程式，方便選擇套用。

除了網路介面需要事先規劃外，其他的部分都有自訂方式讓管理者直接填入，例如：IP 位址、網路 Port 等。

圖 83. 圖4-3 管制規則的基本設定¶

【管制條例名稱】：管制規則的名稱，方便管理者辨識，可輸入任何中英文字，例如：禁止上網。

【來源介面】：NG-UTM 是以 ZONE 為管理基礎，每個進出 ZONE 的網路封包都可以管理跟控制。

因為是 Outgoing 的管制，可以選擇的 ZONE 應該為內部要出去的介面，包含內部的 ZONE、PPTP、L2TP 跟 SSL VPN 的用戶端。

網路介面分成實體介面跟虛擬介面 2 種，管理者在「網路設定 > 網路介面」中增加的實體介面、PPTP、L2TP 跟 SSL VPN 等都會自動加入在來源介面的選項中。

【出口線路 / IP 位址轉換】：參考下一個段落 Outgoing 基本設定 > 出口線路跟 IP 位址轉換說明。

【通訊協定】：通訊協定共有 4 個選項，全部、TCP、UDP 跟 ICMP，選擇此管制規則想要管制的通訊協定是屬於哪一個類型，預設為全部。

【來源網路】：符合管制規則的來源 IP 位址，針對介面 (ZONE) 來說，就是從 NG-UTM 內部出去的 IP 位址。

有 2 種模式讓管理者選擇，選項模式跟自訂模式，預設為選項模式。

· 選項模式 ：系統會自動把下列幾種來源 IP 位址加入，讓管理者選擇。

A、在「網路設定 > 網路介面」中定義的內部 ZONE。

B、在「管理目標 > 位址表」中建立的位址表或是群組。

C、在各類 VPN 中分配的 IP 位址，包含 PPTP 伺服器、SSL VPN 及 L2TP 等分配給遠端用戶的 IP 位址。

· 自訂模式 ：管理者直接填入來源的 IP 位址或是 MAC 位址。

【目的網路】：要到達的目的 IP 位址，對 Outgoing 管制規則就是外部網路的 IP 位址，有 2 種模式讓管理者選擇，選項模式跟自訂模式，預設為選項模式。

· 選項模式 ：系統會自動加入在「管理目標 > 位址表」中已建立的位址表或是群組，讓管理者選擇。

· 自訂 IP 位址模式 ：管理者直接填入來源的 IP 位址或是 MAC 位址。

Note

相同介面 (ZONE) 的不同來源跟目的 IP 位址，NG-UTM 不會管制，它的運作行為類似交換器的橋接功能，只有進、出介面 (ZONE) 的網路封包才會套用管制規則。

【來源通訊埠群組】：限制的來源通訊埠，共有 3 種可以選擇，預設服務表、自訂服務群組或是直接輸入 port，

NG-UTM 會把常用的服務表列出，例如：HTTP、FTP 等，為了簡化管制規則數量，可把眾多服務整合在一個服務群組，

這些都需要在「管理目標 > 服務表」事先定義，定義好的管理目標就會出現在選項中，若選擇【使用者自訂】則在後面空格中自行填入 Port。

note

使用注意！

在 IPV4 的環境下，大量使用 PAT 技術，所以來源 Port 通常不固定，有可能是 1~65535 中任何一個，

所以使用時請特別注意是不是要特別指定來源通訊埠，當管理者沒有指定任何群組時，預設值為全部的通訊埠。

【目的通訊埠群組】：限制的目的通訊埠，共有 3 種可以選擇，預設服務表、自訂服務群組或是直接輸入 port，

NG-UTM 會把常用的服務表列出，例如：HTTP、FTP 等，為了簡化管制規則數量，可把眾多服務整合出一個服務群組，

這些都需要在「管理目標 > 服務表」事先定義，定義好的管理目標就會出現在選項中，若選擇【使用者自訂】則在後面空格中自行填入 Port。

note

使用注意！

在 IPV4/IPV6 的環境下，目的 Port 就是要管制的網路服務，例如只允許 HTTP 進入，則這裡就需要填入 HTTP，當管理者沒有指定任何群組時，預設值為全部。

【動作】：符合上述比對的封包該如何處理，可以選擇允許或拒絕；允許表示讓封包通過，拒絕則是將封包丟棄。

note

使用注意！

如果要使用進階設定中的功能，例如 IPS、URL 管制等，在【動作】上必須為允許，否則封包會被丟棄，當然就無法進入進階設定中。

Outgoing 基本設定 > 出口線路跟 IP 位址轉換¶

【出口線路】：符合比對的封包，要送到哪個閘道器。

管理者必須事先在「網路設定 > 路由管理 > 出口線路」或是「出口線路群組」中設定，每個設定在【出口線路】或是【出口線路群組】的路由都會列出讓管理者選。

NG-UTM 的預設值為「Default」，所有的網路封包會送到【預設閘道】中；

管理者在「網路設定 > 網路介面 > 網路介面設定」中勾選【定義為外部網路】，這一個 ZONE 上設定的 IP 位址就會是 Default。

【IP 位址轉換】：對於進出介面的封包要執行 NAT/PAT 或是單純的 Routing 動作，在此處設定，詳述如下：

1、Routing

選擇 Routing 模式，進出介面封包的來源 IP 位址不會被改變，此時就是一個單純的 Layer 3 的路由器，再搭配來源及目的 IP 位址管制動作，是標準 Layer 3 核心交換器的功能。

2、NAT

封包出去介面時轉換成哪個 IP 位址，基本上使用 PAT (Port Address Translation) 技術。

· 出口線路選擇「Default」，系統在執行 PAT 時自動選擇轉換 IP 並將所有的轉換 IP 位址列出，管理者想要指定轉換 IP 時就不能使用「Default」。

· 出口線路選擇是特定的閘道，執行 NAT 動作時，管理者可以自行選擇哪一個 IP 位址要被當成 PAT/NAT 的來源位址轉換。

例如：在「網路設定 > 出口線路 > 介面位址」中設定 IP 位址 192.168.100.0/24，則這裡可以設定的 IP 位址是 192.168.100.0-192.168.100.254 其中一個。

· 出口線路選擇的是出口線路群組，則管理者可以分別指定每個出口線路要用哪一個 IP 位址當作 PAT/NAT 的來源位址。

圖 84. 圖4-4 多個出口線路的 PAT/NAT 設定¶

Tip

影片參考｜眾至NU系列 UTM教學內對外負載平衡與範例

Outgoing 進階設定¶

對於符合【基本設定】規則且【動作】設定為允許的網路封包，NG-UTM 可以進行更進階的動作，包含時間表、IPS 跟掃毒等，

每一個項目都需要事先在相對應的【管理目標】中設定，整個管制規則才會生效。

圖 85. 圖4-5 管制規則進階設定¶

tip

每個項目都有一個選項【新增】，當要設定的內容不在選項中，點選【新增】系統就會自動開啟新的頁面讓管理者快速新增管理項目。

例如：選項中沒有想選擇的位址表，此時選【新增】，系統就會開新的視窗讓管理者新增位址表，而不用切換到「管理目標 > 位址表」設定。

【時間表】：可直接在選項中點選新增，或前往「管理目標 > 時間表」設定。

建立要管制的時間表，整個條例只有在時間表內才會有效，時間表外則無效。

【頻寬管理】：可直接在選項中點選新增，或前往「管理目標 > 頻寬管理」設定。

建立要管制的頻寬，整個條例每秒使用的流量會被限制。

【應用程式管制】：可直接在選項中點選新增，或前往「管理目標 > 應用程式管制」設定。

建立要管制的應用程式，套用後設定的應用程式就會被阻擋或是限制使用的頻寬。

【每個來源 IP 能使用的最大連線數】：預設是 0，代表不管制，當設定最大連線數後，符合這個管制條例的每個來源 IP 位址能使用的最大連線數就會被限制。

【上網認證】：可直接在選項中點選新增，或前往「管理目標 > 上網認證」中建立認證群組。

套用後，來源 IP 位址要到目的 IP 位址，都會彈跳出認證視窗，要求使用者認證。

【電子白板】：可直接在選項中點選新增，或前往「管理目標 > 電子白板」中設定使用者群組。

套用後，來源 IP 位址要到介面外時，會自動跳出電子白板訊息讓使用者確認。

【URL 管制】：可直接在選項中點選新增，或前往「管理目標 > URL 管理」中設定黑名單跟白名單。

套用後，黑名單的 URL 會被拒絕，白名單則允許通過。

【IPS】：可直接在選項中點選新增，或前往「管理目標 > IPS 設定」中建立群組。

套用後，這個條例的封包就會進入 IPS 特徵值中比對，由 IPS 設定比對符合的封包是記錄還是阻擋。

【DNS Filter】：可直接在選項中點選新增，或前往「管理目標 > DNS Filter」設定。

DNS Filter 的管制來源有 2 個，一個是 Sandstorm 另一個是自訂，這個機制可以阻擋惡意程式跟木馬網址。

【流量配額/天 (每個來源 IP)】：這個條例中的每個來源 IP 位址能使用的上、下載量，預設值為 0，代表不限制。

設定上、下載限制時，當配額使用超過，就由【配額用完後動作】中設定的動作處理。

【配額用完後動作】：超過配額後，後續的封包要拒絕或是繼續執行下一條。

· 拒絕：超過配額的封包就全部丟棄，同時使用者的網頁會出現【網頁阻擋訊息】中設定的文字。

· 繼續執行下一條：超過配額的封包進入下一條比對，由下一個管制條例處理。

【網頁阻擋訊息】：超過配額後，使用者的網頁就會出現訊息，通知他不能再繼續使用網路的原因。

【WEB(S)】：共有 2 個選項，掃毒跟紀錄。

掃毒會對所有通過的 http / https 封包執行掃毒的動作；記錄則會記錄下 http/https 的網頁瀏覽紀錄。

NG-UTM 內建 ClamAV 掃毒引擎是啟動的，Kaspersky 掃毒引擎則需要事先上傳授權碼。

WEB 記錄不需要事先設定，啟動就生效，會記錄所有通過 NG-UTM 的 WEB 協定中 URI，不論是 http 或是 https 都會被記錄下來。

要讓 NG-UTM 記錄 https 的 URI 有一個前置動作，也就是要讓每一個要被記錄的使用者先匯入 NG-UTM 的 SSL 憑證，

此憑證存放的位址是 https://NG-UTM 管理IP/myca.crt ，IE / Chrome 瀏覽器均會自動執行此一憑證，

而 Firefox 會自行管理憑證，因此使用 Firefox 時，需要再輸入一次，並將它的三個選項全部啟用。

可參考 6-7、WEB 服務。

【SMTP 記錄】：在「郵件管理 > 10-1-1、郵件過濾及記錄」中先設定要執行的項目，有掃毒、郵件稽核、垃圾郵件過濾、郵件備份等功能，每個功能可以單獨啟用或是全選。

啟用掃毒、郵件稽核、垃圾郵件過濾這 3 項功能時，還需要到【郵件管理】的【郵件掃毒】、【垃圾郵件過濾】跟【郵件稽核】項目中分別設定。

【POP3 記錄】：需要在「郵件管理 > 郵件過濾及記錄」中事先設定【收信的郵件掃毒、郵件稽核、垃圾信過濾、備份】要執行的項目，

有掃毒、郵件稽核、垃圾郵件過濾、郵件備份等功能，每個功能可以單獨啟用或是全選。

note

對於【WEB (S)】、【SMTP 記錄】、【POP3 記錄】這 3 項功能是整台 NG-UTM 都套用同一套規則，無法根據每一個介面客製化規則，

所以管理者只能選擇啟用或是關閉，啟用後在這一個條例都是套用相同的機制。

Outgoing 防護設定¶

對於進入介面的封包，要不要提供防火牆的保護。

每一個管制規則都可以設定防火牆保護，但是整台 NG-UTM 只有一種防護能力的配置，防火牆的防護能力配置是在「管理目標 > 防火牆功能」中設置。

圖 86. 圖4-6 管制規則的防護¶

4-1-2、Incoming¶

所有從外面進入內部 ZONE 的管制，可以在此設定，例如：內部有一台 ERP 伺服器欲讓外面的人可以存取。

點選管制規則的編輯圖示後，即可進入設定畫面，修改基本設定、進階設定及防護設定。

Incoming 基本設定¶

IP 位址轉換有三種運作模式，IP 對應、Port 對應、伺服器負載，每一個動作都有不同的目的，

簡單來說 IP 對應就是一對一的 IP 位址對應關係，Port 對應跟伺服器負載是一對多的 IP 位址對應關係。

【管制條例名稱】：管制規則的名稱，方便管理者辨識，可輸入任何中英文字，例如：ERP 伺服器。

【來源介面】：NG-UTM 是以 ZONE 為管理基礎，每個進出 ZONE 的網路封包都可以管理跟控制。

因為這是 Incoming 的管制，可以選擇的 ZONE 應該為外部要進來的介面，系統會將所有的外部網路介面列出，讓管理者選擇。

【 IP 位址轉換】：參考下一個段落 Incoming 基本設定 > IP 位址轉換說明。

【通訊協定】：通訊協定共有 4 個選項，全部、TCP、UDP 跟 ICMP，選擇管制規則想要管制的通訊協定是屬於哪一個類型，預設為全部。

【來源網路】：符合管制規則的來源 IP 位址，針對介面 (ZONE) 來說，就是從外面要進來 NG-UTM 的 IP 位址。

有 2 種模式讓管理者選擇，選項模式跟自訂模式，預設為選項模式。

· 選項模式 ：系統會自動加入在「管理目標 > 位址表」中已建立的位址表或是群組，讓管理者選擇。

· 自訂模式 ：管理者直接填入來源的 IP 位址或是 MAC 位址。

【目的網路】：對 Incoming 管制規則就是內部網路的 IP 位址，有 2 種模式讓管理者選擇，選項模式跟自訂模式，預設為選項模式。

· 選項模式 ：系統會自動把下列幾種來源 IP 位址加入，讓管理者選擇。

A、在「網路設定 > 網路介面」中定義的內部 ZONE。

B、在「管理目標 > 位址表」中建立的位址表或是群組。

· 自訂 IP 位址模式 ：管理者直接填入來源的 IP 位址或是 MAC 位址。

【來源通訊埠群組】：限制的來源通訊埠，共有 3 種可以選擇，預設服務表、自訂服務群組或是直接輸入 port，

NG-UTM 會把常用的服務表列出，例如：HTTP、FTP 等，為了簡化管制規則數量，可把眾多服務整合出一個服務群組，

這些都需要在「管理目標 > 服務表」事先定義，定義好的管理目標就會出現在選項中，若選擇【使用者自訂】則在後面空格中自行填入 Port。

note

使用注意!

在 IPV4 的環境下，大量使用 PAT 技術，所以來源 Port 通常不固定，有可能是 1~65535 中任何一個，

所以使用時請特別注意是不是要特別指定來源通訊埠，當管理者沒有指定任何群組時，預設值為全部的通訊埠。

【目的通訊埠群組】：限制的目的通訊埠，共有 3 種可以選擇，預設服務表、自訂服務群組或是直接輸入 port，

NG-UTM 會把常用的服務表列出，例如：HTTP、FTP 等，如果管理者為了簡化管制規則數量，把眾多服務整合出一個服務群組，

這些都需要在「管理目標 > 服務表」事先定義，定義好的管理目標就會出現在選項中，若選擇【使用者自訂】則在後面空格中自行填入 Port。

note

使用注意!

在 IPV4/IPV6 的環境下，目的 Port 就是要管制的網路服務，例如：只允許 HTTP 進入，則這裡就需要填入 HTTP，

當管理者沒有指定任何群組時，預設值為全部。

【NAT】：勾選後，這個條例的來源 IP 位址會被換成內部的 IP 位址，通常是此內部介面上綁定的 IP 位址。

使用時機：內部伺服器會管制來源 IP 位址，只開放給內部使用，當需要讓外部的人使用時，除了改變內部伺服器的管制規則，另一種方法就是在條例中勾選【NAT】。

【動作】：符合上述比對的封包該如何處理，可以選擇允許或拒絕；允許表示讓封包通過，拒絕則是將封包丟棄。

note

使用注意!

如果要使用進階設定中的功能，例如 IPS、URL 管制等，在【動作】上必須為允許，否則封包會被丟棄，當然就無法進入進階設定中。

Incoming 基本設定 > IP 位址轉換¶

IP 位址轉換有三種運作模式，IP 對應、Port 對應、伺服器負載，每一個動作都有不同的目的，

簡單來說 IP 對應就是一對一的 IP 位址對應關係，Port 對應跟伺服器負載是一對多的 IP 位址對應關係。

1、IP 對應

在「網路設定 > 網路介面 > 外部網路 ZONE > 介面位址」中設定的 IP 位址，轉換成介面內部真正提供服務的 IP 位址，

是 NAT 位址轉換技術的 1 對 1 對應機制。

例如：在「外部網路 ZONE > 介面位址」設定是 192.168.1.200，要對應到內部的 IP 位址是 10.10.1.200，

當介面以外的人訪問 192.168.1.200 的 IP 位址時，所有的網路封包都會被自動轉換到 10.10.1.200 上。

以上述例子，說明設定 IP 對應的方式：

1. 在管制規則的「基本設定 > IP 位址轉換」選擇【IP 對應】後，欄位填入內部 IP 位址 10.10.1.200，

2. 【來源網路】選擇 ANY，若要限制來源網段，可在選單選擇位址表內已設定的 IP 或按下【切換為自訂】按鈕輸入要限制的來源 IP。

3. 【目的網路】選擇已經在「網路設定 > 網路介面 > 外部網路 ZONE > 介面位址」中設定的 IP 位址 192.168.1.200，

或按下【切換為自訂】按鈕，直接輸入外部的 IP 位址。

4. 同時也須勾選【來源介面】，選擇正確的來源介面，就可以讓外面的連線進入。

2、Port 對應

Port 對應是一對多的 NAT 技術，把某一個對外的 IP 位址，根據不同的服務 Port 轉到內部不同的服務主機上。

跟 IP 對應的設定觀念一樣，Port 對應也需要選擇來源介面，不是設定的來源介面無法進入。

理論上，一個合法 IP 位址，最多可分配給內部 65535 個內部 IP 位址。

選擇【Port 對應】並按下修改按鈕後，NG-UTM 會出現一個新的視窗，在此設定的 IP 位址就是內部的 IP 位址及 Port 號。

圖 87. 圖4-7 Port 對應設定¶

例如：在「外部網路 ZONE > 介面位址」定義外部 IP 位址為 192.168.1.200，

伺服器 192.168.1.200 對外提供 3 種服務，WEB、FTP 跟 DNS，

這 3 種服務分別對應到內部不同的主機，10.10.1.200、10.10.1.100 跟 10.10.1.50。

在 Port 對應修改表格的【轉換 IP 位址】上填入：

A、10.10.1.200／轉換目的通訊埠：80

B、10.10.1.100／轉換目的通訊埠：21

C、10.10.1.50／轉換目的通訊埠：53

【轉換目的通訊埠】一般會跟【原始目的通訊埠】一樣，也可以設定成不相同，若設定為不同，從內部使用的 Port 號跟外部使用的 Port 號就不一樣。

另外，在基本設定中：

1. 須勾選【來源介面】，選擇正確的來源介面，就可以讓外面的連線進入。

2. 【來源網路】選擇 ANY，若要限制來源網段，可在選單選擇位址表內已設定的 IP 或按下【切換為自訂】按鈕輸入要限制的來源 IP。

3. 【目的網路】則選擇 IP 位址，依上述範例為 192.168.1.200；

系統會自動把已經設定在【位址表】的 IP 位址列出，也可按下【切換為自訂】按鈕，直接輸入外部的 IP 位址。

Note

WEB 類型的伺服器，NG-UTM 提供 WAF 保護機制，詳細設定請參考第9章 WAF 章節。

3、伺服器負載

NG-UTM 可以執行伺服器負載均衡的任務，也就是把某一個服務，平均分配給內部 2 台以上的設備，並根據設定的權重或服務模式，分配不同的負載給不同的伺服器，

跟 IP 對應的設定觀念一樣，伺服器負載也需要先選擇來源介面，不是設定的來源介面無法進入。

選擇【伺服器負載】並按下修改按鈕後，NG-UTM 會出現一個新的視窗，在此設定哪一些 IP 跟服務執行負載均衡的工作。

下圖範例是把 192.168.1.200 的 WEB 服務，依照權重設定分配給 2 台內部伺服器，分別是 10.10.1.100 跟 10.10.1.200。

圖 88. 圖4-8 伺服器負載均衡¶

1. 首先確認【原始目的通訊埠】，可以選擇服務表中的選項，也可自行填入 TCP Port，

伺服器負載均衡機制是按照每個服務分配負載，所以每一個 Port 就需要新增一筆對應設定。

2. 分配模式有 2 種：依序循環跟依來源 IP，每一種分配方式，都會搭配權重的觀念，分配負載給轉換 IP 位址。

· 依序循環：根據來源的連線要求，分配給後端的 IP 位址。

例如：10.10.1.200 權重 1，10.10.1.201 權重 2，則第 1 個連線給 10.10.1.200，第 2、3 個連線給 10.10.1.201，

第 4 個連線給10.10.1.200，第 5、6 個連線給 10.10.1.201，以此類推。

· 依來源 IP：根據來源 IP 位址分配 IP 位址。

例如：第一個來源 IP 位址分配給 10.10.1.200，第 2、3 個不同來源 IP 位址分配給 10.10.1.201，以此類推。

另外，在基本設定中：

1. 須勾選【來源介面】，選擇正確的來源介面，就可以讓外面的連線進入。

2. 【來源網路】選擇 ANY，若要限制來源網段，可在選單選擇位址表內已設定的 IP 或按下【切換為自訂】按鈕輸入要限制的來源 IP。

3.【目的網路】則選擇 IP 位址，以上述範例就是 192.168.1.200；

系統會自動把已經設定在【位址表】的 IP 位址列出，方便選擇，也可按下【切換為自訂】按鈕，直接輸入外部的 IP 位址。

Incoming 進階設定¶

對於符合【基本設定】規則且【動作】設定為允許的網路封包，NG-UTM 可以進行下列進階動作，包含時間表、IPS 跟 SMTP，

每一個項目都需要事先在相對應的【管理目標】中設定，整個管制規則才會生效。

tip

每個項目都有一個選項【新增】，當要設定的內容不在選項中，點選【新增】系統就會自動開啟新的頁面讓管理者快速新增管理項目。

例如：選項中沒有想選擇的位址表，此時選【新增】，系統就會開新的視窗讓管理者新增位址表，而不用切換到「管理目標 > 位址表」設定。

【時間表】：可直接在選項中點選新增，或前往「管理目標 > 時間表」設定。

建立要管制的時間表，整個條例只有在時間表內才會有效，時間表外則無效。

【頻寬管理】：可直接在選項中點選新增，或前往「管理目標 > 頻寬管理」設定。

建立要管制的頻寬，整個條例每秒使用的流量就會被限制。

【應用程式管制】：可直接在選項中點選新增，或前往「管理目標 > 應用程式管制」設定。

建立要管制的應用程式，套用後設定的應用程式就會被阻擋或是限制使用的頻寬。

【每個來源 IP 能使用的最大連線數】：預設是 0，代表不管制，當設定最大連線數後，符合這個管制條例的每個來源 IP 位址能使用最大的連線數就會被限制。

【IPS】：可直接在選項中點選新增，或前往「IPS > IPS 設定」中建立一個群組。

套用後，這個條例的封包就會進入 IPS 特徵值中比對，由 IPS 設定比對符合的封包是記錄還是阻擋。

WEB 記錄不需要事先設定，啟動就生效，會記錄所有通過 NG-UTM 的 WEB 協定中 URI，不論是 http 或是 https 都會被記錄下來。

要讓 NG-UTM 紀錄 https 的 URI 有一個前置動作，也就是要讓每一個要被記錄的使用者先匯入 NG-UTM 的 SSL 憑證，

此憑證存放的位址是 https://NG-UTM管理IP/myca.crt ，IE / Chrome 瀏覽器均會自動執行此一憑證，

而 Firefox 會自行管理憑證，因此使用 Firefox 時，需要再輸入一次，並將它的三個選項全部啟用。

可參考 6-7、WEB 服務。

【SMTP 記錄】：在「郵件管理 > 郵件過濾及記錄」中先設定要執行的項目，有掃毒、郵件稽核、垃圾郵件過濾、郵件備份等功能，每一個功能可以單獨啟用或是全選。

啟用掃毒、郵件稽核、垃圾郵件過濾這 3 項功能時，還需要到【郵件管理】的【郵件掃毒】、【垃圾郵件過濾】跟【郵件稽核】項目中分別設定。

【WAF】：可參考第9章 WAF 。

note

對於【SMTP 記錄】、【WAF】這 2 項功能是整台 NG-UTM 都套用同一套規則，無法根據每一個介面客制化規則，

所以管理者只能選擇啟用或是關閉，啟用後這一個條例內都是套用相同的機制。

Incoming 防護設定¶

對於進入介面的封包，是否要提供防火牆的保護。

每一個管制規則都可以設定防火牆保護，但是整台 NG-UTM 只有一種防護能力的配置，防火牆的防護能力配置是在「管理目標 > 防火牆功能」中設置。

4-1-3、Advance¶

點選管制規則的編輯圖示後，即可進入設定畫面，修改基本設定、進階設定及防護設定。

Advance 是進階版的管制規則，兼有 Outgoing 跟 Incoming 的功能。

在基本設定中，選擇對應的【IP 位址轉換】，來源介面就會切換成 Outgoing 或 Incoming 的設定項目。

此 5 項設定的應用時機說明如下：

1、Routing ：通常用在內部 ZONE 對內部 ZONE 之間的管制。

2、NAT：通常應用在內部各個 ZONE 要出去外部的管制。

Routing 、NAT 請參考 Outgoing 基本設定 > 出口線路跟 IP 位址轉換。

3、IP 對應：把外部 IP 位址轉到內部特定的 IP 位址，所有的 Port 都會一起轉。

4、Port 對應：把外部 IP 位址的特定 Port 轉到內部 IP 位址的特定 Port 上。

5、伺服器負載：把外部 IP 位址的特定 Port 轉到內部 2 台以上不同 IP 位址的特定 Port，

這 2 台不同內部 IP 位址的主機是做相同的工作，例如：WEB 伺服器。

IP 對應、Port 對應跟伺服器負載請參考 Incoming 基本設定 > IP 位址轉換。

Note

Advance 的優先權高於 Outgoing 跟 Incoming，若分別設定相同的管制條例在 Outgoing、Incoming 跟 Advance 上，Advance 會優先生效。

4-1-4、SYN 防護¶

點選管制規則的編輯圖示後，即可進入設定畫面，修改基本設定、進階設定及防護設定。

駭客常用來癱瘓伺服器 SYN 攻擊，NG-UTM 提供 SYN 防護機制，保護後端的伺服器拒絕大量不正常的 SYN 攻擊，確保服務正常運作。

因為是保護後端的伺服器，所以它的設定跟 Incoming 的規則一樣，提供 IP 對應、Port 對應跟伺服器負載等 3 種 IP 位址轉換方式。

• SYN 防護運作

TCP 的三方交握是用戶端要與伺服器間建立 TCP 連線時，用戶端與伺服器端按照順序交換資訊如下：

A、用戶端透過傳送 SYN 封包給伺服器要求建立連線。

B、伺服器回應用戶端 SYN-ACK 已抄收（acknowledge）請求。

C、用戶端回應 ACK，TCP 連線就建立完成。SYN 攻擊時用戶端不會回應 ACK。

因為駭客會送出大量的 SYN 給伺服器要求連線，占據伺服器的資源並導致正常的 TCP 連線要求無法使用，伺服器的服務就可能癱瘓。

NG-UTM 的保護機制就是接手 A~C 步驟，確定這個連線為真之後才會將它傳給後端的伺服器，所以駭客攻擊的設備是 NG-UTM，而不是後端的伺服器。

在基本設定中，選擇不同的【IP 位址轉換】選項，介面就會切換成對應的設定項目。

SYN 防護有 3 種規則，應用時機說明如下：

1、IP 對應：把外部 IP 位址轉到內部特定的 IP 位址，所有的 Port 都會一起轉。

2、Port 對應：把外部 IP 位址的特定 Port 轉到內部 IP 位址的特定Port 上。

3、伺服器負載：把外部 IP 位址的特定 Port 轉到內部 2 台以上不同 IP 位址的特定 Port，這 2 台不同內部 IP 位址的主機是做相同的工作，例如：WEB 伺服器。

關於三個選項說明請參考 Incoming 基本設定 > IP 位址轉換。

SYN 防護的進階設定只有【時間表】、【頻寬管理】、【應用程式管制】跟【每個來源 IP 能使用的最大連線數】這 4 種。

4-2、IPSec 管制¶

IPSec 管制規則跟其他的管制規則設定相同，只是它的選項較少且不需要選擇來源介面。

• IPSec 管制顯示頁面說明

進入 IPSec 管制時，NG-UTM 會依序列出所有的管制規則，IPV4 跟 IPV6 的管制規則會分開列出，NG-UTM 預設顯示 IPV4 的管制規則，

如果要切換成 IPV6 的管制規則，則在主選單上方點選 IPV6，整個管制規則就會切換成 IPV6 模式。

不論 IPV4 或是 IPV6，在這個頁面可讓管理者調整的項目如下：

圖 89. 圖4-9 IPSec 管制規則控制¶

【優先權】：NG-UTM 會從第一條 IPSec 管制規則開始執行，所以比對順序對於網路封包的通過與否有關鍵性的影響，數字越小表示越優先。

【啟用】：管制規則的暫停跟啟用按鈕，點選此處圖示可以將原本啟用的管制規則暫停，原本暫停的改為啟用。

【編輯/刪除】：修改或是刪除此條 IPSec 管制規則。

【統計】：每條管制規則進出的封包數量跟流量，暫停跟重新啟用都會把數值歸零，點選數字後，會出現符合這一個規則的所有網路封包詳細的進出記錄。

當管理者在找尋網路問題或想確認設定的目標是否有進入管制規則中，此時就可以利用 NG-UTM 提供的網路封包即時通聯功能，

點選 IPSec 管制規則上【統計】欄位的數字，NG-UTM 會把進出的網路封包擷取並開啟一個新的視窗讓管理者觀察。

圖 90. 圖4-10 IPSec 管制封包記錄¶

【自動更新】：NG-UTM 每隔 3~30 秒，就會自動更新封包的通聯記錄，方便管理者觀察。

【清除】：把通聯記錄的資料全部清除掉，重新記錄跟顯示。

【時間】：IPSec 網路封包通過的時間。

【來源 IP/Port】：此條 IPSec 管制規則的來源 IP 位址跟 PORT。

【目的 IP/Port】：此條 IPSec 管制規則的目的 IP 位址跟 PORT。

【通訊協定】：此條 IPSec 管制規則的通訊協定，有 TCP/UDP/ICMP。

【封包大小】：這一個連線的封包大小，單位為 Bytes。

【出口線路】：這個封包由內到外走的線路出口，如果顯示為【-】，表示是對方 TCP 回傳的封包。

IPSec 管制規則 > 基本設定¶

每個 IPSec 管制規則的來源跟目的都在基本設定中設定。

因為專屬於 IPSec VPN 通道的管制機制，所以來源或目的的一端就是 IPSec 通道。

圖 91. 圖4-11 IPSec 管制規則的基本設定¶

【管制條例名稱】：IPSec 管制規則的名稱，方便管理者辨識，可輸入任何中英文字，例如：禁止上網。

【通訊協定】：通訊協定共有 3 個選項，全部、TCP 跟 UDP。

選擇這個 IPSec 管制規則想要管制的通訊協定是屬於哪一個類型，預設為全部。

【方向】：有 2 個方向選項，簡單區分如下：

· To IPSec：從內部透過 IPSec VPN 通道到遠端。

· IPSec To：從 IPSec VPN 通道進來到內部的方向。

【來源網路】：根據選擇的【方向】不同，來源網路就會不一樣。

若【方向】為 To IPSec 那麼來源網路是內部 ZONE 的 IP 位址；【方向】為 IPSec To 則來源網路是 IPSec VPN 通道另一端的 IP 位址。

· 選項模式 ：系統列出在「管理目標 > 位址表」中已建立的位址表或是群組。

· 自訂模式 ：直接填入來源的 IP 位址或是 MAC 位址。

【目的網路】：根據選擇的【方向】不同，目的網路就會不一樣。

若【方向】為 To IPSec 那麼目的網路是 IPSec VPN 通道另一端的 IP 位址；【方向】為 IPSec To 則目的網路是內部 ZONE 的 IP 位址。

· 選項模式 ：系統列出在「管理目標 > 位址表」中已建立的位址表或是群組。

· 自訂模式 ：直接填入目的 IP 位址。

【通訊埠或群組】：限制通過 IPSec VPN 通道的通訊埠，共有 3 種類別可以選擇，預設服務表、自訂服務群組跟使用者自訂，

NG-UTM 會把常用的服務表列出，例如：HTTP、FTP 等，為了簡化管制規則數量，可把眾多服務整合在一個服務群組，

這些需要在「管理目標 > 服務表」事先定義，定義好的管理目標就會出現在選項中，若選擇【使用者自訂】則在後面空格中自行填入 Port。

note

使用注意!

在 IPV4/IPV6 的環境下，如果沒有指定任何群組，代表為全部的通訊埠。

【動作】：符合上述比對的封包該如何處理，可以選擇允許或拒絕；

允許表示讓封包通過並再進行進階設定中時間表或是頻寬管理的處理，拒絕則是將封包丟棄。

IPSec 管制規則 > 進階設定¶

對於符合【基本設定】規則的且【動作】設定為允許的網路封包，NG-UTM 可以進行下列進階動作，包含時間表、頻寬管理及 NAT（限方向為 IPSec To 的條例）。

圖 92. 圖4-12 IPSec 管制規則進階設定¶

【時間表】：在「管理目標 > 時間表」建立要管制的時間表，整個 IPSec 條例只有在時間表內才會有效，時間表外則無效。

【頻寬管理】：在「管理目標 > 頻寬管理」建立要管制的頻寬，整個條例每秒使用的流量就會被限制，若無設定就會使用到線路提供的最大頻寬。

【NAT】：對於從 IPSec VPN 通道進入網路介面的封包，執行 NAT 的動作。

勾選後，這個條例的來源 IP 位址會被換成內部的 IP 位址，通常是此內部介面上綁定的 IP 位址。

使用時機：內部伺服器會管制來源 IP 位址，只開放給內部使用，當需要讓外部的人使用時，除了改變內部伺服器的管制規則，另一種方法就是在條例中勾選【NAT】。

4-3、SD-WAN 管制¶

NG-UTM 具有 SD-WAN 的功能，它能整合包含 MPLS、IP Tunnel 或是 IPSec VPN 等線路，並且分配或管理每一條線路使用的通訊協議或是頻寬，

進行管制前須前往「VPN > SD-WAN」把每一條使用到的通道種類事先定義完成。

一個簡單的運用示意圖如下，2 點之間使用 MPLS 專線，另外用網際網路的 IPSec VPN 建立第 2 條備援線路，此時管理者可以分配 2 點之間的負載分配機制，

例如：MAIL 用 MPLS，ERP 用 IPSec VPN，當任何線路斷掉，另一個線路就馬上接手。

圖 93. 圖4-13 SD-WAN 示意圖¶

除了當 MPLS 線路的備援外，也可以建立多條的 IPSec VPN 或是 IP Tunnel VPN 通道，並把 2 邊通訊需要的負載分配到合適的通道上。

圖 94. 圖4-14 多條 SD-WAN 示意圖¶

• SD-WAN 管制顯示頁面說明

進入 SD-WAN 管制時，NG-UTM 會依序列出所有的管制規則，IPV4 跟 IPV6 的管制規則會分開列出，NG-UTM 預設顯示 IPV4 的管制規則，

如果要切換成 IPV6 的管制規則，則在主選單上方點選 IPV6，整個管制規則就會切換成 IPV6 模式。

不論 IPV4 或是 IPV6 在這個頁面可讓管理者調整的項目如下：

圖 95. 圖4-15 SD-WAN 管制規則控制¶

【優先權】：NG-UTM 會從第一條 SD-WAN 管制規則開始執行，所以比對順序對於網路封包的通過與否有關鍵性的影響，數字越小表示越優先。

【啟用】：SD-WAN 管制規則的暫停跟啟用按鈕，點選此處圖示可以將原本啟用的 SD-WAN 管制規則暫停，原本暫停的改為啟用。

【編輯/刪除】：修改或是刪除此條 SD-WAN 管制規則。

【統計】：每條管制規則進出的封包數量跟流量，暫停跟重新啟用都會把數值歸零，點選數字後，會出現符合這一個規則的所有網路封包詳細的進出記錄。

當管理者在找尋網路問題或想確認設定的目標是否有進入管制規則中，此時就可以利用 NG-UTM 提供的網路封包即時通聯功能，

點選 SD-WAN 管制規則上【統計】欄位的數字，NG-UTM 會把進出的網路封包擷取並開啟一個新的視窗讓管理者觀察。

圖 96. 圖4-16 SD-WAN 管制封包記錄¶

【自動更新】：NG-UTM 每隔 3~30 秒，就會自動更新封包的通聯記錄，方便管理者觀察。

【清除】：把通聯記錄的資料全部清除掉，重新記錄跟顯示。

【時間】：SD-WAN 網路封包通過的時間。

【來源IP/Port】：此條 SD-WAN 管制規則的來源 IP 位址跟 PORT。

【目的IP/Port】：此條 SD-WAN 管制規則的目的 IP 位址跟 PORT。

【通訊協定】：此條 SD-WAN 管制規則的通訊協定，有 TCP/UDP/ICMP。

【封包大小】：這一個連線的封包大小，單位為 Bytes。

【出口線路】：這個封包由內到外走的線路出口，如果是【-】，表示是對方 TCP 回傳的封包或是 UDP 封包。

SD-WAN 管制規則 > 基本設定¶

每個 SD-WAN 管制規則的來源跟目的都在基本設定中定義，因為專屬於 SD-WAN 通道的管制機制，所以來源或是目的的另一端就是 SD-WAN 通道。

圖 97. 圖4-17 IPSec 管制規則的基本設定¶

【管制條例名稱】：SD-WAN 管制規則的名稱，方便管理者辨識，可輸入任何中英文字，例如：禁止上網。

【通訊協定】：通訊協定共有 3 個選項，全部、TCP 跟 UDP。

選擇 SD-WAN 管制規則想要管制的通訊協定是屬於哪一個類型，預設為全部。

【方向】：有 2 個方向選項，簡單來區分如下：

· To SD-WAN ：從本機要透過 SD-WAN 通道，到達 SD-WAN 另一端的連線。

· SD-WAN To ：從 SD-WAN 通道進來到本機的連線。

【來源網路】：根據選擇的【方向】不同，來源網路就會不一樣。

若【方向】為 To SD-WAN 那麼來源網路是內部 ZONE 的 IP 位址；【方向】為 SD-WAN To 則來源網路是 SD-WAN 通道另一端的 IP 位址。

· 選項模式 ：選擇已在「管理目標 > 位址表」中建立的位址表或是群組。

· 自訂模式 ：直接填入來源的 IP 位址或是 MAC 位址。

【目的網路】：根據選擇的【方向】不同，目的網路就會不一樣。

若【方向】為 To SD-WAN 那麼目的網路是 SD-WAN 通道另一端的 IP 位址；【方向】為 SD-WAN To 則目的網路是內部 ZONE 的 IP 位址。

· 選項模式 ：選擇已在「管理目標 > 位址表」中建立的位址表或是群組。

· 自訂模式 ：管理者直接填入目的 IP 位址。

【通訊埠或群組】：限制通過 IPSec VPN 通道的通訊埠，共有 3 種類別可以選擇，預設服務表、自訂服務群組跟使用者自訂，

NG-UTM 會把常用的服務表列出，例如：HTTP、FTP 等，為了簡化管制規則數量，可把要眾多服務整合在一個服務群組，

這些需要在「管理目標 > 服務表」事先定義，定義好的管理目標就會出現在選項中，若選擇【使用者自訂】則在後面空格中自行填入 Port。

note

使用注意!

在 IPV4/IPV6 的環境下，如果沒有指定任何群組，代表為全部的通訊埠。

【動作】：符合上述比對的封包該如何處理，可以選擇允許或拒絕；

允許表示讓封包通過並再進行進階設定中時間表或是頻寬管理的處理，拒絕則是將封包丟棄。

SD-WAN 管制規則 > 進階設定¶

對於符合【基本設定】規則且【動作】設定為允許的網路封包，NG-UTM 可以進行下列進階動作。

圖 98. 圖4-18 SD-WAN 管制規則進階設定¶

【時間表】：選擇要管制的時間表（在「管理目標 > 時間表」建立），整個 SD-WAN 條例只有在時間表內才會有效，時間表外則無效。

【頻寬管理】：設定要管制的頻寬（在「管理目標 > 頻寬管理」建立），整個條例每秒使用的流量就會被限制。

【SD-WAN】：當管制方向為 To SD-WAN 時顯示。

符合基本設定的封包且【動作】設定為允許下，讓它走哪幾條線路，SD-WAN 可以由多條 IPSec VPN 通道或是 MPLS 線路組合，

這一些組合需要事先在「VPN > SD-WAN」中設定，選擇通道名稱後，系統會自動列出通道的所有 SD-WAN 線路名稱。

【NAT】：當管制方向為 SD-WAN To 時顯示。

對於從 IPSec VPN 通道進入網路介面的封包，執行 NAT 的動作。

勾選後，這個條例的來源 IP 位址會被換成內部的 IP 位址，通常是此內部介面上綁定的 IP 位址。

使用時機：內部伺服器會管制來源 IP 位址，只開放給內部使用，當需要讓外部的人使用時，除了改變內部伺服器的管制規則，另一種方式就是在條例中勾選【NAT】。

4-4、管制規則應用範例¶

以實際的範例及設定步驟，說明如何使用 NG-UTM 的管制規則，管理所有的網路行為。

某家公司採用 NG-UTM 為第一線的防火牆及核心交換器功能，並根據實際的網路安全架構將內部區分成 4 大區，

分別是有線區、無線網路區、對外服務區跟內部伺服器區，並把所有的對外線路整合在一個區域中，每一區的管制要求都不一樣。

整體的網路架構圖如下：

圖 99. 圖4-19 管制範例網路架構圖¶

• 管制要求範例：

範例	網路介面	管理要求
1	有線區(Zone 1)	不能上黑名單URL 跟記錄瀏覽的網站。
2	無線區(Zone 2)	上網時要認證並看電子白板，下班時間禁止上網。
3	內部伺服器區(Zone 3)	禁止上網際網路，同時只有內部特定IP位址能進入。
4	對外服務區(Zone 4)	只有WEB服務才能進出，並啟用 IPS跟防火牆防護。
5	對外服務區(Zone 4)	只有MAIL服務才能進出，並啟用垃圾跟病毒郵件過濾。

• 共同設定

此次範例是以 NG-UTM 14 個 Giga Port 為配置範例，此台設備共有 14 個實體 Port ，代號分別是 Eth0 ~ Eth13，

其中 Zone0 (Eth0) 為系統預設的 Zone，將它保留成為管理 Port，所以剩下 13 Port 可供分配，

管理者根據網路狀況把所有的實體 Port 跟網路 IP 位址規劃成下表：

網路介面	數量，實體 Port	IPV4 位址	說明
有線區(Zone 1)	2個，Eth1、Eth2	192.168.2.0/24	往下串接 L2 交換器
無線區(Zone 2)	1個，Eth3	192.168.5.0/24	接入無線 AP
內部伺服器區(Zone 3)	3個，Eth4~Eth6	172.16.1.0/24	郵件跟 Web 伺服器，不需要外接交換器
對外服務區(Zone 4)	5個，Eth7~Eth11	172.16.5.0/24	ERP 跟 Data 伺服器，不需要外接交換器
對外線路(Zone 5)	2個，Eth12、Eth13	61.22.23.24/0	只接一個外線

在「內部伺服器區 (Zone 3)」跟「對外服務區 (Zone 4)」中，因為要接入的伺服器數量不多，所以就可以直接入 NG-UTM 提供的網路孔中，節省交換器的使用，

除了方便管理外，整體的網路速度也可減少受交換器的干擾。

A、分配實體 Port

在「網路設定 > 區域設定」中按照前面的要求分配實體 Port 跟區域。

圖 100. 圖4-20 定義每一個網路介面跟實體 Port¶

B、設定每個介面的 IP 位址

1. 在「網路設定 > 網路介面」中設定每個介面的 IP 位址跟區段。

2. 新增加的區域 (ZONE) 自動出現在上方的頁籤中。

3. 新增加的區域 (ZONE) 預設為 OFF，需要先設為 STATIC 並儲存。

4. 在介面位址上加入規劃中的 IP 位址跟區段，除了 WAN 類型的介面需要加入預設閘道外，

其他的在新增時預設閘道欄位都可以為空白，因為本身設定的 IP 位址就是 ZONE 使用者的閘道位址。

5. 由管理者決定是否啟用訪問控制跟防火牆防護設定。

6. 外部線路的 ZONE 有【定義外部網路】的選項，勾選後此介面就會自動成為系統預設閘道的介面。

圖 101. 圖4-21 設定網路介面¶

C、設定閘道

1. 在「網路設定 > 路由管理 > 出口線路」設定對外線路。

2. 如果有超過 2 個線路時，可以在【出口線路群組】中建立線路負載均衡機制。

圖 102. 圖4-22 設定閘道¶

➤ 到目前為止，整個 NG-UTM 在網路的配置部分已完成，再來就針對每一個需求進行設置。

4-4-1、範例一：管制上網¶

有線區 (Zone1) 不能上黑名單 URL 跟記錄瀏覽的網站。

1. 定義黑名單 URL 來源

在「管理目標 > URL 管理 > 黑名單設定」，新增一筆黑名單來源。

圖 103. 圖4-23 建一個 URL 黑名單來源¶

選擇黑名單資料庫或是自訂黑名單 URL，HTTP 跟 HTTPS 的自訂黑名單是分開設定的。

圖 104. 圖4-24 選 URL 跟自訂黑名單¶

2. 設定阻擋黑名單網站時要讓使用者看到的訊息。

在「管理目標 > URL 管理 > 其他設定」，設定要讓使用者看到的訊息，圖中右側視窗是使用者被阻擋時網頁出現的畫面。

圖 105. 圖4-25 黑名單阻擋頁面¶

3. 建立黑名單。

在「管理目標 > URL 管理 > URL 設定」，新增一筆黑名單名稱，名單的選擇使用剛剛建立的阻擋黑名單。

圖 106. 圖4-26 建立黑名單名稱¶

4. 設定 WEB/HTTPS 連線。

在「網路服務 > WEB 服務 > WEB」檢視各項設定，包含防毒引擎、中毒時要顯示頁面、最大連線數跟加密憑證等設定。

5. 管制條例套用。

新增一條管制規則，【來源介面】為 Zone 1 有線區、【動作】為允許、指定閘道為對外線路，

因為是虛擬 IP 區段，要上網際網路時需要做 NAT，所以選擇來源位址轉換。

圖 107. 圖4-27 管制規則的基本設定¶

在【URL 管制】選擇剛剛的阻擋中黑名單，並啟用【WEB 掃毒跟記錄】。

若要啟用 SSL 的掃毒跟記錄，每一位使用者須在個人電腦上安裝 NG-UTM 發出的根憑證。

圖 108. 圖4-28 要啟用的項目¶

完成的管制規則。

圖 109. 圖4-29 完成的管制規則¶

4-4-2、範例二：認證+電子白板¶

無線區 (Zone2) 上網時要認證並看電子白板，下班時間禁止上網。

1. 建立認證用途的使用者帳號來源。

認證的使用者來源可以是本機帳號、Radius 伺服器、AD 伺服器帳號跟郵件伺服器帳號等 4 種之一或是混合組合的帳號來源，可根據需求配置。

在「管理目標 > 上網認證 > POP3,RADIUS 使用者 > POP3 伺服器」中指定郵件伺服器的名稱及 IP 位址等資料。

圖中範例為認證帳號跟郵件伺服器的收信帳號相同。

圖 110. 圖4-30 POP3 伺服器帳號當作認證來源帳號¶

2. 建立使用者群組。

圖 111. 圖4-31 建立新的使用者群組¶

3. 建立一個新的電子白板。

在「管理目標 > 電子白板」中新增一筆電子白板，並且設定未閱讀電子白板前，使用者無法上網。

也可以設定當認證成功後 URL 要不要轉到指定網址。

圖 112. 圖4-32 新建電子白板¶

4. 電子白板版面設計。

在「管理目標 > 電子白板」中選擇已建立的電子白板進行版面設計。

圖 113. 圖4-33 電子白板版面設計¶

5. 認證頁面設定，套用電子白板。

在「管理目標 > 上網認證 > 頁面設定」，管理者可以決定使用者登入畫面看到的資訊。

圖 114. 圖4-34 套用電子白板¶

6. 確認認證的機制。

在「管理目標 > 上網認證 > 認證設定」，確認認證的機制。例如：同一個帳號可不可以同時登入、是否允許使用者改密碼。

此項功能限定本機帳號。

7. 定義上班時間。

在「管理目標 > 時間表」中建立一個時間表。

圖 115. 圖4-35 設定上班時間¶

8. 新增管制規則。

新增一條管制規則，【來源介面】為 Zone 2 無線區、【動作】為允許，指定閘道為對外線路；

因為是虛擬 IP 區段，要上網際網路時需要做 NAT，所以選擇來源位址轉換。

圖 116. 圖4-36 管制規則基本設定¶

9. 套用認證及時間表。

圖 117. 圖4-37 套用認證及時間表¶

10. 非上班時間的連線設為拒絕。

新增第二條條例，拒絕所有連線。

圖 118. 圖4-38 拒絕非上班時間的連線¶

11. 完成此管制規則，共需要 2 條管制規則完成這一份工作；一個是上班時間，另一個是非上班時間，須注意優先權順序。

圖 119. 圖4-39 完成的管制規則¶

4-4-3、範例三：管制 IP 進入¶

內部伺服器區 (Zone3) 禁止上網際網路，同時只有內部特定 IP 位址能進入。

建立管制規則時，在介面的選擇上，NG-UTM 能選的只有【來源介面】，並沒有【目的介面】的選項；

因此在範例中，要限制某些特定的來源 IP 位址進入內部伺服器區中，除了需要事先選定來源 IP 位址外，也要事先定義目的的 IP 位址跟區段。

1. 建立來源的位址表跟群組。

在「管理目標 > 位址表 > 位址表」，建立可進入 ERP 跟資料庫的電腦名稱及 IP 位址，方便管制規則選用，

也可以跳過這一個項目，直接在管制規則中輸入 IP 位址。

建立位址表時，可以是單一個 IP 位址，IP+MAC 位址、MAC 位址、一個網段或是 Domain。

圖 120. 圖4-40 建立來源位址表¶

在「管理目標 > 位址表 > 位址表群組」，把這一些不同的來源 IP 位址或是網段集合成一個群組。

圖 121. 圖4-41 建立來源位址群組¶

2. 建立 Zone 3 伺服器區的目的 IP 位址表或是區段。

在「管理目標 > 位址表 > 位址表」建立新的伺服器 IP 區段。

圖 122. 圖4-42 建立目的位址¶

3. 建立管制規則。

此次要限制的來源介面是 Zone 1 有線區中的特定 IP 位址可以進入目的網路的特定 IP 位址。

基本設定如下，允許符合條件的網路封包進入目的網段。

圖 123. 圖4-43 完成的管制規則¶

4. 禁止 Zone3 的網路上網。

圖 124. 圖4-44 禁止 Zone 3 上網¶

5. 完成的管制規則。

圖 125. 圖4-45 完成的管制規則¶

4-4-4、範例四：Web 服務器¶

對外服務區 (Zone4) 只有 Web 服務才能進出，並啟用 IPS 跟防火牆防護。

對外的 IP 位址是在 Zone 5 上定義，而實際對外的服務是在 Zone 4 上，2 者的 IP 位址不一樣，

所以管理者要事先規劃哪一些合法 IPV4 的 IP 位址，要對應到內部的哪些 IP 位址上。

1. 建立哪些 Zone5 的 IP 位址是要被對應到 Zone 4 上。

在「管理目標 > 位址表 > 位址表」，建立新的對外服務 IP 位址表，事先建立位址表的目的是方便在管制規則中選擇套用，

如果不建立位址表，也可以在管制規則中直接填入 IP 位址。

圖 126. 圖4-46 建立位址表¶

同時也建立會在 Zone 5 提供對外服務的 2 筆 IP位址。

圖 127. 圖4-47 完成的位址表¶

2. 建立要開放給使用者使用的服務表。

在「管理目標 > 服務表 > 服務群組」建立提供對外的服務，一台是 Web Server，另一台是 Mail Server，

Web Server 同時提供 DNS Server 查詢，Web Server 的服務表範例如下：

圖 128. 圖4-48 自訂服務¶

3. 建立 IPS 保護。

在「IPS > IPS 設定」中建立一條 IPS 的規則，阻擋高風險，其他的風險等級只要記錄就可以。

圖 129. 圖4-49 選擇 IPS 模式及阻擋¶

4. 建立 Web 伺服器的管制規則。

在建立外部對內的對應機制時，有幾個地方需要特別注意：

圖 130. 圖4-50 管制規則跟 IP 對應¶

(1) 來源介面：哪一些來源介面可以進入對外服務的伺服器區，除了原來 Zone 5 對外的網際網路上的電腦外，管理者可以再挑選。

例如：欲讓內部的有線區跟無線區也能看到自家公司的網站，這時候就要挑選這些來源介面，否則就算是內部的使用者，也無法看到網站內容。

基本上沒開任何管制規則，Zone 跟 Zone 間是完全不通的。

(2) 目的網路：對外的合法 IP 位址，當從網際網路來要到目的地 IP 位址時，NG-UTM 會如何處理這一個封包，範例為 61.22.23.20。

(3) 目的通訊埠群組：選擇已建立的 Web 服務群組。

如果目的位址轉換的機制是選擇 Port 對應或伺服器負載均衡，對應的 Port 會另外設置，這個地方就不需要選擇；

此範例是選擇 IP 對應，所以需要選擇哪一些服務要導入對外的伺服器。

(4) 閘道：對外閘道。

(5) IP 對應：有 3 種模式，這裡使用 IP 對應，也就是 1 對 1 NAT，真正對外服務的 Web 伺服器 IP 位址是 172.16.5.200。

5. 套用 IPS 防護跟防火牆防護。

圖 131. 圖4-51 套用 IPS 跟防火牆防護¶

6. 完成的管制規則。

圖 132. 圖4-52 完成的管制規則¶

4-4-5、範例五：郵件伺服器¶

對外服務區 (Zone4) 只有 Mail 服務才能進出，並啟用垃圾跟病毒郵件過濾。

1. 定義郵件服務器的 IP 位址。

在「管理目標 > 位址表 > 位址表」建立對外的郵件伺服器 IP 位址。

圖 133. 圖4-53 建立郵件伺服器的位址表¶

2. 啟用垃圾郵件跟掃毒功能。

在「郵件管理 > 郵件過濾與記錄 > 郵件過濾與記錄」，設定要啟用的功能，並注意其他相關的配置。

圖 134. 圖4-54 郵件過濾設定¶

3. NG-UTM 為垃圾郵件閘道時，需要跟後端的設備驗證有效帳號。

在「郵件管理 > 郵件過濾與記錄 > 有效帳號」中設定有效帳號的來源，並限定非定義的網域不處理垃圾郵件過濾機制。

圖 135. 圖4-55 有效帳號¶

管理者要注意同一台郵件伺服器中是否配置多網域，如果有則需要把每一個網域名稱都填入網域清單中，

否則會出現同一台郵件服務器，A 網域會進垃圾郵件過濾，B 網域卻不會的情況。

在【有效清單設定】中，為避免非設定網域的郵件進入，系統預設為關閉；若要允許其他網域通過，此處須改為啟動。

4. 是否啟用 SMTP 郵件防護。

駭客經常使用 SMTP 寄信驗證，郵件伺服器往往承受不住這樣的攻擊，NG-UTM 可以提供後端郵件伺服器這樣的保護機制。

圖 136. 圖4-56 SMTP 防護¶

5. 確認垃圾郵件的處理方式。

在「郵件管理 > 郵件過濾與記錄 > 基本設定」，設定垃圾郵件的處理方式及是否要讓使用者可以自行登入垃圾郵件區，取回被誤判的垃圾郵件。

圖 137. 圖4-57 垃圾郵件設定¶

6. 垃圾郵件清單傳送設定。

啟用垃圾郵件清單傳送機制並定下傳送時間。

圖 138. 圖4-58 垃圾郵件傳送清單¶

7. 中毒郵件的處理。

在「郵件管理 > 郵件掃毒 > 郵件掃毒」設定掃毒引擎、跟中毒後處理方式。

圖 139. 圖4-59 病毒郵件設定¶

8. 建立 Mail 伺服器的管制規則。

圖 140. 圖4-60 管制郵件伺服器基本設定¶

(1) 來源介面：哪一些來源介面可以進入對外服務的伺服器區，除了原來 Zone 5 對外的網際網路上的電腦外，管理者可以再挑選，

例如：欲讓內部的有線區跟無線區也能看到自家公司的網站，就要挑選這些來源介面，否則就算是內部的使用者，也無法看到網站內容。

(2) 目的網路：對外的合法 IP 位址，範例為 61.22.23.30。

(3) 閘道：對外閘道。

(4) IP 對應：有 3 種模式，這裡使用 Port 對應，也就是對內 PAT 機制，真正對外服務的 IP 位址是 172.16.5.201，

點選修改按鈕後會出現新的對話框，再把要提供服務的 Port 輸入，在 Mail Server 中提供 SMTP/SMTPS、POP3/POP3S、IMAP/IMAPS 及 DNS 等服務。

圖 141. 圖4-61 Port 對應¶

使用 Port 對應時發現，來源 Port 跟目的 Port 是分開填寫，也就是說外面的 SMTP25 Port 可以轉入內部的任何 Port，同樣的在這個模式下，IP 位址也是可以任意轉換。

例如，61.22.23.30 的 SMTP 轉入 172.16.5.201 的 SMTP，61.22.23.30 的 POP3 轉入 172.16.5.202 的 POP3。

修改完成後顯示如下：

圖 142. 圖4-62 Port 的對應關係¶

9. 套用 SMTP 紀錄、POP3 紀錄跟防火牆防護。

SMTP 伺服器位於 Zone 4 ，所以是屬於近端。

圖 143. 圖4-63 套用 SMTP 跟 POP3 紀錄¶

10. 建置完成的管制規則。

圖 144. 圖4-64 完成的管制規則¶