第5章 管理目標

NG-UTM 是以物件導向管理整台設備,事先定義所有的物件或是目標後,再到管制條例中禁止或是放行,
除了傳統的位址表、應用程式跟 URL 可以當成管理目標外,連 ZONE、介面位址、路由表甚至指定閘道都是管理目標。
設定管理目標的目的是讓管理者在建立管制條例時,更容易辨識每一個條例的目的及用途,
也可以不設定任何管理目標,直接在管制條例中輸入 IP 位址跟 Port 進行管制動作。

5-1、位址表

NG-UTM 支援 IPV4 跟 IPV6 位址模式,主選單 MENU 上方顯示藍色的按鈕表示目前的模式,
image177 代表目前顯示/設定的是 IPV4 的位址模式, image178 代表顯示/設定的是 IPV6 的位址模式。
直接點選灰色按鈕(如 image176 ),可將顯示跟設定切換到另一模式。
這 2 個按鈕適用於整個系統,設定時隨時切換,設定畫面會跟著切換成選擇的 IPV4 或是 IPV6 模式。

5-1-1、位址表

事先定義好為位址表,讓管制條例的建立更清楚明瞭。每一個位址表可以是單一個 IP 位址、IP 網段或是 IP 區段。
• 輔助選取
此功能僅限 IPV4 使用。
任何設備,只要有網路封包經過 NG-UTM,不論是外部還是內部,系統都會把它記錄下來,方便管理者建立位址表。
點選image179的圖示,系統會列出所有記錄內的電腦名稱、IP 位址跟 MAC 位址,甚至連從 DHCP 伺服器取得的固定 IP 位址,
選擇要增加的 IP 或是 MAC 位址後,按下image180 鈕即可加入位址表中。
選取 IP 位址

圖 147. 圖5-1 選取 IP 位址

• 新增位址表
按下 image182 鈕後,就可以開始建立位址表,首先選擇設定方式,每一種方式都有它的使用目的:
1、IP 位址
IPV4/IPV6 共用設定,只用 IPV4 位址或是 IPV6 位址辨識使用者,適用於每一個電腦都是使用固定 IP 位址的網路環境。
【電腦名稱】:這個 IP 位址的名稱,例如:張三的電腦。
【IP 位址】:輸入 IP 位址,例如:192.168.1.1。
2、IP 和 MAC 位址
只在 IPV4 有效,用 IPV4 位址跟 MAC 位址綁定使用者。
適用於每一個電腦都是使用固定 IP 位址或是透過 DHCP 取得固定 IP 位址的網路環境,最重要的是電腦到 NG-UTM 間沒有經過 Layer 3 路由器。
【電腦名稱】:這個 IP 位址的名稱,例如:張三的電腦。
【IP 位址】:輸入 IPV4 位址,例如:192.168.1.1。
【MAC 位址】:這部電腦的真實 MAC 位址,例如:00:01:02:03:04:05。
【DHCP】:在 DHCP 環境,可以利用 DHCP 伺服器發放固定 IP 位址給同一個 MAC 位址。
勾選後,代表這部電腦會由 DHCP 伺服器發放固定的 IPV4 位址。可參考 6-1-3、DHCP 固定 IP 位址 章節。
3、MAC 位址
只在 IPV4 有效。只用 MAC 位址綁定使用者,而不管它的 IP 位址。
【電腦名稱】:這個 IP 位址的名稱,例如:張三的電腦。
【MAC 位址】:這部電腦的真實 MAC 位址,例如:00:01:02:03:04:05。
4、IP / Mask
IPV4/IPV6 共用設定,用 IPV4 位址或是 IPV6 位址加上子網路遮罩的方式,辨識一整個區域的使用者。
【電腦名稱】:這個 IP 位址的名稱,例如:工程部全部的電腦。
【IP 位址】:輸入 IP 位址,例如:192.168.1.1。
【網路遮罩】:選擇適當的網路遮罩,例如:255.255.255.0/24。
5、IP 位址範圍
IPV4/IPV6 共用設定,用 IPV4 位址或是 IPV6 位址的開始 IP 位址跟結束 IP 位址,辨識一整個區域的使用者。
【電腦名稱】:這個 IP 位址的名稱,例如:工程部全部的電腦。
【開始 IP】:輸入這一個範圍的開始 IP 位址,例如:192.168.1.1。
【結束 IP】:輸入這一個範圍的結束 IP 位址,例如:192.168.1.100。
此例代表工程部全部電腦有 100 個 IPV4 位址。
6、使用者自訂 Domain
IPV4/IPV6 共用設定,用 Domain 的方式,辨識一整個區域的使用者,適合外部網路伺服器或是有做 Domain 正解的網路環境。
【電腦名稱】:這個網域的代表名稱,例如:張三的家。
【Domain】:輸入 Domain 資訊,可以輸入多筆網域資料,每一筆為一行,且支援萬用符號 *,例如:*.example.com 或是 example.com.*。
7、預設 Domain 黑名單
【電腦名稱】:這個網域的代表名稱,例如:張三的家。
【預設名單】:選擇預先設定的黑名單群組,讓它成為可在條例內管控的來源目的網路對象。
【Domain 測試】:輸入可疑的網址並點選「測試」,查看此網址是否在預設黑名單中。
8、外部連結清單
【電腦名稱】:這個連結的代表名稱,例如:張三的家。
【URL】:輸入一個可以提供下載 txt 或 csv 檔案的超連結路徑。
【HTTP 基本驗證】:支援 HTTP Basic Auth 。
【定時更新時間】:系統定時往目的URL連線取得新的資料。

5-1-2、位址表群組

每一個位址表是一個單獨 IP 位址或是 IP 網段,建立好的位址表可以再組合成位址表群組,位址表群組的成員除了是位址表外,也可以是別的位址表群組。
按下 image183 鈕後,就可以開始建立位址表群組。
選取位址表群組

圖 148. 圖5-2 選取位址表群組

【群組名稱】:這個位址表群組名稱,例如:2F 的電腦。
【所有成員】:在位址表中建立完成的位址表名稱會於此顯示。
【被選擇的成員】:選擇要加入這個位址表群組的位址表,再點選 image184 即可加入。
【所有其他群組】:已經建立的位址表群組會在這裡顯示。
【被選擇的其他群組】:選擇要加入這個位址表群組的位址表群組,再點選 image185 即可加入。
【使用者自訂】:若沒有事先建立位址表,也可以在此區手動加入,可輸入多筆資料,每一筆為一行。

5-2、服務表

TCP 協定和 UDP 協定提供各種不同的服務,每一個服務都有一個 TCP 埠 (TCP Port) 號碼或 UDP 埠 (UDP Port) 號碼代表,
如 TELNET (23),FTP (21),SMTP (25),POP3 (110) 等等。
在【輔助選取】中可從基本服務表中選取服務,包含比較常用已預告定義的 TCP 服務或 UDP 服務。此類服務不能修改也不可刪除。
使用者也可依自己的需求到自訂服務表設定適當 TCP 埠和 UDP 埠號碼。
在自訂服務時,客戶端埠 (Client Port) 設定的區間一般為 1024:65535,伺服器端埠 (Server Port) 號碼則是設定在 0:65535 之間。
服務表中定義的服務跟應用程式中定義的服務稍微不一樣,
以 HTTP 協定為例,在服務表中把它定義成 TCP 80 Port 代表 HTTP 協定,
但在實際運作上,在 TCP 80 Port 的封包不一定都是 HTTP (Web),有時跑 HTTP 的也不一定要在 TCP 80 Port 上。
在應用程式中定義的 HTTP 協定,不會管來源跟目的 Port 號,只要封包內容是執行 HTTP(Web) 協定的都可以,所以應用程式對於執行協定的辨識是更準確。
系統管理者可以在「服務表 > 服務群組」選項中,新增服務群組名稱,將要提供的服務包含進去。
有了服務群組的功能,管理者在制訂管制條例時可以簡化許多流程。
例如:有 10 個不同 IP 位址可以對伺服器存取 5 個不同的服務,如 HTTP、FTP、SMTP、POP3 和 TELNET。
若不使用服務群組的功能,總共需制定 10x5=50 條管制條例,但使用服務群組名稱套用在服務選項上,則只需一條管制條例即可。

5-2-1、基本服務表

基本服務表

圖 149. 圖5-3 基本服務表

• 服務表圖示說明
服務表圖示的詳細說明,這一些圖示通用在整個 NG-UTM 上。

圖示

說明

image189

任何服務。

image190

TCP服務,如:Gopher、ICQ、Ident、LDAP、NTTP over SSL、PPTP、SFTP、SSH、Terminal、WINFRAME、AFPoverTCP、FTP、H323、L2TP、MSN Messenger、POP2、SMTP over SSL、Yahoo、AOL、Finger、HTTP、IMAP over SSL、LDAP Admin、NNTP、POP3 over SSL、RLOGIN、SMTP、VNC、BGP、GNUTella、HTTPS、IMAP、LDAPover SSL、POP3、Real Audio、Telnet、WAIS

image191

UDP服務,如:DNS、TFTP、NTP、SNMP、IKE、SYSLOG、RIP、UUCP等。

5-2-2、服務群組

建立新的服務群組時,此頁面有 8 筆空白的欄位,管理者從編號 1 開始依序加入服務表,
若要加入這個服務群組的服務項目多於 8 筆,按下image192後,即會新增空白的欄位。
建立服務群組

圖 150. 圖5-4 建立服務群組

【服務及服務群組名稱 】:辨識這個服務群組的名稱,例如:郵件服務器。
【輔助選取】:選取內建的基本服務表。(圖5-5)
【通訊協定】:選擇這一筆服務是使用 TCP、UDP、TCP&UDP 或是自訂的通訊協定。
【使用的通訊埠】:通訊服務使用的開始跟結束埠號。
例如:SMTP 只用 TCP 25,填入 25:25,POP 只用 TCP 110,填入 110:100,如果填入是 0:65535,代表所有埠號都滿足,也就等於 image193
• 輔助選取
點選 image187 的圖示,會出現新視窗顯示 NG-UTM 內建的基本服務表,供管理者選擇。
可於視窗左上選單選擇 TCP、UDP 或是其他通訊協定,即會切換使用的通訊協定。
輔助選取基本服務表

圖 151. 圖5-5 輔助選取基本服務表

【TCP】:常用的 TCP 類型服務,例如:SSL、HTTP 等。
【UDP】:常用的 UDP 類型服務,例如:DNS、SNMP 等。
【其他通訊協定】:其他不常使用到的服務類型,例如:TFTP、RDP 等。
➤ 建立新的服務群組後,NG-UTM 會把所有定義好的服務群組列表,同時標示它使用的埠號。
服務群組列表

圖 152. 圖5-6 服務群組列表

5-3、時間表

NG-UTM 提供系統管理者時間表的設定,管理者根據實際的需求,事先設定啟用的時間,在【管制條例】中套用時間表,讓這條例在特定時間內生效,
相同的功能條例可以重複套用不同的時間表,變成 2 個不同的條例,藉以控管不同的時間需求。
按下 image183 鈕,新增時間表:
時間表的設定週期有 3 種,模式一:以周為週期,設定每天生效的時間;模式二:自訂起訖日期及時間;模式三:利用圖表選取設定時間
【時間表名稱 】:辨識這個時間表的名稱,例如:白天規則、晚上規則。
【設定模式】:共有 3 種模式可以選取。
· 模式一:以周為週期,設定每天生效的時間區間。
有三種選擇,關閉、全天跟開始到結束時間,設定起始時間 00:00 ~ 結束時間 00:00 代表的意義就是全天。(圖5-7)
以周為週期的時間表

圖 153. 圖5-7 以周為週期的時間表

· 模式二:自訂起訖日期及時間,管理者設定特定日期下會生效的時間表,例如:2016年7月1日開始到2016年12月31日結束。(圖5-8)
自訂日期的時間表

圖 154. 圖5-8 自訂日期的時間表

· 模式三:利用圖表選擇的方式,定義每週生效的時間。和模式一不同在於,可以在一天內設定多個生效的時間區間。如下圖:
週一到週五設定的時間為06:00-11:59, 13:00-20:59,週六、日設定整天
圖表選擇的時間表
➤ 在管制條例列表中出現image198的圖示,代表這一個條例在特定時間下才會生效。

5-4、頻寬管理

NG-UTM 可以管理經過介面的網路服務封包的傳輸速度,藉由事先規劃的頻寬表,管理者可以精準地控制每一個條例經過 ZONE 的 Zone Out (TX) / Zone In (RX) 流量,
再加上頻寬優先權的概念,讓優先權高的網路封包可以快速地通過,
在配置上,有 2 種模式可以選擇,一種是每個條例的頻寬管理,另一種是此條例內每個來源 IP 位址的頻寬管理。
在頻寬管理上,因為是以 ZONE 介面串起整個網路,所以需要事先定義每一個 ZONE 的 Zone Out (TX) / Zone In (RX) 流量,
例如:ZONE 1 有包含 2 個實體 Port 分別是 Port A 跟 Port B,每一個實體 Port 的連線速度都為 1Gbps,在頻寬表選用上網服務 10Mbps 並套用在每個來源 IP 位址,
這樣的設定代表不論從 Port A 或是 Port B 過來的 IP 位址,只要是屬於這個 ZONE 的, Zone Out (TX) / Zone In (RX) 流量都會被限制在 10Mbps 。

5-4-1、QoS 設定

• 設定介面速度
在此設定每一個介面的最快網路速度,分別是 Zone Out (TX) 流量、Zone In (RX) 流量。
進去實體 Port 的網路封包為 Zone In (RX) 流量,從實體 Port 送到下端設備的網路封包為 Zone Out (TX) 流量。
這樣的配置,在網路速度是對稱性(上傳跟下載的速度都一樣)的內部網路或是交換器上不會有問題,但是在非對稱性的 WAN 類型網路就有方向性的問題,
思考一下線路商提供的上傳跟下載速度,對承接網路封包的 NG-UTM 來說,剛好是相反的方向,
所以對於 WAN 類型的網路,例如:ADSL,設定 ZONE 速度時就需要特別注意。
自訂介面的速度

圖 155. 圖5-9 自訂介面的速度

在表格勾選啟用,表示將此介面啟用頻寬管理。
NG-UTM 預設會把所有的 Zone Out (TX) 流量、Zone In (RX) 流量設為 1Gbps (1024Mbps=1024000Kbps),同時把這個 ZONE 有包含哪些實體 Port 一併列出來,
管理者可以修改速度,使其符合實際的線路狀況,儲存後此設定值就是設定頻寬表時最高的速度限制。

5-4-2、QoS 列表

每一個設定完成的 QoS 都會在這裡列出,方便管理者查詢,也可以在這邊執行修改與刪除。
• 新增頻寬表
按下列表下方的 image183 鈕,新增一筆 QoS :
自訂介面的速度

圖 156. 圖5-10 頻寬表設定

【QoS 名稱】:辨識這個頻寬表的名稱,例如:白天上網、晚上開放。
【優先權】:當介面還有空閒的頻寬可以使用時,NG-UTM 會根據優先權將剩餘的頻寬分配給使用者,讓他們有機會可以到達設定的最大頻寬。數字越低表示優先權越高。
【設定模式】:共有 2 種模式可以選擇,分別是【基本模式】跟【進階模式】。
· 基本模式
以 Zone 為單位,不管這個 Zone 包含了幾個實體介面,例如:把每一個 WAN 線路都設定獨立的 WAN Zone,則適合套用這樣模式。
基本模式

圖 157. 圖5-11 基本模式

· 進階模式
以實體網路介面當作頻寬管制基礎,例如:把 3 個線路綁成一個 WAN ZONE,選擇這個模式,會把每一個線路獨立出來讓管理者管理。
進階模式

圖 158. 圖5-12 進階模式

【頻寬模式設定】:共有 2 種模式可以選擇,分別是【每個條例能使用的頻寬】(預設)跟【每個來源 IP 能使用的頻寬】,詳細說明如下:
· 每個條例能使用的頻寬
當頻寬表套用在條例時,每一個進入條例的來源 IP 位址,不論是 IPV4 或是 IPV6,網路封包的總數上限就是頻寬表的設定值,也就是大家共用這一個頻寬表分配的頻寬。
例如:192.168.1.2 跟 192.168.1.3 都符合頻寬表 10Mbps / 10 Mbps的條例,當192.168.1.2 使用量是 9.9Mbps / 9.9Mbps 時,192.168.1.3 只能分配到 0.1Mbps / 0.1Mbps 的頻寬。
· 每個來源 IP 能使用的頻寬
當頻寬表套用在條例時,每一個進入條例的來源 IP 位址,不論是 IPV4 或是 IPV6,都可以使用到頻寬表的設定值,也就是每一個 IP 位址都是頻寬表分配的頻寬。
例如:192.168.1.2 跟 192.168.1.3 都符合頻寬表 10Mbps / 10Mbps的條例,當 192.168.1.2 最高可以用到10Mbps / 10Mbps,192.168.1.3 也能用到 10Mbps / 10 Mbps 的頻寬。
在這個模式下要注意一下 IP 位址數量跟分配頻寬表加總的最高值會不會超出介面能提供的最高速度,
例如:這個條例估計有 100 個 IP 位址,每個人分配 20Mbps,當這 100 個 IP 通通上線且使用最高的分配頻寬時,
它的總額是 100*20Mbps=2000Mbps=2G,這已經超過介面的最高數值 1Gbps,這樣的狀況會導致頻寬分配不準確。
【介面-保證】:選擇頻寬表要在哪一個介面套用,系統會提醒設定者最高的網路速度,此時設定的就是當 NG-UTM 網路壅塞,系統會保證這個條例使用者可以使用的頻寬。
【介面-最大】:系統會提醒設定者最高的網路速度,此時設定的就是當 NG-UTM 網路不壅塞,根據優先權設定,系統再分配剩餘的頻寬給這個條例使用者使用的頻寬。

note

在設定頻寬表時務必要注意設定的介面,因為 NG-UTM 是以介面為管理基礎,如果在頻寬表設定頻寬時是設定在 ZONE0 介面,
但是在管制條例中卻是套用在其他 ZONE,這樣會導致要管理的 IP 位址或是服務無法準確的管理。

5-5、應用程式管制

NG-UTM 是以 DPI (Deep Packet Inspection) 為基礎的 UTM,所有經過的流量都會經過 DPI 的分類及管理,
使用 DPI 技術管理應用程式,比傳統以 TCP/UDP Port 的管制更精準,
以加密類型的網站 HTTPS 為例,使用 SSL 加密技術,確保瀏覽網頁內容經過網際網路後仍安全無慮(SSL 的加密是用 TCP443 為溝通的埠號)。
在以前的防火牆設計中,要管理 HTTPS 型的網站,只要把對外的 TCP 443 封掉,內部就無法瀏覽加密型的網站,
但是現在因為安全因素,很多網路通訊軟體開始使用 SSL 加密技術,例如:SSL VPN,封掉 TCP443 代表 HTTPS 跟 SSL VPN 都無法使用。
為了更精準的分辨這一些應用程式,單純使用 Port 分類就沒辦法滿足現在的網路需求,因此 NG-UTM 導入 DPI 技術,
它不是單純使用 TCP / UDP 的埠號為判斷依據,而是更深層的檢查封包內容,根據傳遞的內容判斷往來的封包是執行那些服務,
所以這樣的判斷方式比傳統的防火牆更準確。
NG-UTM 目前能夠辨識超過 900 種的應用程式,同時也使用自動更新特徵值技術,不定期的更新這些應用程式的特徵值跟數量,
管理者只需要設定好自動更新的選項,其他的就讓系統自動執行,這些應用程式同時會出現在統計分析的項目上。
因應雲端時代,很多網站提供軟體即服務 (Software as a Service,SAAS) 的服務。進入網站,不需要安裝任何軟體,就可以完整的使用該軟體提供的服務。
例如:WebQQ,WebSkype 等,尤其是這些網站通常使用的是 HTTPS 協定或是 IPV4/IPV6 雙位址模式,
管制 IPV4 位址並不代表同時封掉 IPV6 的位址,再加上用 SSL 加密技術,一般的 Firewall 或是 UTM 通常無法禁止這一類型的 SAAS 網站或是服務,
造成網路管理者管理上的困擾,此時可以搭配 NG-UTM 的 5-6、URL 管理 功能管理這一些 SAAS 的服務。

5-5-1、應用程式管制

要管理超過 900 種的應用程式管理是複雜的,因此 NG-UTM 根據每一個應用程式的屬性,分成 17 大類,
管理者先選擇這 17 類後,再從中選擇要管理的應用程式,選擇完成後建立群組並可以到管制條例中套用。
• 應用程式資訊
NG-UTM 的應用程式的特徵值需要額外授權,授權到期後,系統不會再更新特徵值,管理者設定的管制項目就可能有不準確的狀況。
應用程式資訊

圖 159. 圖5-13 應用程式資訊

【授權】:要啟用 DPI 的應用程式需要匯入授權碼,點選【瀏覽】並匯入。
【授權期限】:目前應用程式的到期日。
【服務狀態】:應用程式辨識是啟用或是關閉。
• 應用程式管制
建立完成的應用程式列表如下:
建立好的應用程式

圖 160. 圖5-14 建立好的應用程式

Note

建立好的應用程式需要再到 第4章 管制條例 中決定它的用途,例如:建立一個應用程式群組,在管制條例中選擇哪些成員要套用此群組,是執行允許或是禁止。

• 新增應用程式管制
管理者可以新增很多筆應用程式,或在某個應用程式群組內包含多種服務。
按下 image183 鈕,新增應用程式群組:
選取應用程式

圖 161. 圖5-15 選取應用程式

【群組名稱】:辨識這個應用程式的名稱,例如:上網組、禁止的服務。
【動作】:針對每一個應用程式管制,有 3 個選項分別說明如下:
· 阻擋:把比對出符合特徵值的應用程式阻擋。
· 阻擋+紀錄:把比對出符合特徵值的應用程式阻擋,並且記錄哪一位使用者何時使用。
· 頻寬管理:符合特徵值的應用程式進入頻寬管理機制,例如:符合 LINE/SKYPE 的應用程式,只能使用 500Kbps 的網路頻寬。
【搜尋】:輸入關鍵字,就可以搜尋要找的應用程式被分類在哪裡。
【已選擇項目】:當勾選下方要管制的應用程式時,在這邊顯示已勾選的項目。可將選項收合避免影響操作。
【選擇應用程式】:每個分類下的選項可全選或個別選取,已選取的項目會用顏色區分並在該分類名稱後顯示此分類已選數量。

5-5-2、管制紀錄

管理者設定要管理的服務群組後,到管制條例中套用,不論是允許或是禁止的動作,滿足條件的應用程式項目,都會被記錄下來,
管理者也可在管制紀錄中查詢特定時間內哪一些服務被允許通過或禁止。
應用程式紀錄

圖 162. 圖5-16 應用程式紀錄

5-6、URL 管理

NG-UTM 的 URL 管理,除了可管理傳統的 HTTP(Web) 型網站外,HTTPS SSL 加密型網站也可以管理,
管理者可設定 HTTP 類型網站黑白名單,同時系統提供預設的黑名單資料庫,讓管理者可以隨時加入,這些資料庫的資料會隨著自動更新的機制增加或刪除,
有別於 HTTP 管理方式,HTTPS 加密型的網站,只能設定黑名單,也就是禁止訪問的網址。
管理使用者瀏覽的網站,除了可以增加工作效率之外,亦可預先過濾惡意網站,避免使用者在不知情的狀況下遭植入惡意程式、病毒,以確保網路安全。
當使用者欲瀏覽黑名單網址時,系統會自動在使用者的瀏覽器出現預先設定的阻擋文字,提醒使用者這個網站已經被封鎖,
管理者可以建立不同 URL 管理機制及套用不同的阻擋訊息,這些阻擋紀錄也會被記錄下來,管理者日後可以查詢。

5-6-1、URL 設定

NG-UTM 在阻止使用者觀看黑名單中設定的網頁時,會把使用者的瀏覽器轉向到預設或自訂的阻擋網頁。
管理者可以針對不同的黑名單設定頁面阻擋的顯示畫面。
按下 image183 鈕,新增 URL 群組:
URL 設定 > 新增

圖 163. 圖5-17 URL 設定 > 新增

【群組名稱】:辨識這個黑名單的阻擋名稱,例如:禁止看的網站。
【啟動自訂網頁阻擋】:預設沒有勾選,所有的阻擋網頁都會使用在 5-6-3、其他設定 預設的頁面阻擋設定。
啟用後,系統會展開下列設定項讓管理者修改。
【阻擋結果網頁設定】:點選檢視的按鈕就可以預覽目前的阻擋頁面設定。
【主題】:黃色區塊想要顯示的文字,例如:禁止的網站。
【欲顯示的內容】:需要顯示更詳細的文字說明,例如:禁止觀看否則查辦。
【名單選擇】:NG-UTM 列出所有的黑、白名單供管理者選擇。

note

建立完成的 URL 會在【URL 設定】以表格顯示。
此處設定的管理規則只是一些管理物件,這一些物件仍需要到 第4章 管制條例 中決定哪一些 IP 位址要套用這一些規則。

5-6-2、黑白名單設定

WEB 資料庫資訊

NG-UTM 的 WEB 資料庫運作模式有 2 種,一種是黑名單資料庫,另一個是 WEB 資料庫,
管理者只能選擇一種運作模式,如果要切換模式,就要將之前設定的資料全部刪除。
1、WEB 資料庫
ShareTech 合作廠商提供的資料庫,分類更細也更完整,其中也包含黑名單或是惡意網站,
系統分成 6 大類,也會即時的更新最新的網站列表,啟用這個資料庫需要額外的授權碼。
若不知道要管制的網站被分類到哪一個群組,可以點選旁邊【URL 測試】按鈕測試。
WEB 資料庫設定

圖 164. 圖5-18 WEB 資料庫設定

WEB 資料庫資訊顯示目前使用的模式及其授權狀態。
WEB 資料庫資訊

圖 165. 圖5-19 WEB 資料庫資訊

【授權】:要啟用 WEB 資料庫需要匯入授權碼,點選【瀏覽】並匯入就完成。
【模式】:目前運作的是黑名單資料庫還是 WEB 資料庫,可以切換到另一個模式。
【授權期限】:目前使用資料庫的到期日。
【服務狀態】:在 WEB 資料庫下,會顯示目前是啟用還是停用中。
2、黑名單資料庫
以 ShareTech 網路上蒐集的黑名單網站資料為主,不定期的更新這一些網站。
黑名單資料庫

圖 166. 圖5-20 黑名單資料庫

黑白名單設定

所謂白名單就是可以瀏覽的網址,當套用白名單後,管理者在套用白名單的下一條條例禁止所有的 HTTP,代表只能瀏覽白名單的網址,其他都會被禁止。
相反的黑名單的運作就是黑名單列的網址不能瀏覽,其他的都可以。
按下 image183 鈕,新增黑白名單:
• 黑白名單基本設定
黑名單基本設定

圖 167. 圖5-21 黑白名單基本設定

【名稱】:辨識這個黑/白名單的名稱,例如:禁止上網、只允許上班時間的網站。
【名單模式】:運作模式是黑名單還是白名單。
【比對模式】:提供兩種比對模式,分別為「完整」與「模糊」,完整模式為比對的網址需全部符合,模糊模式只要關鍵字部分符合。
例如欲封鎖 yahoo 網站:
· 完整模式:輸入www.yahoo.com 將只封鎖 www.yahoo.com,但是 www.yahoo.com.tw仍然可以正常瀏覽,
此時可以用萬用字元 * 輔助,把資料改成 yahoo.com.*,就可以把 yahoo 所有相關的網站都封鎖掉。
· 模糊模式:輸入 yahoo,就可以將所有包含 yahoo 的網址都封鎖掉,在這樣的情況下,誤擋網站的機率相當高,
像是 abcyahoo 和 yahooabc 等不相干的網站也會被黑名單的阻擋機制擋掉,此時可以搭配萬用字元 *,讓整個配置更有彈性。
• Sandstorm 服務
將 Sandstorm 會做管制的網址套用到黑名單中,可在 6-6、SandStorm 內調整風險程度來決定限制的網址量。
點選 image210 圖示,即可測試網址是否存在 SandStorm 資料庫。
• 自訂黑白名單設定
黑名單的來源可以由管理者自行輸入或是選用系統內建的黑名單資料庫,同時針對 IPV4/IPV6 甚至 HTTPS 都可以建立黑名單。
一筆為一行,若有多筆可換行新增。
【URL 黑名單】:輸入黑名單的網址,例如: tw.news.yahoo.com/sports/ 或 www.pchome.com.tw 等等。
除了網址外,後面的 URI 資訊也可以加入,當選擇是完整比對時,除了網站的特定內容進不去外,其他的都可以暢行無阻。
【IPV4 IP 黑名單】:輸入黑名單的 IPV4 位址,例如:
11.12.13.14
22.23.24.25
【IPV6 IP 黑名單】:輸入黑名單的 IPV6 位址,例如:
2001:b030:8102:bd::1
2001:b030:8102:2001::1
【Domain 黑名單】:依照網域來認定黑白名單,可使用特殊字元 「*」 來包含目標網域的所有子網域。
【上傳副檔名黑名單】:針對上傳過程支援輸入Content-Type或副檔名(副檔名前須加 . )。
例如 :
application/octet-stream or .doc
【下載副檔名黑名單】:針對下載過程支援輸入Content-Type或副檔名(副檔名前須加 . )。
例如 :
application/octet-stream or .doc
• 預設黑名單設定
當名單模式選擇【黑名單】時才會出現此項目,選擇【白名單】這一個項目就會被隱藏。
黑名單的來源可以由管理者自行輸入外,系統預設 11 類黑名單資料庫,讓管理者根據實際需求選用。
為了避免自行輸入的黑名單跟資料庫內的 URL 資料庫重複,NG-UTM 有 URL 測試的功能,點選預設黑名單設定旁的 image210 圖示,即可進入測試。
如圖5-22:輸入 yahoo.com.tw 測試是否存在預設的黑名單資料庫中,結果為不存在。
URL 測試

圖 168. 圖5-22 URL 測試

• 其他黑白名單設定
NG-UTM 的黑名單設定支援群組包含群組的組合,
例如:事先已經建立 2 個黑名單群組 — 黑名單 A 跟黑名單 B,
新增黑名單 C 時,除了黑名單 C 自己內建的黑名單之外,更可以包含黑名單 A 跟黑名單 B 中所有的黑名單設定。
當名單模式為【黑名單】時,會顯示所有黑名單群組提供管理者選擇,名單模式為【白名單】時,則只會顯示白名單群組。

5-6-3、其他設定

當使用者瀏覽黑名單網站時,NG-UTM 會出現警示畫面,畫面的文字可以由管理者自訂,管理者可以預先設計好警示畫面,也可以讓每一個黑名單都有不同的警示畫面。
預設的警示畫面
系統的預設黑名單阻擋警示設定是在【其他設定】的【預設頁面阻擋設定】中,內部的細項說明如下:
預設黑名單阻擋網頁設計

圖 169. 圖5-23 預設黑名單阻擋網頁設計

【阻擋結果網頁設定】:點選【檢視】的按鈕就可以觀看目前的阻擋頁面效果。
【主題】:黃色區塊想要顯示的文字,例如:禁止的網站。
【欲顯示的內容】:需要顯示更詳細的文字說明,例如:禁止觀看否則查辦。

5-6-4、記錄

管理者制定好要管理的 URL 並到管制條例中套用後,不論是允許或是禁止的動作,只要是滿足條件的 URL 項目都會被記錄下來,管理者可在此依條件查詢。

5-7、DNS filter

DNS filter 提供使用者上網保護,當使用者查詢管理者設定在 DNS filter 上的域名時,系統會代理回應 0.0.0.0 給使用者,達到禁止使用。
DNS filter 通常會搭配 Sandstorm 服務,避免使用者誤觸惡意網站。

5-7-1、DNS Filter

按下 image183 鈕,新增 DNS Filter 群組:
【群組名稱】:設定 DNS Filter 的群組名稱。
【Sandstorm 服務】:是否啟用管制來源為 Sandstorm 上中高風險的惡意程式網址,當使用者查詢這一些網址時,系統會回應 0.0.0.0。
【完整比對】:自訂要封鎖的網址,比對時採用完整比對。
例如:輸入 www.123abc.com ;使用者查詢這個網址時系統會回應 0.0.0.0,但其他如 mail.123abc.com 則可以正常解析。
【模糊比對】:自訂要封鎖的網址,比對時採用模糊比對。
例如:輸入 123abc.com;則所有 123abc.com 的其他網址如 www.123abc.com 或 mail.123abc.com 都會被封鎖。

5-7-2、管制紀錄

被封鎖的 DNS 查詢紀錄都會在這裡,管理者可根據時間、來源或是目的 IP 位址搜尋。
DNS 管制紀錄

圖 170. 圖5-24 DNS 管制紀錄

5-8、防火牆功能

內建 SPI 技術,主動攔截、阻擋駭客攻擊,不論是 DOS、DDOS、UDP Flood 等攻擊方式都可以阻擋,
甚至可以抵擋疾風病毒的攻擊,確保內部用戶的安全。
如果攻擊者不是從外部到內部,而是由內部互相攻擊呢?
在 ICSA 中沒有定義這樣的攻擊模式,可是這樣的任意攻擊卻是真實存在。
ShareTech 套用合理流量及連線數的觀念,認為同一部電腦,不會同時產生太多的連線數,
萬一超過合理的流量及連線數時,結合管制條例的運用,防火牆會要求將多餘的連線阻擋。
• 常見的駭客攻擊方式(阻斷服務攻擊)
1、SYN 攻擊
SYN Flood 是當前最流行的 DoS(拒絕服務攻擊)與 DDoS(分散式拒絕服務攻擊)的方式之一,這是一種利用 TCP 協議缺陷,
發送大量偽造的 TCP 連接請求,使得被攻擊方資源耗盡(CPU 滿載或記憶體不足)的攻擊方式。
2、ICMP 攻擊
ICMP (Internet Control Message Protocol) 是 TCP/IP 通訊協定中定義封包的一種,主要功能是用來在網路上傳遞一些簡單的控制訊號。
ICMP DoS 攻擊主要有以下兩種手法:Ping of Death 與 Smurf 攻擊。
3、UDP 攻擊
利用 UDP 協議,發送大量偽造的 UDP 連接請求,使得被攻擊方資源耗盡(CPU 滿載、頻寬被占滿或記憶體不足)的攻擊方式。
4、Land 攻擊
運用 IP Spoofing 技術送出一連串 SYN 封包給目標主機,讓目標主機系統誤以為這些封包是由自己發送的。
由於目標主機在處理這些封包的時候,它自己無法回應給自己 SYN-ACK 封包,因而造成系統當機。
5、Smurf 攻擊
Smurf 攻擊是以最初發動這種攻擊的程序名 Smurf 來命名。
這種攻擊方法結合使用了 IP 欺騙和 ICMP 回覆方法使大量網絡傳輸充斥目標系統,引起目標系統拒絕爲正常系統進行服務。
6、Tear Drop 攻擊
Teardrop 攻擊則是利用 IP 封包重組的漏洞。當資料經由網路傳送,IP 封包經常會被切割成許多小片段。
每個小片段和原來封包的結構大致都相同,除了一些記載位移的資訊。而 Teardrop 則創造出一些 IP 片段,這些片段包含重疊的位移值。
當這些片段到達目的地而被重組時,可能就會造成一些系統當機。
7、Ping of Death 攻擊
「Ping of Death」是經由發送過大的 ping 請求 (ICMP echo request),以造成緩衝區溢位 (Overflow),繼而導致無法正常運作或當機。

Tip

影片參考|眾至NU系列 UTM教學 防火牆防護系統.介面.條例

5-8-1、防火牆功能

針對 DOS 或是 DDOS 攻擊的防護,NG-UTM 提供 SYN、ICMP 與 UDP 等 3 種協定的設定值,管理者可以根據需要適當的調整數值:
防火牆的防護設定

圖 171. 圖5-25 防火牆的防護設定

• 共用設定
【永久封鎖】:同一來源 IP 觸發下方的各種偵測超過一定次數,則會永久封鎖。次數的判定可在 5-8-2、防護記錄 內查看。被封鎖的名單會顯示在【解除IP封鎖】的連結內。
• 偵測 SYN 攻擊設定值
【允許最大流量】:每一個防火牆保護的外部 IP 位址能夠承受的每秒最大封包要求。
預設值是 10,000 封包/秒,超過設定數值,防火牆就會認為受保護的 IP 位址遭受攻擊。
【允許每個來源位址最大流量】:網路上同一個 IP 位址每秒能傳送的數量。
預設值是 100 封包/秒,超過設定數值,防火牆就會認為受保護的 IP 位址遭受攻擊。
【當來源地址超過最大流量時的阻擋時間】:一旦防火牆判斷被攻擊,自動丟棄來自攻擊者 IP 位址封包的時間,預設是 60 秒。
• 偵測 ICMP 攻擊設定值
【允許最大流量】:預設值是 10,000 封包/秒,超過設定數值,防火牆就會認為受保護的 IP 位址遭受攻擊。
【允許每個來源位址最大流量】:預設值是 100 封包/秒,超過設定數值,防火牆就會認為受保護的 IP 位址遭受攻擊。
【當來源地址超過最大流量時的阻擋時間】:一旦防火牆判斷被攻擊,自動丟棄來自攻擊者 IP 位址封包的時間,預設是 60 秒。
• 偵測 UDP 攻擊設定值
【允許最大流量】:預設值是 10,000 封包/秒,超過設定數值,防火牆就會認為受保護的 IP 位址遭受攻擊。
【允許每個來源位址最大流量】:預設值是 100 封包/秒,超過設定數值,防火牆就會認為受保護的 IP 位址遭受攻擊。
【當來源地址超過最大流量時的阻擋時間】:一旦防火牆判斷被攻擊,自動丟棄來自攻擊者 IP 位址封包的時間,預設是 60 秒。
• IP 位址封鎖
輸入要封鎖的來源 IP 位址或是目的 IP 位址,這些位址不再經過防火牆的防護機制,所有來自這些網路的連線要求會 全部拒絕
以 TCP 為例,這一些 IP 位址送過來或是要送過去的 SYN 封包通通不回應或是不送出去,設定 192.168.1.1 或 192.168.1.1/24。
• IP 位址例外
輸入來源 IP 位址或是目的 IP 位址,這些位址不再經過防火牆的防護機制,所有來自這些網路的連線要求 全部接受 ,即使它的網路封包數量可能比設定值高很多。
• 其他項目
除了可以偵測 SYN 攻擊、ICMP 攻擊與 UDP 攻擊外,UTM 提供管理者可以阻斷網路常見的攻擊手法。
其他項目防護設定

圖 172. 圖5-26 其他項目防護設定

這些防護規則,可以套用在 NG-UTM 的介面位址上,或是每一個管制條例上,只要來自網際網路的攻擊超過設定值,
NG-UTM 就會自動將攻擊者 IP 位址的封包阻擋,確保網路設備的網路安全。

5-8-2、防護記錄

NG-UTM 會記錄所有攻擊行為,管理者可針對攻擊類型、攻擊來源 IP 位址、被攻擊 IP 位址進行搜尋,
系統會詳細列出遭受攻擊時間、攻擊類型、協定、通訊埠、攻擊來源 IP 位址與被攻擊 IP 位址。
防火牆防護記錄

圖 173. 圖5-27 防火牆防護記錄

5-9、上網認證

NG-UTM 可經由上網認證的設定,讓使用者上網時需要輸入帳號及密碼,認證成功後才可以使用網路,
NG-UTM 的認證機制可以使用 HTTP 或是 HTTPS,管理者可預先設定認證前、認證後使用者看到的網頁畫面,
不僅如此,甚至可以把使用者瀏覽的網站轉到預先設定的網址。
提供給 NG-UTM 認證功能的帳號有四個來源,系統預設的認證帳號優先順序是「L,A,P,R」,說明如下:
1. 內建的本機使用者,以「L」為代表字。
2. 外部的 Radius Server,以「R」為代表字。
3. 外部的 POP3 伺服器,以「P」為代表字。
4. 外部的 AD 伺服器,以「A」為代表字。
管理者利用這四種帳號來源,建立認證機制,同時可以設定認證帳號來源的優先順序。
例如:同時建立本機使用者帳號跟 AD 伺服器 2 種認證帳號來源,並將認證帳號的優先來源設為「A,L,P,R」,
假設 AD 伺服器跟本機使用者都有一個相同的帳號名稱為 Peter,則密碼必須符合 AD 伺服器。
管理者可以任意從上述的 4 種帳號來源挑選及選擇認證時的優先順序,建立完成一個使用者群組後,就可以在管制條例中挑選特定的使用者群組套用。
當特定的來源 IP 位址要上網路時,NG-UTM 會要求這些用戶輸入帳號及密碼,認證成功後才可以使用網路。
➤ 要讓上網認證運作正常,操作步驟順序如下:
【認證設定】>【頁面設定】>【決定帳號來源】>【建立使用者群組】>【管制條例套用】

5-9-1、認證設定

NG-UTM 認證時使用的共同設定,每一個使用者群組都可以套用這些設定值,當然,管理者仍然可針對不同的帳號配置不同設定值,說明如下:
認證的共同設定

圖 174. 圖5-28 認證的共同設定

【認證通訊埠】:上網認證機制運作時使用的埠號,預設為 TCP 82。
【認證頁面】:使用者進行上網認證時,該認證頁面使用的 IP。可以是各使用者的預設閘道或自訂一個介面的 IP。
【開放連線】:勾選表示允許沒有被上網認證、電子白板管制的 IP 可連線到認證通訊埠。
【認證連線協定】:導入認證畫面的使用協定,有 HTTP 跟 HTTPS 二種可以選擇。
【同時最大連線數】:同時可以有多少個 IP 位址跟認證伺服器要求認證,預設是 256 個 IP 位址,可設定範圍為 10~256。
【當閒置多久要求重登】:使用者認證成功後就可以上網,而當閒置超過此設定的時間沒有使用網路時,NG-UTM 就會要求使用者重新認證一次。
預設值是 60 分鐘,可設定範圍為 1~1000。
【使用者登入之後多久要求重登】:每次使用者認證成功後可以使用的時間,超過此設定的時間,NG-UTM 就會要求使用者重新認證一次。
預設值是 24 小時,可設定範圍為 0~24,0 代表關閉這項功能,只要使用者的使用行為沒有觸發【當閒置多久要求重登】這個機制,認證連線都有效。
【允許修改密碼】:使用者認證成功後,可否修改認證來源的密碼。預設為關閉,勾選後,使用者可以修改自己的密碼。
【拒絕重複登入】:啟用這項功能後,每個帳號及密碼只允許一個 IP 位址登入,當另一個 IP 位址要求使用相同的帳號密碼時,會被 NG-UTM 的認證機制拒絕。
預設為關閉,代表同一個帳號可使用不同的 IP 位址登入。
【登入失敗次數超過多少暫時封鎖】:為了預防被非本人嘗試登入,管理者可設定當同一個帳號登入認證失敗超過設定值時,此帳號會被暫時封鎖無法認證。
預設為 0,代表功能關閉,使用者可以無限制的嘗試輸入密碼。
【多久解除被暫時封鎖的 IP】:當管理者啟用【登入失敗次數超過多少暫時封鎖】功能時,這一個機制才會生效。
認證失敗超過設定值而被封鎖的 IP 位址需要多長時間,才可以再次使用認證機制。
預設為 0,代表功能關閉,永久不解除被封鎖的 IP 位址。
【登入失敗次數超過多少永久封鎖】:當同一個帳號登入認證失敗超過設定值時,此帳號會被永久封鎖。預設為 0,代表功能關閉。
【不顯示封鎖頁面】:勾選後,若因認證失敗次數過多造成封鎖,不會在使用者視窗顯示封鎖訊息。勾選此選項可強化上網認證對於惡意程式阻擋的能力。
【解除 IP 封鎖】:被系統封鎖的 IP 位址都會列在這理,管理者可將這一些被封鎖的 IP 位址解除封鎖。
【帳號過期通知】:此功能限內建的本機帳號。針對有被設定使用期限的帳號,在到期前多少天系統會通知管理者,預設為 0,代表當天才發出通知。
使用者帳號有效期限本機使用者 設定。
【帳號過期刪除】:此功能限內建的本機帳號。針對有被設定使用期限的帳號,當帳號到期後,系統自動刪除該帳號。
預設為 0,代表功能關閉,也就是不會刪除帳號。若設定值為 3,則帳號失效後 3 天,此帳號就會被刪除。
【選擇認證模式】:針對系統內建的 4 種帳號來源,認證時的優先順序。系統預設為「L,A,P,R」,管理者可以自訂順序。

5-9-2、頁面設定

管理者在這裡設定上網認證時希望出現在使用者瀏覽器上的資訊,可以套用電子白板確實傳遞訊息給使用者看到。
• 頁面共用設定
這個設定會套用到整個頁面設定中。
認證頁面的共同設定

圖 175. 圖5-29 認證頁面的共同設定

【登入成功的使用者要被轉向的 URL】:針對登入成功的使用者,設定直接在其瀏覽器開啟一個指定的網頁。
例如:公司的網頁、最新消息的網站或是訊息通知的網頁。預設為空白,當使用者認證成功後,只開啟使用者所設定的瀏覽器首頁。
【是否要有閱讀頁面】:在使用者輸入帳密登入前,會出現下方設定的 Client端登入畫面,使用者點選確認閱讀後才會進入輸入視窗。
【登入成功後是否跳出登出頁面】:登入成功後,會跳出提供登出的視窗。
【頁面預設語系】:系統會自動判斷裝置語系,判斷失敗時才會採用此設定。有 English、繁體、簡體中文 3 種選項。
【頁面顏色設定】:可以更改 Client 端登入畫面的區塊及文字顏色。(可參考圖5-30)
• Client 端登入畫面設定
認證的登入畫面及檢視

圖 176. 圖5-30 認證的登入畫面及檢視

【主旨】:在主旨區顯示的文字。例如:請輸入帳號密碼。
【內容】:在內容區顯示的文字。例如:這是 ABC 公司的認證系統。
【上傳 logo】:自訂 logo 區顯示的圖示,預設是眾至資訊的 logo。
【檢視登入畫面】:管理者 儲存設定後 可點此選項來預覽畫面是否符合預期,在檢視畫面中按下【接受】按鈕,即完成登入畫面設定。
• Client 端登入後畫面設定
認證的登入後畫面及檢視

圖 177. 圖5-31 認證的登入後畫面及檢視

【登入後訊息】:管理者希望使用者登入成功後看到的訊息,例如:請不要濫用網路資源。
【檢視登入後畫面】:管理者 儲存設定後 可點此選項來預覽畫面是否符合預期。
在檢視的畫面會出現幾個訊息,包含使用者目前使用的 IP 位址、登出跟修改密碼。
【修改密碼】:當帳號來源是本機內建的使用者,使用者可以在登入後的畫面,自行更改認證帳號的密碼。
• 套用電子白板版面設定
NG-UTM 可以讓認證的登入畫面跟電子白板結合,此時登入的畫面就不是上述檢視登入畫面中的樣式,而是電子白板的設定,
但是其中的主旨、內容跟 Logo 資料,可由管理者決定是否要沿用。在啟用這項功能之前,需要先到 5-10、電子白板 中建立群組。
點選 image183 ,新增電子白板設定:
認證登入結合電子白板

圖 178. 圖5-32 認證登入結合電子白板

【註解】:這個服務的名稱,例如:認證+電子白板。
【IP 位址】:要套用這項功能的 IP 位址,例如:192.168.1.1。
【網路遮罩】:子網路遮罩,例如:255.255.255.0/24 是一個 IPV4 的 C Class。
【套用電子白板設定】:選擇一個在「管理目標 > 電子白板」預先設定好的電子白板群組。
【顯示上網認證登入畫面】:選擇是否把登入畫面中設定的主旨、內容及 Logo 嵌入電子白板中。
➤ 當電子白板設定新增完成後,將顯示於【頁面設定】的套用電子白板版面設定表格中。
可於此檢視所有設定及調整優先權、修改設定,並且 NG-UTM 提供檢視功能,可點選電腦版或手機版預覽畫面。

5-9-3、認證帳號來源

NG-UTM 的認證帳號共有 4 種來源,系統預設的認證帳號優先順序是「L,A,P,R」。
L: 本機使用者
P: 外部 POP3 伺服器
R: 外部 RADIUS 伺服器
A: 外部 AD 伺服器

本機使用者

建立本機使用者帳號,優點是可以讓使用者自行更改密碼及設定有效日期。
點選 image183 ,建立本機使用者帳號:
建立本機使用者

圖 179. 圖5-33 建立本機使用者

【名稱】:新增帳號的名稱,方便辨識這個使用者,例如:張三、李四,最多 16 個字。
【使用者帳號】:認證時使用的帳號,限英文及數字的組合,最多 16 個字元。
【使用者密碼】:這個帳號認證時使用的密碼,可以採取以下方法使密碼更安全:
· 使用字母和數字。
· 使用特殊字元(如@,但逗號與冒號不允許使用)。
· 混合使用大小寫(密碼會區分英文大小寫,請用 3 至 16 個字元,不要與帳號相同)。
【密碼檢測】:根據輸入的密碼,系統自動檢測密碼強度讓管理者參考。
【確認密碼】:再次確認輸入的密碼。
【當下次登入時要求使用者更改密碼】:是否讓使用者登入後可以修改密碼,預設是不允許。
【帳號有效期限】:設定此帳號使用期限,系統會自動帶出日期讓管理者挑選,如果沒有選擇日期,表示此帳號永遠不會過期。
【兩步驟驗證】:啟用後,除了輸入原本的密碼,需再輸入由 Google Authenticator 產生的驗證碼才能登入帳號。
• 本機使用者帳號列表
建立完成的本機使用者帳號會列表於此,可在這邊操作修改及查詢:
【過期紀錄】:所有過期的帳號。
【帳號/名稱搜尋】:NG-UTM 提供搜尋的功能,不論是帳號或是設定的名稱都可以搜尋。
【匯入/匯出】:內建的本機帳號資料可以匯入跟匯出,便於保存。

外部 POP3 伺服器

NG-UTM 的認證帳號可以跟郵件伺服器的收信 (POP3) 帳號整合,使用者不需記多筆帳號密碼。
點選 image183 ,新增 POP3 , IMAP 伺服器:
建立 POP3/IMAP 認證

圖 180. 圖5-34 建立 POP3/IMAP 認證

【網域名稱】:伺服器網域的名稱,例如:帳號 Jean@abc.com,他的 POP3 網域名稱就是 abc.com。
【伺服器】:伺服器的 IP 位址或是網域的 A 紀錄名稱,例如,9.9.9.9 或是 pop.abc.com。
【登入帳號附加網域】:認證帳號是否要加入伺服器網域名稱,預設為不加入。
例如:某個帳號為 jean@abc.com,當選擇不加入附加網域時,輸入的認證帳號為 jean;選擇加入時,認證帳號就是 jean@abc.com
【通訊協定】:共有 2 種認證協定可以選擇,一個是 POP3,另一個是 IMAP。
當選擇 IMAP 時要注意認證伺服器的 IP 位址跟網域要指向相對應的 IMAP 伺服器。
【安全性】:認證機制溝通時,要不要選用加密協定,預設是一般,就是沒有加密。
管理者可以根據伺服器提供的連線方式,另選加密方式為 TLS 或是 SSL。
【通訊埠】:認證時使用的通訊埠,預設 POP3 是 110,TLS/SSL 是 443。
【憑證】:當選擇的通訊埠是加密,是否要忽略憑證的警示。
【連線測試】:當上述的資訊都設定完成後,可以測試設定值是否正常運作。
點選連線測試的按鈕,系統會出現一個對話框,請管理者輸入一個 POP3/IMAP 的帳號,送出後回覆測試結果。
★【兩步驟驗證】:啟用後,除了輸入原本的密碼,需再輸入由 Google Authenticator 產生的驗證碼才能登入帳號。

外部 RADIUS 伺服器

NG-UTM 的認證帳號可以跟外部的 Radius 伺服器的帳號整合,讓使用者不需記多筆帳號密碼。
點選 image183 ,新增 RADIUS 設定:
建立 RADIUS 伺服器認證

圖 181. 圖5-35 建立 RADIUS 伺服器認證

【RADIUS 名稱】:此 RADIUS 伺服器的名稱,例如:my_radius。
【RADIUS 伺服器】:此 RADIUS 伺服器的 IP 位址或是網域名稱,例如:192.168.1.100 或是 radius.abc.com。
【RADIUS 伺服器通訊埠】:NG-UTM 跟 RADIUS 伺服器溝通時使用的通訊埠,預設值為 1812。
【密鑰】:NG-UTM 跟 RADIUS 伺服器溝通時使用的密鑰,密鑰錯誤時認證就無法正常運作。
【介面】:NG-UTM 是以 ZONE 為介面,而並非每個介面都可以跟 RADIUS 伺服器互通,因此要選擇能夠跟 RADIUS 伺服器通訊的介面,
如果選擇不指定,則 NG-UTM 就會按照預設的路由表跟伺服器溝通。
【連線測試】:當上述的資訊都設定完成後,可以測試設定值是否正常運作。
點選連線測試的按鈕,系統會出現一個對話框,請管理者輸入一個 RADIUS 伺服器的帳號,送出後回覆測試結果。
★【兩步驟驗證】:啟用後,除了輸入原本的密碼,需再輸入由 Google Authenticator 產生的驗證碼才能登入帳號。

5-9-4、使用者群組

建立認證機制的第 4 個步驟就是建立使用者群組。
管理者可以建立多筆使用者群組,這些群組可套用預先設定的認證設定及帳號來源,也可以另行設定。
點選 image183 ,新增使用者群組:
認證群組設定

圖 183. 圖5-37 認證群組設定

【群組名稱】:這個使用者的名稱,可以是任何文字的組合,例如:工程部群組。
【認證設定】:有 2 個模式可以選擇,
一個是可以預先設定的【共用設定】;另一個是【自訂設定】,根據使用者不同更改設定,詳細的說明請參考 5-9-1、認證設定
【選擇要編輯的使用者類型】:可以從不同選項中挑選使用者。
· 本機使用者 :從所有使用者選擇帳號後加入被選擇的使用者。
· 外部 POP3,IMAP 伺服器 :選擇預先建立的 POP3,IMAP 伺服器,加入被選擇的使用者。
· 外部 RAIUS 伺服器 :選擇預先建立的 RADIUS 伺服器,加入被選擇的使用者。

5-9-5、認證紀錄

每一個使用者群組的認證紀錄,不論成功、失敗都會被記錄下來,管理者可以根據 IP 位址、帳號、連線狀態或是認證帳號的來源查詢。
對於認證的結果共有 6 種狀態,login Success、login Fail、logout Success、idel logout、login Timeout 跟 admin Kick-out。
認證紀錄查詢

圖 184. 圖5-38 認證紀錄查詢

5-9-6、認證連線狀態

列出目前利用上網認證的使用者及數量,包含群組名稱、使用者帳號、使用者 IP、使用者 MAC、踢除與群組踢除紀錄條列出來。

5-10、電子白板

過去大多數的企業要向員工發布訊息時,不是張貼公告就是就藉由 E-MAIL 來通知,
如果有重要訊息就採用緊急廣播的方式,或透過部門主管布達。
但在這個網路已深深影響我們生活的時代,網路已是快速傳遞訊息的最佳工具。
多數的上班族,上班的第一件事雖是打開電腦,但常常先將一些雜事處理完才開工,
因此,如果藉由 E-MAIL 通知重要訊息,可能會拖延一段時間才被看到。
眾至網頁電子白板功能,可以讓使用者打開電腦時,不管要上網瀏覽網頁或者開啟即時通訊,
都必須確認看過公司公告的重要資訊後才可以啟用。
網頁電子白板或許不能取代郵件成為主要的通報系統,
但是它可以讓習慣瀏覽網頁的人員更快接收到最新企業訊息。
➤ 要讓電子白板運作正常,操作步驟順序如下:
【建立使用者群組】>【版面設計】>【管制條例套用】

5-10-1、使用者群組

首先,需要先建立一個使用者群組,定義閱讀訊息前跟閱讀訊息後的動作。
點選 image183 ,新增使用者群組:
電子白板群組

圖 185. 圖5-39 電子白板群組

【群組名稱】:這個使用者群組的名稱,可以是任何文字的組合,例如:工程部電子白板。
【隔間多久彈跳一次訊息】:每隔多少小時,電子白板的訊息就會再次出現在使用者的網頁上,預設為 24 小時,填入範圍 1-65535。
【閱讀訊息前,阻擋全部對外連線】:勾選表示使用者網頁出現電子白板的訊息時,必須按下電子白板上的已閱讀按鈕後才能正常上網。
【閱讀訊息後,網頁內容重新導向】:閱讀電子白板的訊息後是否要將使用者的網頁轉向至公司網站等特定網址,空白表示不啟用此功能。

版面設定

建立好的群組會顯示於群組列表,點選【版面設定】。
NG-UTM 提供四種電子白板的樣板讓管理者選擇,選擇樣板後進行樣板設定:
A、基本樣板
電腦版跟手機版最主要的差別是版面大小,點選樣板設定上方的按鈕切換。
基本樣板共有 3 個區塊,標題區、內文跟已讀按鈕,在預覽之前須先儲存設定。
電子白板—基本樣板

圖 186. 圖5-40 電子白板—基本樣板

【白板訊息標題】:輸入此電子白板的標題文字,例如:工程部電子白板。
【閱讀按鈕文字】:閱讀按鈕的文字是否要更改,點選自訂後就可以輸入文字。
【白板訊息內容】:輸入內容文字,可以使用 HTML TAG 讓閱讀內容更清楚明瞭。
【背景顏色】:選擇一個適當的背景色。
B、圖片樣板
電腦版跟手機版最主要的差別是版面大小及圖片顯示數量。
圖片樣板共有 3 個區塊,標題區、圖片跟已讀按鈕,在預覽之前須先儲存設定。
電子白板—圖片樣板

圖 187. 圖5-41 電子白板—圖片樣板

【白板訊息標題】:輸入此電子白板的標題文字,或設為隱藏(如果標題和閱讀按鈕都設為隱藏,則此電子白板只會顯示圖片)。
【圖片顯示】:手機版僅能顯示一張圖片,電腦版可以設定顯示 1/4/9 張圖片。
【圖片變換】:電子白板圖片區的圖片每隔幾秒鐘變換一次,預設為 30 秒。
【圖片大小】:管理者可以選擇預設或自訂圖片大小。
【模式選擇】:電腦版功能,選擇圖片要隨機顯示還是依在圖片管理自訂的順序顯示。
【圖片管理】:上傳圖片並儲存後才能操作圖片管理。
當【模式選擇】為全部隨機時,可以於此選擇哪幾張圖片要顯示於此電子白板。
當【模式選擇】為自訂時,可依設定的【圖片顯示】張數,選擇每個圖片序號的位置要顯示哪些圖片。
例如:上傳了 6 張圖片,而【圖片顯示】張數為 4 張,【圖片變換】設定為 3 秒。
若【模式選擇】為全部隨機;在【圖片管理】選擇 6 張圖片,那麼此電子白板將每 3 秒隨機顯示其中 4 張圖片。
而若【模式選擇】為自訂;在【圖片管理】可以分別設定圖片序號 1~4 的位置要顯示哪些圖片。
【隱藏閱讀按鈕】:閱讀按鈕是否要隱藏,若隱藏閱讀按鈕,則使用者點選圖片任何一個地方即代表已閱讀。
【閱讀按鈕文字】:閱讀按鈕的文字是否要更改,點選自訂後就可以輸入文字。
【背景顏色】:選擇一個適當的背景色。
C、圖文樣板
電腦版跟手機版最主要的差別是版面及可顯示的圖片大小。
圖文樣板共有 3 個區塊,標題區、圖片+文字區跟已讀按鈕,在預覽之前須先儲存設定。
電子白板—圖片樣板

圖 188. 圖5-42 電子白板—圖文樣板

【白板訊息標題】:輸入此電子白板的標題文字,或設為隱藏(如果標題和閱讀按鈕都設為隱藏,則此電子白板只會顯示圖文)。
【圖文顯示】:圖文區顯示幾組圖片+文字,預設為 3 組。
【圖文變換】:圖文區的圖面每隔幾秒鐘更換一次,預設是 30 秒。
【圖片大小】:管理者可以選擇預設或自訂圖片大小。
【模式選擇】:選擇圖片要隨機顯示還是依在圖片管理自訂的順序顯示。
【隱藏閱讀按鈕】:閱讀按鈕是否要隱藏,若隱藏閱讀按鈕,則使用者點選圖片任何一個地方即代表已閱讀。
【閱讀按鈕文字】:閱讀按鈕的文字是否要更改,點選自訂後就可以輸入文字。
【群組管理】:須先新增圖文群組後才可操作。
【背景顏色】:選擇一個適當的背景色。
【新增圖文群組】:新增欲顯示在電子白板的圖文。
D、路徑連結
可以上傳自行設定的頁面或是由 NG-UTM 抓取管理者預設存在網路上的資料,把它當作電子白板的樣本。
不論哪一種,都可以點選網頁範例中的原始碼,把它改成管理者要的模式就可以運用。
在這個模式下,電腦版跟手機版的設定都是一樣的。
• 模式一、HTTP 上傳
透過 HTTP 上傳預先設定好的數個檔案,再決定如何顯示。
【檔案管理】:根據上傳的檔案,再決定要固定顯示還是隨機。
【圖片變換】:圖片區的圖片每隔幾秒鐘更換一次,預設為 30 秒。
【閱讀按鈕文字】:閱讀按鈕的文字是否要更改,點選自訂後就可以輸入文字。
• 模式二、FTP 伺服器
NG-UTM 到管理者預設的 FTP 伺服器中固定的目錄中抓取檔案,並按照設定的資訊顯示於電子白板。
【系統主機 IP】:FTP 伺服器的 IP 位址,例如:192.168.10。
【資料夾目錄】:抓取 FTP 伺服器特定資料夾的檔案,此時需要指定資料夾的目錄,例如:publicepaper。
【登入帳號】:登入 FTP 伺服器的帳號。
【登入密碼】:登入 FTP 伺服器的密碼,輸入完成後可以按下連線測試,測試輸入的資料是否正常。
【自動更新時間】:每隔多少時間到 FTP 伺服器登入檢查是否有新檔案。
【立即更新】:立即去檢查 FTP 伺服器的目錄下是否有新的檔案。
【檔案管理】:根據上傳的檔案,再決定要固定顯示還是隨機。
【網頁變換】:圖片區的圖片每隔幾秒鐘更換一次,預設為 30 秒。
【閱讀按鈕文字】:閱讀按鈕的文字是否要更改,點選自訂後就可以輸入文字。
• 模式三、Samba 伺服器
NG-UTM 到管理者預設的 Samba 伺服器(網路芳鄰)中固定的目錄抓取檔案,並按照設定的資訊顯示於電子白板。
【系統主機 IP】:Samba 伺服器的 IP 位址,例如:192.168.10。
【資料夾目錄】:抓取 Samba 伺服器特定資料夾的檔案,此時需要指定資料夾的目錄,例如:publicepaper。
【登入帳號】:登入 Samba 伺服器的帳號。
【登入密碼】:登入 Samba 伺服器的密碼,輸入完成後可以按下連線測試,測試輸入的資料是否正常。
【自動更新時間】:每隔多少時間到 Samba 伺服器登入檢查是否有新檔案。
【立即更新】:立即去檢查 Samba 伺服器的目錄下是否有新的檔案。
【檔案管理】:根據上傳的檔案,再決定要固定顯示還是隨機。
【圖片變換】:圖片區的圖片每隔幾秒鐘更換一次,預設為 30 秒。
【閱讀按鈕文字】:閱讀按鈕的文字是否要更改,點選自訂後就可以輸入文字。

5-10-2、已閱讀白板使用者 IP

凡走過必留下痕跡,凡閱讀過必留下資訊,NG-UTM 網頁電子白板功能,不僅可以提供企業一套好的訊息傳播工具。
更重要的是它可以記錄所有使用者瀏覽訊息的情形,詳細記錄使用者閱讀電子白板訊息的主題與瀏覽時間。
如果希望再次提醒使用者,可以將其踢除,讓使用者需重新閱讀一次。
電子白板閱讀訊息

圖 189. 圖5-43 電子白板閱讀訊息