第6章 網路服務¶
NG-UTM 提供的網路服務功能,說明如下:1、DHCP 服務:當啟動 DHCP 功能時,內部 PC 可透過 NG-UTM 的介面,取得 IP 位址、DNS 伺服器等資訊。2、DDNS 服務:DDNS 是動態 DNS,通常是由第三方提供 Domain 的服務給 WAN 不固定 IP 的主機,也就是網域名稱不變,但是IP位址會隨時改變。若不固定 IP 的主機(如使用 PPPOE 的 ADSL,DHCP 的 Cable,撥接用戶)欲架設 Web、Mail 或者 FTP 等 Server,或使用者需要網路身分(網域名稱)時即需動態 DNS。3、SNMP:SNMP 是專門用於管理網路節點(伺服器、工作站、路由器、交換器…)的協定。網路管理者透過 SNMP 接收到的訊息,能即時發現並解決網路問題,或協助其規劃網路資源的運用。4、DNS 伺服器:DNS 的全稱是 Domain Name Service,是一套系統軟體,讓大家所使用及管理的電腦網路系統能夠做領域名稱與 IP 位址之間的轉換。5、病毒引擎:提供 ClamAV 跟 Kaspersky 掃毒引擎設定。6、WEB 服務:NG-UTM 提供 WEB 掃毒,包含掃描圖形檔、掃毒連線數、掃描檔案大小,同時也可以針對 HTTPS 制定憑證資訊。7、高可用性:NG-UTM 的硬體備援機制,採 Master/Backup 模式,系統正常運作的情況下網路存取皆透過指定的 MASTER 主機,同時會有一台 BACKUP 主機即時備份來自 MASTER 主機的所有資料;當目前運作中的 MASTER 主機發生故障情形時,BACKUP 主機會即時取而代之成為 MASTER 主機,來保持內/外部網路不斷線。
6-1、DHCP¶
電腦要連上網路必須先設定 IP 位址、子網路遮罩、路由、DNS 等。企業內部可能會有上百台的電腦,一般使用者對網路設定較不熟悉,因此需由網管人員去分配、設定,面對這樣大量的工作,若有 DHCP 伺服器,網路上的電腦只要設定自動取得 IP 位址,系統開機後就可以自動取得網路設定。在設定 DHCP 伺服器時,我們會設定讓使用者自動取得的 IP 位址範圍、路由、DNS,在啟動 DHCP 伺服器之後,這些資訊就會放到記憶體中。當一台使用 DHCP 自動取得 IP 的電腦連上網路後,它會以廣播的方式詢問網路上有沒有 DHCP 伺服器,而 DHCP 伺服器會回應,並送給客戶端網路設定的資料。客戶端收到這些資訊後,就將它設定為自己的 IP 位址、DNS 等。白話來說,DHCP 分配出一個 IP 的情形可視為 DHCP「出租」IP 位址給客戶端。DHCP 的租約是有期限的,時間到了之後,客戶端就必須重新取得一次 IP 位址,不過客戶端可以要求繼續使用同一個 IP。為了避免有機器一直要求使用同一個 IP,我們也可以設定同一個 IP 最長的租期是多久。除了動態的分配 IP 位址 外,DHCP 也可以設定指派固定 IP 位址。每一張網路卡都會有一個固定的網路卡位址 (MAC、Physical Address)。例如,我們可以在 FreeBSD 中使用指令 ifconfig 或是在 Windows 中使用 ipconfig/all 來看到 MAC 的資訊。以下為範例:# ifconfigfxp0: flags=88c3<UP,BROADCAST,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1500options=b<RXCSUM,TXCSUM,VLAN_MTU>inet6 fe80::202:b3ff:fe48:7c74%fxp0 prefixlen 64 scopeid 0x1inet 10.0.0.1 netmask 0xff000000 broadcast 10.255.255.255ether 00:08:c3:96:8c:22media: Ethernet autoselect (100baseTX <full-duplex>)status: active上列粗體標示的「00:08:c3:96:8c:22」就是網路卡位址,我們可以設定某個網路卡位址一定要使用固定 IP 位址,如此一來,只要這台機器使用 DHCP 要求 IP 位址時,DHCP 伺服器都會給它固定的位址。NG-UTM 是以 ZONE 為介面設計的 UTM,所以每個介面包含 802.1Q Vlan 都可以設定獨立的 DHCP 伺服器,基本上實體 Port 的 DHCP 伺服器設定都一樣,VLAN 的設定則會稍微不一樣。
6-1-1、DHCP 用戶列表¶
根據選擇的介面列出已經使用 DHCP 服務的使用者。列表中會出現使用者的主機名稱、使用時間跟狀態,狀態是指這一個使用者是上線中還是斷線,點選圖示可把這個使用者加入 DHCP 的黑名單中。
6-1-2、DHCP 伺服器¶
【介面】:首先選擇要設定的介面,可選擇實體介面 ZONE 或虛擬的 VLAN 介面。若選擇虛擬的 VLAN 介面 (802.1Q) 後,會新增欄位列出目前虛擬 Port 的介面讓管理者挑選。· 實體 ZONE 的 IP 位址 :選擇在「網路設定 > 3-2、網路介面 > 介面位址」已設定的介面位址。· 虛擬 VLAN 的 IP 位址 :選擇在「網路設定 > 3-4、VLAN(802.1Q) > IP 位址」已設定的 IP 位址。【DHCP 啟動】:要不要啟用這一個 DHCP 伺服器。
圖 188. 圖6-1 DHCP 伺服器¶
• DHCP 伺服器設定【實體介面】:依選擇的介面,此欄位會自動帶入資訊。【IP 位址】:這個實體介面的 IP 位址或是虛擬 VLAN 的 IP 位址。【MAC 位址】:這個實體介面的 MAC 位址。【廣播位址】:廣播位址與遮罩有關,為網段的最後一個 IP。 如:IP 位址 192.168.1.1/24 的廣播位址為 192.168.1.255。【IP 範圍 1 起始跟結束位址】:輸入 DHCP 伺服器的開始跟結束的 IP 位址。例如:192.168.1.20、192.168.1.30,代表發放這個範圍的 11 IP 位址。【IP 範圍 2 起始跟結束位址】:輸入 DHCP 伺服器的開始跟結束的 IP 位址。例如:192.168.1.200、192.168.1.230,代表發放這個範圍的 31 IP 位址。【主要/次要的 DNS】:DHCP 用戶使用的主要 DNS 伺服器。【主要/次要的 WINS】:選填,WINS 最主要用在 Windows 內網的名稱解析,DHCP 用戶使用的主要 WINS 伺服器。【預設租約時間】:每次 DHCP 伺服器發放 IP 位址的有效時間,預設值為 720 分 (12 小時)。【最大租約時間】:每次 DHCP 伺服器發放 IP 位址的最大有效時間,預設值為 720 分 (12 小時)。【預設閘道器 】:DHCP 用戶的閘道器 IP 位址。【網域名稱】:選填,DHCP 用戶的閘道器網域名稱。
6-1-3、DHCP 固定 IP 位址¶
6-1-4、DHCP 黑名單 MAC 位址¶
被列入黑名單的 MAC 位址會列在這裡,這些 MAC 位址就不能使用 DHCP 服務。
6-2、DDNS¶
當使用在動態 IP 位址的網路環境,DDNS 允許網際網路的使用者使用網址名稱來連線到您的伺服器,而不是使用 IP 位址,這也解決了動態 IP 位址的問題,NG-UTM 會按照設定的時間,向提供 DDNS 服務的伺服器更新介面的 IP 位址,因此管理者只需要記住 DDNS 業者給您的網域名稱,就可以順利地連回到自己的伺服器。要讓 DDNS 伺服器運作正常,有幾個步驟要預先完成,順序如下:1. 在「已註冊的 DDNS 服務」下拉選單,選取一個供應商來註冊。2. 註冊完成後,跟著服務供應商的步驟申請一個網域名稱。3. NG-UTM 的 DDNS 畫面中輸入您的 DDNS 的資料。4. NG-UTM 自動地將您目前使用的介面 IP 位址傳送到 DDNS 伺服器上。• DDNS 伺服器設定在 DDNS 列表下方點選,進入新增 Host 頁面:
圖 191. 圖6-4 DDNS 設定¶
【服務】:選取提供 DDNS 服務的廠商。【主機名稱】:前面的空格輸入申請的 DDNS 網域名稱,例如:homeLAN;後面的空格就是提供服務的廠商,如: 3322.org,這樣完整的網域名稱就是 homelan.3322.org。【對應介面】: 用哪一個介面的 IP 位址跟更新 DDNS 伺服器的資料。【帳號】:填入您申請的 DDNS 服務的使用者名稱。【密碼】:填入您申請的 DDNS 服務的密碼。【註解】: 任何文字說明這個 DDNS 網域名稱。【啟動】: 是否要啟用這個 DDNS 網域名稱。• DDNS 列表NG-UTM 會列出每一個 DDNS 網域名稱及目前的狀態。
圖 192. 圖6-5 DDNS 狀態¶
: 代表更新正常,
:代表服務無法順利運作。
:顯示系統跟 DDNS 伺服器的通聯資料。
:讓 NG-UTM 立刻執行 DDNS 更新的動作。
6-3、SNMP¶
SNMP 是專門用於管理網路節點(伺服器、工作站、路由器、交換器…)的協定。網路管理者透過 SNMP 接收到的訊息,能即時發現並解決網路問題,或協助其規劃網路資源的運用。• SNMP 介紹SNMP 管理的網路有三個構成要素:被管理的設備、代理、網路管理系統(NMSs,Network-management systems)。目前 SNMP 有 3 種版本:1. SNMPv1:欠缺加密及認證功能,皆以明碼傳送字串,使任何人皆可輕易攔截密碼,安全性備受爭議。2. SNMPv2:改進第一版的許多安全缺陷,但執行速度仍不如第一版快,且無法和其相容,因此不被廣泛接受。3. SNMPv3:修正了前兩版的問題,不僅會對所有傳輸資料進行加密,而且可使 SNMP 代理程式對管理系統做認證動作,並確保數位簽章訊息的完整性。另外,針對每項訊息有存取清單的限制。• 啟用 SNMP 服務
圖 193. 圖6-6 SNMP 設定¶
【開機自動啟用】:是否讓 SNMP 服務在開機後自動執行。【裝置名稱】:輸入 SNMP 的顯示名稱,例如:OfficeUTM。【裝置所在地】:預設為 Taipei, Taiwan,可以是任何英文字。【登入名稱】:預設為 public,只有讀的權限,管理者可修改。【聯絡人】:聯絡人的電子郵件帳號,預設為 help@common.com。【註解】:可填入描述文字,預設為 Firewall。【SNMPv3】:SNMPv3 是 SNMP 的安全版本,勾選啟動後將會套用以下的安全設定。若不勾選則使用 SNMPv2。【安全等級】:AuthPriv(認證且加密) / AuthNoPriv(認證但不加密) / NoAuthNoPriv(不認證且不加密)。【用戶名稱】:使用 SNMPv3 的使用者名稱。【認證協議】:提供 MD5/SHA 兩種認證方式,其中 SHA 較為安全。【認證密碼】:輸入認證用的密碼。【加密協議】:提供 DES/AES 兩種加密方式,其中 AES 較為安全。【加密密碼】:輸入加密用的密碼。【限制來源 IP 存取】:限制以下設定的 IP 可否存取 SNMP,或不做限制。
6-4、DNS 伺服器¶
網路是由無限多的電腦連線所構成,為了確保資料流動的正確性,每台電腦都有「固定而且單一」的「位址」;IPV4 是 0~255 數字所組成的 IP 位址,IPV6 則是由 0000:FFFFF 6 個區段組成。隨著連線主機的增加,對於要完全依靠 IP 位址來記憶與管理是較為困難的,因此有 Domain 的出現。就像每個人都有一組身分證字號,但是一大串的身分號碼難以記憶,因此就會以名字或別名稱呼。網址是由主機名稱與網域名稱兩部分組合而成。例如:網路中文名稱為 www.ShareTech.com.tw,透過 DNS 解析,即可以指到:211.22.160.28 這台主機。因此我們不必要記誦這串難記的數碼,只要輸入網域名稱就可以連上該網站;而 www.ShareTech.com.tw 與 211.22.160.28 之間的對應,中間就需要 DNS Server 來轉換。我們可以知道,網路上是用 IP 來定址的,如果要使用讓人好記的 Domain Name 來連結,就要先在一台 DNS 伺服器上記錄該網域內的名稱資料和 IP 的對應記錄,供人查詢相對應的 IP。為了達到這個功能,必須將不同的「紀錄」設定在 DNS 裡,目前比較常用的紀錄有 A、MX、CNAME、NS 等,下面會分別說明。而 NG-UTM 也支援 Inbound Loadbalance 機制,Inbound Loadbalance 就是利用 DNS 查詢的機制,當第一個來詢問 www.abc.com 時回應 WAN -1 線路位址,第二個來詢問時回應 WAN -2 線路位址,將服務平均分配在不同的線路上,達到負載均衡的目的。要達成 Inbound Load balance 則網域名稱的解析權利必須在 NG-UTM 上。• DNS 名稱說明:1、A 紀錄IPV4 位址,主機名稱和其 IPV4 位址的對應關係,例如:www.ShareTech.com.tw 對應的 IPV4 位址為 211.22.160.28,當我們在瀏覽器輸入 www.ShareTech.com.tw ,透過 DNS 解析會找到 211.22.160.28 的 IPV4 位址,而如果在網址直接輸入 211.22.160.28,也可以找到網站主機。A 紀錄沒有數量限制,不同的 A 紀錄可指向同一個 IPV4 位址,以上述的網站為例,可以再建立一筆 A 紀錄 www2.ShareTech.com.tw 對應到 IPV4 位址 211.22.160.28。2、AAAA 紀錄IPV6 位址,主機名稱和其 IPV6 位址的對應關係,例如:www.ShareTech.com.tw 對應的 IPV6 位址為 2001:288:502b::1,當我們在瀏覽器輸入 www.ShareTech.com.tw ,透過 DNS 解析會找到 2001:288:502b::1 的 IPV6 位址,而如果在網址直接輸入 2001:288:502b::1,也可以找到網站主機。AAAA 紀錄沒有數量限制,不同的 AAAA 紀錄可指向同一個 IPV6 位址,以上述的網站為例,可以再建立一筆 AAAA 紀錄 www2.ShareTech.com.tw 對應到 IP 位址 2001:288:502b::1。3、MX 紀錄MX 紀錄主要的目的是讓郵件能正常的收發,讓寄件者得知負責接收郵件伺服器位址為何。通常負責處理接收的郵件伺服器有兩台以上,所以會設定這兩台以上郵件伺服器的優先順序。設定 MX 紀錄的好處在於當您的郵件伺服器更換時,只需修改 DNS 紀錄即可,對方的郵件主機不會理會您是用哪一台電腦來負責郵件交換。【Host】:指的是網域或主機名稱,也就是郵件地址 @ 符號後面的部分,寫給這個名稱的郵件會被送到 host 欄位指定的郵件伺服器。【優先權】:與某一台主機或網域有關的 MX 紀錄可能不只一個,所以需設定 Mail Server 的優先順序。例如:要寄信到 jean@ShareTech.com.tw 時,會先寄到 ms1.ShareTech.com.tw 這台主機,但若無反應,就會寄到下一部 ms2.ShareTech.com.tw 主機。【Mail Server】:通常指的是主機名稱,假設您架設為 Mail Server,您的主機名稱通常為 mail.ShareTech.com.tw。設定 MX 記錄後,需注意是否有設定其相對應的 A 記錄或是 AAAA 紀錄。4、CNAME 紀錄即是 Nickname 別名,可以取和網路位址 (A) 相對應之網域名稱,或使用另外一個(或多個)網域名稱讓外面查詢。【nickname 別名】:這個主機名稱的另外一個別名,nickname 可以是任何有效的主機名稱。【host】:這裡是主機的正式名稱。這個主機名稱必須是正式的主機名稱,不可以是別名。例如:在網址輸入 www.ShareTech.com.tw 或 web.ShareTech.com.tw 都會到達同個網站 (211.22.160.28)。CNAME 紀錄就好像是 A 紀錄的分身,幫已存在的 A 紀錄設定其他名字。5、NS 紀錄告訴其他 DNS Server 指定哪些伺服器作為網域或子網域的網域名稱解析伺服器。
6-4-1、網域設定¶
在 DNS 伺服器設定中,目前比較常用的紀錄有 A、MX、CNAME、NS 等紀錄。要建立 DNS 伺服器,下列幾個步驟要預先完成,順序如下:1. 在【網域設定】中,輸入 DNS 網域及主伺服器 IP 位址。2. 建立常用的 A、AAAA、MX、CNAME、NS 等紀錄。3. 設定接受代理查詢的 IP 位址。
新增 DNS 網域¶
上層的 DNS 伺服器服務商在管理者申請網域時,會要求一個固定 IPV4/IPV6 的位址,這一個位址就是網域位址。當其他的 DNS 伺服器查詢管理者申請的網域時,會把這些查詢資料全部轉到這個 IP 位址上,再由管理者在此建立的 DNS 伺服器回應屬於這個網域下的 A、AAAA、MX、CNAME、NS 等紀錄。在網域設定點選
圖 194. 圖6-7 建立 DNS 網域¶
【網域名稱】:申請的網域名稱,例如:def.com。【網域位址】:首先需決定要由哪一個介面回應外界 DNS 伺服器的查詢,這個 IP 位址必須是網際網路上能夠訪問到的固定 IPV4 (必填)/IPV6 (選填) 位址,此 IP 位址通常也是管理者在上層 DNS 伺服器申請時填入的 IP 位址。例如:由 ZONE 1 的 12.13.14.15 負責回應外界的 DNS 查詢要求。【主伺服器名稱】:申請網域的主 DNS 名稱,例如:dns.def.com,系統會主動加入 2 個紀錄,一個是 SOA 紀錄,另一個是 A 紀錄。【主伺服器位址】:申請網域的主 DNS 名稱的 IP 位址,此位址會自動加入 A 紀錄中。例如:填入 12.13.14.15,則 A 紀錄中預設就會有一筆 dns.def.com 的 A 紀錄 IP 位址是 12.13.14.15。【擁有者的電子郵件地址】:輸入網域管理者的電子郵件地址。【資料更新時間】:DNS 的紀錄更新時間,預設是 10800 秒。【資料重傳間隔】:DNS 的紀錄重傳間隔時間,預設是 3600 秒。【資料過期時間】:DNS 的紀錄過期時間,預設是 604800 秒。【預設資料有效期限】:DNS 的紀錄更新時間,預設是 38400 秒。【建立對應反查網域】:若啟用,管理者需要輸入 DNS 反查的 IP 位址。這個功能只限定擁有一個 C 網域(256 個固定 IP 位址)的用戶,少於這個數量,一般都由 ISP 幫客戶做 DNS 反解。
建立 DNS 伺服器紀錄¶
建立完成基本的 DNS 伺服器設定之後,NG-UTM 會在網域設定自動建立一個 DNS 伺服器列表(主權網域)。點選狀態欄的,進入新增、刪除及修改所有的 A 紀錄、AAAA 紀錄、MX 紀錄、CNAME 等資料,
當網域設定完成後,系統會自動建立 DNS 伺服器的對應 A 紀錄及 NS 紀錄,這 2 個數值就是在網域設定中輸入的 IP 位址。
圖 195. 圖6-8 網域設定完成後 DNS 預設的紀錄¶
• 新增 A 紀錄在【新增資源記錄】,點選,代表要增加這個網域下的 A 紀錄。
圖 196. 圖6-9 建立一筆 A 紀錄¶
【名稱】:建立新的 A 紀錄,可填入英文跟數字的組合,例如:郵件伺服器可用 mail.def.com。【預設有效期限】:這筆 A 紀錄的有效期限。【位址】:第一個欄位的 ANY,代表任何人來查詢這筆 A 紀錄,會回應後面欄位輸入的 IP 位址,第二欄位之後是選擇介面及 IP 位址,如果 DNS 是提供服務給外面查詢,這個介面需要是對外有效的介面及 IP 位址,如果這筆 A 紀錄只是提供給內部使用,則選擇僅內部能訪問到的介面跟位址。【DNS 備援】:當同一筆 A 紀錄設定 2 個不同 IP 位址,查詢不到 A 紀錄時,回應備援 A 紀錄 IP 位址,通常是在 線路負載均衡 或是 Server Load Balance 上使用。• 新增 AAAA 紀錄AAAA 記錄就是 IPV6 位址模式下的 A 記錄,在【新增資源記錄】,點選,代表要增加這個網域下的 AAAA 紀錄。
【名稱】:建立新的 AAAA 紀錄,可填入英文跟數字的組合,例如:郵件伺服器可用 mail.def.com。【預設有效期限】:這筆 AAAA 紀錄的有效期限。【位址】:第一個欄位的 ANY,代表任何人來查詢這筆 AAAA 紀錄,會回應後面欄位輸入的 IP 位址,第二欄位之後是選擇介面及 IP 位址,如果 DNS 是提供服務給外面查詢,這個介面需要是對外有效的介面及 IP 位址,如果這筆 AAAA 紀錄只是提供給內部使用,則選擇儘內部能訪問到的介面跟位址。【DNS 備援】:當同一筆 AAAA 紀錄設定 2 個不同 IP 位址,查詢不到 AAAA 紀錄時,回應備援 AAAA 紀錄 IP 位址,通常是在 線路負載均衡 或是 Server Load Balance 上使用。• 新增 MX 紀錄在【新增資源記錄】,點選,代表要增加這個網域下的 MX 紀錄。
MX 記錄有優先權的觀念,數字越低代表優先權越高,如果同一個網域有 2 筆以上的 MX 紀錄,郵件服務器通常會優先高的 A/AAAA 紀錄主機溝通。一般而言,要先定義好 A/AAAA 紀錄,才能再選擇設定 MX 紀錄。
圖 197. 圖6-10 MX 紀錄¶
【網域名稱】:郵件伺服器用的網域名稱。【預設有效期限】:這筆 MX 紀錄的有效期限。【郵件伺服器】:郵件伺服器的 A/AAAA 紀錄,例如:mail.def.com。這個 A/AAAA 紀錄必須能夠查詢到,否則郵件無法正常傳遞跟接收。【優先權】:可以填入 1 以上的數字,數字越低,優先權越高。例如:mail1.def.com 的優先權設為 5,mail2.def.com 的優先權設為 10。當外界要寄郵件寄信給 def.com 的郵件主機時,會先向 mail1.def.com 要求寄信,除非 mail1.def.com 不回應,才會由 mail2.def.com 回應。設定 MX 紀錄時, MX 紀錄一定要有相對應的 A/AAAA 紀錄 ,否則郵件伺服器無法找到相對應的郵件主機位址,回應外界的要求。
圖 198. 圖6-11 MX 紀錄跟 A/AAAA 紀錄¶
• 新增 NS 紀錄當新建立一個網域時,系統自動會建立一筆 NS 跟 A 記錄給 NS 使用,管理者也可以再新增其他筆 NS 記錄。在【新增資源記錄】,點選,代表要增加這個網域下的 NS 紀錄。
一般而言,要先定義好 A/AAAA 紀錄,才能再選擇設定 NS 紀錄。
圖 199. 圖6-12 NS 紀錄¶
【網域名稱】:郵件伺服器用的網域名稱。【預設有效期限】:這筆 NS 紀錄的有效期限。【名稱伺服器】:名稱伺服器的 A/AAAA 紀錄,例如:dns2.def.com。這個 A/AAAA 紀錄必須能夠查詢到,否則使用這個 DNS 時無法正常查詢。設定 NS 紀錄時, NS 紀錄一定要有相對應的 A/AAAA 紀錄 。
圖 200. 圖6-13 NS 跟 A/AAAA 記錄¶
• 新增 CNAME 紀錄在【新增資源記錄】,點選,代表要增加這個網域下的 CNAME 紀錄。一般而言,要先定義好 A 紀錄,才能再選擇設定 CNAME 紀錄。
【名稱】:使用 CNAME 的名稱,例如:mail2.def.com。【預設有效期限】:這筆 NS 紀錄的有效期限。【實際名稱】:當查詢 CNAME 時,實際回應的 A/AAAA 紀錄。例如:mail.def.com。這個 A/AAAA 紀錄必須能夠查詢到,否則用到這個 DNS 查詢時無法正常查詢。以上述範例說明使用時機:當外界查詢 mail2.def.com 時,會自動轉給 mail.def.com,實際上執行工作的是 mail.def.com,但因某些因素不希望外界知道它的真實網域名稱,此時可以用 CNAME 的機制將它隱藏。• 新增 TXT 紀錄在【新增資源記錄】,點選,代表要增加這個網域下的 TXT 紀錄。
TXT 紀錄是 為您所在網域以外的來源提供文字資訊 的一種 DNS 紀錄,可有多種用途,例如:驗證網域擁有權及導入電子郵件安全性措施。支援 SPF、DKIM、DMARC 紀錄。【網域名稱】:輸入要採用 TXT 紀錄的網域名稱,例如:def.com。【預設有效期限】:這筆 TXT 紀錄的有效期限。【TXT 資料】:根據 TXT 紀錄的用途輸入特定的值,例如:"v=spf1 ip4:12.34.56.78 ~all"。此範例表示為 @def.com 的寄信合法 IP 為 12.34.56.78。• 新增 SRV 紀錄在【新增資源記錄】,點選,代表要增加這個網域下的 SRV 紀錄。
【名稱】:這筆 SRV 紀錄的名稱。【預設有效期限】:這筆 SRV 紀錄的有效期限。【優先權】:當有多筆紀錄時,區分優先使用的主機。優先權數字越小越優先。【權重】:當多筆優先權相同時,利用權重的不同來做負載平衡。以範例說明優先權與權重:
服務 |
優先權 |
權重 |
主機名稱 |
_smtp.example.com |
10 |
60 |
mail1.example.com |
_smtp.example.com |
10 |
40 |
mail2.example.com |
_smtp.example.com |
20 |
60 |
backup.example.com |
當網域同時有此三筆 SRV 紀錄時,將優先使用優先權為 10 的主機執行 smtp 服務。而優先權為 10 的兩筆紀錄權重相加為 100,因此有 60% 時間使用到 mail1 主機,有 40% 的時間使用到 mail2 主機,並且會優先使用權重高的主機。當優先權 10 的主機皆異常,則使用下一優先權順位的主機。【通訊埠】:服務使用的埠號。【主機名稱】:提供服務的主機名稱。
線路負載均衡¶
當同一個 A/AAAA 紀錄有 2 個不同的 IP 位址,代表要啟用 Inbound Load balance 的機制。選擇要啟用線路負載均衡的 A/AAAA 記錄,並點選狀態欄的因為是執行線路負載均衡,所以它的 IP 位址當然是另一組。設定完同一個 A/AAAA 紀錄 2 組以上不同的 IP 位址後,在下方的 View 與回應位址區會出現字樣,
管理者在此設定每一個線路分擔的比例,共有 2 個模式可供選擇,一個是優先權模式,另一個是比例模式。
圖 201. 圖6-14 線路負載均衡設定¶
【優先權模式】:管理者藉由優先權跟權重的分配,把線路負載分配到適當的線路上。例如:線路 1 (100M),線路 2 (200M);若希望外面訪問時多使用第 2 條線路,可以把線路 2 優先權設為 1、權重設為 5,這樣大部分的使用量就會跑到線路 2 上。【比例模式】:管理者單純藉由權重的分配,把線路負載分配到適當的線路上。例如:線路 1 (100M),線路 2 (200M);若希望外面訪問時多使用第 1 條線路,可以把線路 1 權重設為 10,線路 2 權重設為 1,這樣大部分的使用量就會跑到線路 1 上。Note
線路負載均衡的 A/AAAA 紀錄沒有數量的限制,只要有不同的線路跟 IP 位址都可以設定並啟用。
6-4-2、View 設定¶
設定哪一個 IP 位址可以查詢內建的 DNS 伺服器。預設是 ANY,也就是任何一個來源 IPV4/IPV6 的 IP 來查詢,DNS 伺服器都會回應。若希望只有特定網段的來源 IP 位址才可以查詢到某些 A/AAAA 紀錄,可以在這裡建立這些來源 IP 位址,並套用在 DNS 的紀錄上。點選
圖 202. 圖6-15 DNS View 設定¶
【View 名稱】:View 的名稱。【來源 IP 位址】:接受查詢服務的 IP 位址,支援 IPV4/IPV6 位址,可以換行輸入多筆資料。➤ 設定完成後,在 建立 DNS 伺服器紀錄 ,新增 A/AAAA 紀錄時就可以選擇這筆資料,此例代表只有屬於 Allow 這個群組的來源 IP 位址可以查詢。
圖 203. 圖6-16 DNS View 回應¶
6-4-3、介面設定¶
NG-UTM 的 DNS 伺服器服務除了扮演自己網域的 DNS 解析外,也可以扮演一般公用 DNS 伺服器常有的代理查詢跟網域抄寫功能:代理查詢就是使用者查詢的網域資訊,當本機的 DNS 伺服器沒有資料時,會自動向外部 DNS 查詢,並將查詢結果轉給使用者;網域抄寫就是將自己 DNS 伺服器的資料複寫給別的 DNS 伺服器。
圖 204. 圖6-17 DNS 介面設定¶
【開放介面查詢】:接受從哪一些介面進來的 DNS 查詢,沒有被勾選之介面的 DNS 查詢都會被拒絕。【接受代理查詢服務的 IP 位址】:接受代理查詢服務的 IP 位址,支援 IPV4/IPV6 位址,可以多筆資料輸入。【接受網域抄送的 IP 位址】:接受網域抄送的 IP 位址,支援 IPV4/IPV6 位址,可以輸入多筆資料。
6-5、病毒引擎¶
NG-UTM 提供 2 個掃毒引擎,一個是免費的 ClamAV 跟需要付費的 Kaspersky,預設 ClamAV 掃毒引擎是開啟的,所以在管理介面套用的掃毒機制就是由它提供,上傳 Kaspersky 的授權後,主要的掃毒引擎就會換成 Kaspersky。
6-5-1、ClamAV 掃毒引擎¶
ClamAV 全名是 Clam Antivirus,它跟 Linux 一樣強調公開程式碼、免費授權等觀念。ClamAV 提供 24 小時更新及維護病毒資料庫,任何人發現可疑病毒可以隨時跟他們取得聯繫,立刻更新病毒碼。【ClamAV 掃毒引擎目前狀態】:預設都是啟用,也沒有關閉的選項。【引擎版本】:目前使用的掃毒引擎版本,例如:ClamAV 0.98.4。【更新紀錄】:每次掃毒引擎的更新紀錄都會列在這裡。【清除紀錄】:清除所有更新紀錄。【病毒碼自動更新時間】:每次更新病毒資料庫的時間,預設為 6 小時,設定範圍是 1~24 小時。【ClamAV Database mirrors】:選擇更新病毒資料庫的伺服器。【立即更新】:馬上更新病毒資料庫。
6-5-2、Kaspersky 掃毒引擎¶
Kaspersky 掃毒引擎需要授權碼才能生效。【Kaspersky 掃毒引擎目前狀態】:預設是關閉,需要上傳授權文件才可以啟用。【引擎版本】:目前使用的掃毒引擎版本。【病毒碼數量】:顯示最新的病毒碼數量。【更新紀錄】:每次掃毒引擎的更新紀錄都會列在這裡。【病毒碼自動更新時間】:每次更新病毒資料庫的時間,預設為 6 小時,設定範圍是 1~24 小時。【清除紀錄】:清除所有更新紀錄。【立即更新】:馬上更新病毒資料庫。【Licenses】:上傳掃毒引擎的授權文件。
6-6、SandStorm¶
釣魚郵件及惡意網址猖獗,使用者常誤開或誤點到惡意的網址,而這一些惡意的木馬軟體或網址並非傳統的防毒軟體可以防護的,防火牆是安全的第一道(由外對內)也是最後一道(由內對外)防線,所以 NG-UTM 在這道防線上加入新型的防護機制。
6-6-1、Sandstorm¶
不論是使用者誤點惡意網址或是郵件中夾帶的附檔有惡意程式,Sandstorm 會自動比對,當有比對到這些惡意行為時,NG-UTM 會主動阻擋,且 Sandstorm 的資料會自動更新,讓 NG-UTM 維持有效阻擋。• Sandstorm
圖 205. 圖6-18 SandStorm 設定¶
【啟用功能】:Sandstorm 可以掃描 2 種類型的木馬程式,一個是檔案類型另一個是網址類型,而這 2 種類型分別有可能透過 WEB 或是郵件方式傳遞,管理者須確認需要的服務是 2 者都要還是特定一種。檔案類型跟 URL 分別在 WEB 或是郵件中都會存在,管理者需要在不同地方設置,這裡會用超連接讓管理者快速進入設定。【最後更新時間】:Sandstorm 會定期去資料庫拉最新的資料,按下【立即更新】可以馬上更新黑名單的資訊。【雲端測試】:點選後,系統會開啟另一個頁面,選擇要比對的項目後上傳檔案或是輸入 URL、網址,資料庫就回應是否為在黑名單中。管理者可以上傳檔案或是 URL、網址到 Sandstorm 中比對是否在黑名單資料庫中。
圖 206. 圖6-19 SandStorm 雲端測試¶
勾選 Sandstorm 的啟用功能後,該項目的詳細設定即會展開:• FILE Hash【版本】:目前的版本,括號內數字顯示為木馬數量。【風險程度】:每個樣本都會被歸類為高、中、低 3 種風險,管理者可以根據自己的需求調整,若怕誤擋正常檔案傳輸,可以取消低風險的阻擋。【WEB/郵件服務】:啟用這項功能後,需要在管理介面上執行一些設定,點選連結即可前往操作。• Web URL【版本】:目前的版本及木馬數量,括弧內的就是木馬數量。【風險程度】:每個樣本都會被歸類為高、中、低 3 種風險,管理者可以根據自己的需求調整,若怕誤擋,可以取消低風險的阻擋。【WEB服務/郵件管理】:啟用這項功能,需要在管理介面上執行一些設定,點選連結即可前往操作。【Url 測試】:點選後,系統會開啟另一個頁面,直接輸入 URL,資料庫會回應是否在黑名單中。• Domain【版本】:目前的版本及阻擋網址數量,括弧內的就是數量。【風險程度】:每個樣本都會被歸類為高、中、低 3 種風險,管理者可以根據自己的需求調整,若怕誤擋,就可以取消低風險的阻擋。【DNS】:啟用這項功能,需要在管理介面上執行一些設定,點選後直接進入 DNS Filter 的管理頁面。【Domain 測試】:點選後,系統會開啟另一個頁面,直接輸入 Domain 名稱,資料庫會回應是否在黑名單中。
6-6-2、Sandstorm 紀錄¶
管理者根據日期、功能、服務類型、風險程度或是 IP 位址等條件搜尋,系統會根據每一種攻擊特徵統計攻擊次數。搜尋結果範例如下:
圖 207. 圖6-20 Sandstorm 紀錄¶
【功能】:這筆阻擋紀錄是屬於 Sandstorm 的 3 個阻擋項目 File Hash、Web URL 跟 Domain 中的哪一類。【惡意程式類型】:木馬或是釣魚郵件類型。【次數】:同一個項目在統計期間內發生的次數。如果管理者發現 Sandstorm 的阻擋誤擋了使用者正常行為,可以在啟用欄位把誤擋的項目停用,前往 Sandstorm 停用清單可查看完整停用資訊。➤ 點選詳細的圖示,可看到內部哪個 IP 位址點了這個木馬等詳細資訊。
圖 208. 圖6-21 Sandstorm 詳細紀錄¶
6-6-3、Sandstorm 停用清單¶
被 Sandstorm 阻擋的檔案、URL 跟 Domain 皆會詳列於此處。
6-7、WEB 服務¶
NG-UTM 可掃描 HTTP 跟 HTTPS 的通訊協定,並檢查傳遞的內容是否含有病毒。除了能夠檢查這 2 種協定的封包外,也能把使用者瀏覽的網址紀錄下來,方便管理者日後查詢跟管理。HTTP/HTTPS 的掃描跟紀錄方式是採用 Transparent Proxy 模式,使用者不需要在瀏覽器做任何設定即可運作。HTTPS 部分因牽涉到 SSL 憑證信任,使用前管理者須在 NG-UTM 產生一個 SSL 根憑證,再將這個根憑證安裝到使用者的電腦上。在信任根憑證上不同的作業系統有不同的做法,一般而言,APPLE 公司的電腦、手機不接受非它信任的根憑證,所以 WEB 服務功能在 APPLE 系統上會失效。Windows 系統信任的根憑證及 Firefox 信任的根憑證也在不同地方,使用上要特別注意使用的瀏覽器信任存放在哪裡的根憑證。
6-7-1、WEB¶
• WEB 設定設定 HTTP 掃毒使用的掃毒引擎,管理者根據網路的實際狀況,配置相關的規格,讓 WEB 服務運作正常。
圖 209. 圖6-22 WEB 設定跟中毒網頁警示預覽¶
【最大掃描檔案大小 (KB)】:當 WEB 傳輸的檔案超過設定值,就無法執行掃毒,預設為 1024KBytes。【監聽 Port】:哪一些 PORT 要導入 HTTP PROXY,預設為 80,管理者可以多筆輸入,例如:80,81,88,表示這些 PORT 都會導入 HTTP 檢查。【使用掃毒引擎】:有 ClamAV 跟 Kaspersky 2 種選擇,預設是 ClamAV。若 6-5、病毒引擎 中未啟用 Kaspersky 引擎,這邊就只會有 ClamAV。【掃描結果網頁設定】:當發現病毒時,出現的警告訊息給使用者。點選【預覽】可以查看輸入的主題和內容文字是否符合預期。【主題】:輸入顯示的主題文字。【欲顯示的內容】:輸入阻擋網頁顯示的內容。• 加密連線設定NG-UTM 除了可以對 HTTP 進行管理外,對於 HTTPS 也可以執行掃毒及網站的管理。要進行 HTTPS 管理前必須先產生 SSL 的根憑證,並把這個憑證匯入每一個使用者的電腦中。HTTPS 也是使用 Transparent Proxy 技術,所以使用者在匯入憑證後不需要再設定任何瀏覽器項目。
圖 210. 圖6-23 HTTPS 設定¶
【加密連線監聽 Port】:哪一些 PORT 要導入 HTTPS PROXY,預設是 443,管理者可以多筆輸入。例如:443,8443,888,代表這 3 個 PORT 都會導入 HTTPS 檢查。【憑證產生時間】:目前本機產生的根憑證時間。【下載 SSL 憑證】:按下載就可以把 NG-UTM 本機的根憑證下載到管理者的電腦中,管理者再將這憑證傳給使用者,如果有修改 SSL 根憑證的內容,都需要再重新產生根憑證並下載,按下【重新產生憑證】就會出現對話框。
圖 211. 圖6-24 重新產生憑證¶
【憑證下載連結】:管理者也可以給每一個使用者一個 URL,讓使用者點選之後,自己安裝憑證,這個連結組合有三個部分。1. 網路介面 IP 位址或網域 ,例如:ZONE 1 介面 IP 位址是 192.168.1.254。2. 在「網路介面及路由 > 網路介面 > HTTPS Port」中設定的 PORT,預設是 443。3. myca.crt 是根憑證的名稱。在這個範例中,下載的 URL 就是 https://192.168.1.254:443/myca.crt ,使用者點選後就會自動安裝憑證。【憑證安裝程式下載連結】:原本,當使用者切換不同瀏覽器,信任的根憑證也要對應式的匯入;為避免麻煩,ShareTech 提供 Windows 系統下的安裝程式,使用 3 大瀏覽器 IE、Chrome、Firefox 的信任根憑證就可全部裝好。管理者給每一個使用者一個 URL,讓使用者點選之後,自己下載安裝程式,這個連結組合有三個部分:1. 網路介面 IP 位址或網域 ,例如:ZONE 1 介面 IP 位址是 192.168.1.254。2. 在「網路介面及路由 > 網路介面 > HTTPS Port」中設定的 PORT,預設是 443。3. download_certinstaller.php 就是安裝程式的頁面。在這個範例中,下載的 URL 是 https://192.168.1.254:443/download_certinstaller.php,使用者點選後就會自動下載安裝程式,執行安裝程式後,需要的根憑證就安裝完畢。【Apple 裝置不導入服務】:Apple 的信任憑證清單無法新增,使用 https proxy 時會導致無法連線,勾選後所有 Apple 的設備都不會進入 https proxy 中。【不導入服務來源 MAC 位址自訂】:連線若來自以下設定的 MAC 位址則不會導入 http/https 過濾。【不導入服務來源 IP 自訂】:連線若來自以下設定的來源 IP 位址則不會導入 http/https 過濾。【不導入服務 Domain 自訂】:連線到以下設定的網域不會導入 http/https 過濾。【不導入服務目的 IP 自訂】:連線到以下設定的目的 IP 位址不會導入 http/https 過濾。• 憑證安裝程式設定為了方便使用者下載 SSL 憑證,當使用者要瀏覽網頁時,如果 NG-UTM 發現這一個 IP 位址尚未安裝 SSL 憑證,就會自動將使用者的網頁轉向到下載憑證的網址。
圖 212. 圖6-25 SSL 憑證下載轉址¶
【轉址通訊埠】:使用的 PORT 號,必須是未被使用的。【通訊協定】:使用 http 還是 https 當作轉址的協定。【來源 IP 位址】:哪一些來源 IP 的人才會使用這項服務,不是這個 IP 範圍的人就不受影響。【已瀏覽 IP】:哪一些 IP 已瀏覽過。當設定的來源 IP 尚未安裝 SSL 憑證,他瀏覽的網頁會被自動轉址到下列的網頁,網頁中有 Web 憑證安裝程式及安裝說明:
圖 213. 圖6-26 轉址網頁及安裝說明¶
• SSL憑證資訊顯示目前 NG-UTM 使用的 SSL 憑證資訊,相關的憑證設定在「系統設定 > 2-11、SSL 憑證設定 」,如果 SSL 憑證有修改,每一個使用者的根憑證都需要再重新安裝及信任。• 匯入 SSL 憑證匯入 SSL 憑證,包含自行輸入或是申請的合法憑證。
6-7-2、HTTPS 連線記錄¶
選擇是否啟用 HTTPS 連線記錄,預設為關閉。若啟用則所有透過 HTTPS proxy 連線的紀錄都會在這裡,可依條件搜尋。
圖 214. 圖6-27 https 連線紀錄¶
6-7-3、白名單憑證¶
6-8、高可用性¶
NG-UTM 提供高可用性(High Availability)功能,使用 2 台相同的 NG-UTM,一台為Master,另一台為 Backup,萬一 Master 主機發生故障,馬上由 Backup 設備接手,讓網路封包不會發生斷線的情況,維持企業的運作。管理人員亦可立即獲得高可用性切換的訊息,來對原本故障的主機做修復保養的工作,使其能夠盡快恢復運作。NG-UTM 的 HA 架構為 Active-Backup 模式,也就是說 2 台設備只有一台是在工作中,另一台是 Standby 狀態,只有工作中的設備故障後,Backup 的主機會立刻接手所有的網路流量。啟用高可用性之前,要先到「網路設定 > 3-1、區域設定 」中指定哪一個 Port 為 HA Port。• 高可用性-Master
圖 217. 圖6-31 Master 主機¶
【啟用】:要不要啟用 HA 功能。【模式】:這一台設備的角色是 Master 主機。【本地主機 IP】:挑選一個防火牆未使用網段內的 IP也可以用這一個共同的虛擬 IP 位址管理設備,這一個虛擬的 IP 位址就是本地主機 IP。設定本地主機 IP 位址時要注意,必須跟原來介面的 IP 位址是同一個網段,否則會無法進入。例如:原來介面的實體 IP 位址是 192.168.1.1/24,則本地主機 IP 位址就可以設為 192.168.1.5。【遠端主機 IP】:當運作模式為 Master 時,這一個 IP 位址就是 Backup 主機的實際 IP 位址。【偵測頻率】:設定每幾秒偵測一次。【輔助偵測介面】:選擇一個輔助用的偵測介面,當兩個介面都偵測不到時才會切換服務機。【暫停切換及資料同步】:開啟後,將會暫停服務設備的切換和資料同步。【目前偵測狀態】:顯示 HA 介面和輔助偵測介面是否有偵測到對方設備。【最近資料同步時間】:Master 向 Backup 同步資料的紀錄。• 高可用性-Backup
圖 218. 圖6-32 Backup 主機¶
【啟用】:要不要啟用 HA 功能。【模式】:這一台設備的角色是 Backup 主機。【本地主機 IP】:啟用 HA 後,2 台設備會產生一個共同的虛擬 IP 位址,不論哪一台設備運作,除了可以用原始設備的 IP 位址進入外,也可以用這一個共同的虛擬 IP 位址管理設備,這一個虛擬的 IP 位址就是本地主機 IP。設定本地主機 IP 位址時要注意,必須跟原來介面的 IP 位址是同一個網段,否則會無法進入。例如:原來介面的實體 IP 位址是 192.168.1.1/24,則本地主機 IP 位址就可以設為 192.168.1.5。【遠端主機 IP】:當運作模式為 Backup 時,這一個 IP 位址就是 Master 主機的實際 IP 位址。【偵測頻率】:設定每幾秒偵測一次。【輔助偵測介面】:選擇一個輔助用的偵測介面,當兩個介面都偵測不到時才會切換服務機。【暫停切換及資料同步】:開啟後,將會暫停服務設備的切換和資料同步。【目前偵測狀態】:顯示 HA 介面和輔助偵測介面是否有偵測到對方設備。【最近資料同步時間】:Master 向 Backup 同步資料的紀錄。2 台主機開啟 HA 後,介面 IP 位址必須在同網段內的不同 IP 位址,否則會造成 IP 位址衝突。以上圖為例,當本機設為 Master,遠端主機位址設為 192.168.10.2,則 192.168.10.2 就是 Backup 主機,NG-UTM 會向遠端主機 192.168.10.2 檢查型號群組和版本是否相同,檢查成功後才可以做同步動作。Backup 主機, 會顯示最近資料同步時間,NG-UTM HA 的 Backup 主機每隔間 5 分鐘向 Master 要求同步資料,管理者也可以手動按立即同步。note
註1. 當 HA 切換至 Backup,在 Backup 主機所做的任何修改設定,Master 復原起來後,系統不會向 Backup 同步回差異資料。如果需要將 Backup 的資料同步回 Master,可以將二台角色做互換, Master 改為 Backup, Backup 改為 Master, 這樣資料就會以最初設定的 Backup 為準。註2. 不會被同步的資料,包含:內容記錄器錄下的資料、系統操作日誌、系統/網路狀態圖、電腦成員列表、流量分析資料。註3. 平時如果要從外網連到 Backup 主機,可以在外對內條例設定 port 對應連到 Backup 的 HA 介面 IP。
6-9、遠端記錄伺服器¶
• 遠端連線設定NG-UTM 可以把封包的通聯記錄用 Syslog 的方式送出給外部的 Syslog 伺服器,讓 Syslog Server 將這一些資訊保存或是進一步分析。
圖 219. 圖6-33 遠端連線設定¶
【啟用】:要不要啟用 Syslog 功能。【Server IP】:遠端 Syslog 的 IP 位址,例如:192.168.1.100。【Server Port】:遠端 Syslog 使用的 Port,預設為 UDP 514。【設備主機名稱】:設定的名稱會顯示於 syslog server ,這樣在 syslog server 就可以分辨紀錄來自哪一台設備。• Log 設定NG-UTM 能送出 2 種格式的 syslog,一個是標準 Syslog 格式,一個是 CEF 格式,使用哪一種格式由 Syslog Server 決定。• Log 項目目前可以送出 7 種紀錄給 Syslog 伺服器,每個項目後都有不只一個的細項,由管理者自行決定。1. 管理目標2. 進階防護3. 郵件管理4. 內容記錄5. VPN6. 日誌7. 系統狀態