第7章 進階防護

NG-UTM 透過 異常 IP 分析跟交換器 (Switch) 的協同防護 ,即時監控內部機器的分部狀況,
於內部網路發出大量異常封包時,阻擋此類封包的傳送,並協助管理人員盡速排除異常狀態,
可以在事件發生的第一時間知道哪部電腦在哪個交換器 PORT 上,避免網路癱瘓。
協同防護的解決方案觀念很簡單,讓 UTM 跟 Switch 能夠互相溝通,提供各自優異的功能。
簡單來說,利用 UTM 偵測到的資安問題,除了本身對外的管制動作封鎖外,
再利用 SNMP 或是 TELNET/SSH 的命令通知 SWITCH 執行簡單的 PORT 封鎖/管制。
既可以不改變使用者的任何使用習慣,又可以在第一時間發現異常時,將出問題的電腦封鎖在一個小範圍內。
協同防禦基本概念

圖 222. 圖7-1 協同防禦基本概念

一般而言,Layer 2 且支援 SNMP 協定的交換器在市價上是可以被接受的範圍,
所以我們的解決方案不會因為費用或是部署上的問題,導致難以實行。
就算因為費用的因素,無法全面換成這樣的交換器,也可以將內網的渾沌區域限制在範圍內。
如果選擇協同防禦的交換器,則可以執行 IP-PORT-MAC 互鎖的功能。

7-1、異常 IP 分析

當 NG-UTM 偵測到介面跟介面間的網路封包傳遞有不正常連線數量、上下載流量時,
可以採取的動作有記錄、通知跟阻擋,管理者可以 3 個全選或是任選其一二,確保網路能夠正常運作。
1、記錄:
從介面出去或是進入介面的連線數、上下載流量超過設定值時,
NG-UTM 會記錄觸發這個動作的事件跟來源 IP 位址。
2、通知:
從介面出去或是進入介面的連線數、上下載流量超過設定值時,
NG-UTM 會記錄觸發這個動作的事件跟來源 IP 位址,同時根據設定的方式通知管理者。
3、阻擋:
從介面出去或是進入介面的連線數、上下載流量超過設定值時,
NG-UTM 會記錄觸發這個動作的事件跟來源 IP 位址,同時根據設定的方式阻擋這個行為繼續發生。
不論使用者執行哪一種軟體,從網路封包傳輸的角度,分成幾個現象,上傳、下載的連線數量 (Connect Session)、流量 (Flow) 跟持續時間 (Time),
藉由偵測這些數量的組合,推估使用者是正常使用網路或是有異常的行為。
以看網路影片為例,大約使用 5Mbps 的下載頻寬且會持續一段時間,但是它不會占據上傳頻寬及超高的連線數,
管理者可以設定一個在正常網路行為下都不會被觸發的數值,讓 NG-UTM 幫您做第一線的把關。
當偵測到使用者異常行為後,管理者可以採取限制頻寬、封鎖或是通知交換器將這一個 PORT 關閉等處理方式,管理者可以針對自己的需求採取對應的處理原則。
例如對於出租型的宿舍網路,屬於非常強制類型,當有人違反規定時,可把他的頻寬縮小,讓他「慢慢地」使用網路。
在設定值的部分,紀錄設定 ≤ 通知設定 ≤ 阻擋設定。

7-1-1、共同設定

選擇偵測介面,NG-UTM 會把所有設定好的介面列出讓管理者勾選,只有啟動的介面才會有偵測服務。

7-1-2、紀錄設定

當有網路封包超過設定值的事件發生,NG-UTM 會記錄下當時的來源 IP 位址跟觸發數量及持續時間,讓管理者事後查詢。
這個設定值適用於整個 NG-UTM 的所有介面 (ZONE)。
• 基本設定
內部電腦出去介面 (ZONE) 外的異常流量偵測值。
異常 IP 分析的紀錄設定

圖 223. 圖7-2 異常 IP 分析的紀錄設定

【Session 量超過】:當任一個來源 IP 位址出去介面 (ZONE) 的 網路連線數數量 超過設定值且持續一段時間後,
NG-UTM 就會把來源 IP 位址跟超過的數值記錄下來。
【Zone Out (TX) 流量超過】:當任一個來源 IP 位址出去介面 (ZONE) 的 Zone Out (TX) 流量 超過設定值且持續一段時間後,
NG-UTM 就會把來源 IP 位址跟超過的數值記錄下來。
【Zone In (RX) 流量超過】:當任一個來源 IP 位址出去介面 (ZONE) 的 Zone In (RX) 流量 超過設定值且持續一段時間後,
NG-UTM 就會把來源 IP 位址跟超過的數值記錄下來。

7-1-3、通知設定

當有網路封包超過設定值的事件發生,NG-UTM 除了記錄下當時的來源 IP 位址、觸發數量及持續時間外,
也會馬上發出通知信,通知管理者有異常的流量發生,這個設定值適用於整個 NG-UTM 的所有介面 (ZONE)。
• 基本設定
內部電腦出去介面 (ZONE) 外的異常流量偵測值。
異常 IP 分析的通知設定

圖 224. 圖7-3 異常 IP 分析的通知設定

【Session 量超過】:當任一個來源 IP 位址出去介面 (ZONE) 的 網路連線數數量 超過設定值且持續一段時間後,
NG-UTM 就會把來源 IP 位址跟超過的數值記錄下來並且發出通知信給管理者。
【Zone Out (TX) 流量超過】:當任一個來源 IP 位址出去介面 (ZONE) 的 Zone Out (TX) 流量 超過設定值且持續一段時間後,
NG-UTM 就會把來源 IP 位址跟超過的數值記錄下來並且發出通知信給管理者。
【Zone In (RX) 流量超過】:當任一個來源 IP 位址出去介面 (ZONE) 的 Zone In (RX) 流量 超過設定值且持續一段時間後,
NG-UTM 就會把來源 IP 位址跟超過的數值記錄下來並且發出通知信給管理者。

7-1-4、阻擋設定

當網路封包超過設定值的事件,NG-UTM 除了記錄下當時的來源 IP 位址、觸發數量及持續時間外,
也可啟動預設的阻擋動作,阻止這樣的情形持續發生,這個設定值適用於整個 NG-UTM 的所有介面 (ZONE)。
• 基本設定
內部電腦出去介面 (ZONE) 外的異常流量偵測值。
異常 IP 分析的阻擋設定

圖 225. 圖7-4 異常 IP 分析的阻擋設定

【Session量超過】:當任一個來源 IP 位址出去介面 (ZONE) 的 網路連線數數量 超過設定值且持續一段時間後,
NG-UTM 就會把來源 IP 位址跟超過的數值記錄下來並且啟動預設的阻擋動作。
【Zone Out (TX) 流量超過】:當任一個來源 IP 位址出去介面 (ZONE) 的 Zone Out (TX) 超過設定值且持續一段時間後,
NG-UTM 就會把來源 IP 位址跟超過的數值記錄下來並且啟動預設的阻擋動作。
【Zone In (RX) 流量超過】:當任一個來源 IP 位址出去介面 (ZONE) 的 Zone In (RX) 流量 超過設定值且持續一段時間後,
NG-UTM 就會把來源 IP 位址跟超過的數值記錄下來並且啟動預設的阻擋動作。
• 動作
當設定值被觸發後,管理者可以針對有異常行為的電腦進行的動作。
共有 6 種預設的處置方式,分別敘述如下:
異常 IP 分析的阻擋動作

圖 226. 圖7-5 異常 IP 分析的阻擋動作

【阻擋數分鐘】:
異常流量可能是偶發性的,在阻擋數分鐘後,狀況就會自動會消失,所以將這個來源 IP 位址,暫時阻擋幾分鐘,
讓他不能出去介面 (ZONE),但是介面內的互連封包並沒有影響。
【全天阻擋】:
異常行為已經嚴重違反網路使用規定,將這個來源 IP 位址阻擋一天 (24 H),禁止出去介面 (ZONE),但是介面內的互連封包並沒有影響。
【阻擋至管理者解除】:
異常行為已經嚴重違反網路使用規定,將這個來源 IP 位址禁止出去介面 (ZONE),直到管理者解除,但是介面內的互連封包並沒有影響。
【頻寬限制數分鐘】:
異常流量已經造成網路流量不公平分配,因此將這個來源 IP 位址限制使用網路頻寬數分鐘。頻寬限制的數量則在【其他設定】中設定。
【頻寬限制全天】:
異常流量已經造成網路流量不公平分配,因此將這個來源 IP 位址限制使用網路頻寬整天 (24 H)。頻寬限制的數量則在【其他設定】中設定。
【頻寬限制至管理者解除】:
異常流量已經造成網路流量不公平分配,因此將這個來源 IP 位址限制使用網路頻寬,直到管理者解除。頻寬限制的數量則在【其他設定】中設定。
• 其他設定
當基本設定的設定值被觸發後且選擇的動作是頻寬限制,則此處設定的頻寬數就會自動套用在出問題的電腦上。
異常 IP 分析的頻寬限制

圖 227. 圖7-6 異常 IP 分析的頻寬限制

【QoS 頻寬限制設定】:當任一個來源 IP 位址觸發設定值後,NG-UTM 會把這個來源 IP 位址的使用頻寬降為此設定的數值。
【網頁阻擋訊息】:執行限制頻寬時,在使用者的瀏覽網頁上出現此段文字,讓使用者知道目前已被限速中。

7-1-5、例外 IP 設定

NG-UTM 可以針對異常的 Session、上傳流量、下載流量進行記錄、通知與阻擋,但是也可以針對特定的使用者,不要執行偵測動作。
利用例外 IP 設定方式,管理者可以設定哪一些 IP 位址不要執行異常 IP 分析的工作。
點選 image180 ,新增一筆例外 IP 設定:
例外 IP 設置

圖 228. 圖7-7 例外 IP 設置

【IP/網路遮罩】:哪些 IP 位址不要執行異常 IP 分析,可以是一個 IP 位址或是一個網段。
例如:可輸入 192.168.1.5/32(一個 IP 位址),也可填 192.168.1.1/24(一個 C 網段)。
【類別】:有 3 個類別,記錄、通知跟阻擋,可以複選。
【備註】:關於來源 IP 位址的備註說明。

7-1-6、異常紀錄

針對所有異常行為,系統會詳細記錄其時間、來源 IP 位址、管制動作、觸發事件、實際量、持續時間及管制時間。
管理者可依條件查詢異常紀錄:
異常紀錄

圖 229. 圖7-8 異常紀錄

7-1-7、阻擋清單

列出目前被 NG-UTM 阻擋的來源 IP 位址,管理者具有權限放行這些被管制的 IP 位址。

7-2、交換器管理

NG-UTM 可透過交換器 (Switch) 即時監控內部機器的分部狀況,於內部網路發出大量異常封包時,阻擋此類封包的傳送,
並協助管理人員盡速排除異常狀態,避免網路癱瘓。
關於管理內部網路,每個管理者的需求都不同,有人希望掌握每一個 IP 位址的流量,有人關心每一部電腦的實際位置,
再加上內部網路的網路線盤根錯節,讓管理者頭疼。
ShareTech 的交換器管理把這一切都簡單化了,以 UTM 的 LAN 或是 DMZ 為出發點,把每一個交換器的 Uplink 跟 Downlink 標示出,
佐以階層的概念,將所有的交換器分層顯示,如圖7-8 所示,要找尋出發生問題的電腦實際位置時,按圖索驥就可以。
交換器的階層圖

圖 230. 圖7-9 交換器的階層圖

以圖形介面的方式顯示每一個 IP 位址的交換器 PORT 之後,就會讓內部網路的真實架構一目了然,例如:哪幾個交換器間彼此互接。
此時,再搭配 UTM 的位址表管理圖像,讓網路管理不再只是 IP 位址的虛擬管理,每一個 IP 接在哪一個交換器 PORT、
能不能自己更換 IP 位址,每一個管理動作都是「有圖有真相」。
• NG-UTM 支援交換器種類
NG-UTM 依不同的功能需求及現場環境,支援 2 種交換器類型: 一般標準 SNMP 網管型支援進階協同防禦的核心交換器
一般標準的 SNMP 交換器可以顯示網路狀態圖;
協同防禦型的核心交換器除了可以顯示網路狀態圖外,也可以根據管理者的設定,在交換器上自動阻擋有問題的電腦。
NG-UTM 根據不同的介面 (ZONE) 配置不同需求的交換器,
例如:ZONE 1 是內部網路區域,使用的電腦數眾多,所以配置具有協同防禦的核心交換器跟一般標準的 SNMP 交換器;
ZONE2 是內部伺服器使用區,只要搭配一般標準的 SNMP 交換器就可以滿足需求。

7-2-1、Switch 設定

• 新增 Switch
點選 image180 ,新增交換器資料:
【介面】:新增的交換器是在哪一個介面 (ZONE)。
【交換機屬性】:新增的是哪一種交換器。依選擇的交換器屬性不同,顯示的設定選項也會有差異。
以下依交換器屬性分別說明詳細的設定方式:
A、SNMP 交換器設定
新增一台一般交換器

圖 231. 圖7-10 新增一台一般交換器

【型號】:NG-UTM 會列出已經測試過且運作正常的一般 SNMP 交換器讓管理者選擇。
如果要新增的交換器不在支援的名單中,請選擇「一般 SNMP」,一般來說,只要支援網管型的交換器通常可以滿足 NG-UTM 的條件。
【名稱】:方便管理者辨識的交換器名稱,可以輸入任何中英文字,例如:2F 的工程部。
【備註】:交換器的備註,方便管理者辨識,可以輸入任何中英文字,例如:工程部的測試區。
【IP 位址】:交換器的 IP 位址,例如:192.168.1.66。
【Port】:此交換器的埠數。
【SNMP 登入名稱 (Read)】:NG-UTM 使用 SNMP 協定跟交換器溝通時具有 Read 權限的名稱,一般 SNMP 類型的交換器預設為「public」。
設定完成後可以按下【連線測試】按鈕,驗證交換器是否接受這一個名稱查詢 Read 權限的資訊。
【SNMP 登入名稱 (Write)】:NG-UTM 使用 SNMP 協定跟交換器溝通時具有 Write 權限的名稱,一般 SNMP 類型的交換器預設「private」。
設定完成後可以按下【連線測試】按鈕,驗證交換器是否接受這一個名稱查詢 Write 權限的資訊。
【管理者通訊埠】:進入交換器的管理介面使用的埠號,一般來說是 80。
B、協同防禦設定
新增一台協同防禦交換器

圖 232. 圖7-11 新增一台協同防禦交換器

【型號】:NG-UTM 會列出已經測試過且運作正常的協同防禦交換器,目前支援的品牌如 Zyxel、Cisco、Juniper 及 H3C 等。
【名稱】:方便管理者辨識的交換器名稱,可以輸入任何英文字,例如:1F。
【備註】:交換器的備註,方便管理者辨識,可以輸入任何中英文字的組合,例如:核心交換器。
【IP 位址】:交換器的 IP 位址,例如:192.168.2.55。
【Port】:此交換器的埠數。
【SNMP 登入名稱 (Read)】:NG-UTM 使用 SNMP 協定跟交換器溝通時具有 Read 權限的名稱,交換器預設值為「public」。
設定完成後可以按下【連線測試】按鈕,驗證交換器是否接受這一個名稱查詢 Read 權限的資訊。
【SNMP 登入名稱 (Write)】:NG-UTM 使用 SNMP 協定跟交換器溝通時具有 Write 權限的名稱,交換器預設值為「private」。
設定完成後可以按下【連線測試】按鈕,驗證交換器是否接受這一個名稱查詢 Write 權限的資訊。
【管理者通訊埠】:進入交換器的管理介面使用的埠號,一般來說是 80。
【命令模式】:NG-UTM 用哪一種通訊協定跟協同防禦的交換器溝通,支援 2 種模式,Telnet 跟加密的 SSH 2 種。
【命令Port】:根據前面【命令模式】選的通訊模式,例如:Telnet 是 23、加密的 SSH 是 22,這個數值不可以更改。
【登入帳號】:使用命令模式登入協同防禦交換器的帳號,例如:root 或 admin。
【登入密碼】:使用命令模式登入協同防禦交換器的密碼,例如:password。
【設定模式密碼】:使用命令模式登入協同防禦交換器進行設定時,是否還有另一層密碼保護。
如果有,則需要在這邊輸入,否則無法將正確的設定值加入協同防禦的交換器中。
【綁定模式】:NG-UTM 跟協同防禦交換器之間可以有 3 種綁定,分別是 IP+MAC+PORT、MAC+PORT 及 IP Source Guard。
並不一定每種協同防禦的交換器都支援此 3 種模式, 選擇交換器型號時,NG-UTM 就會列出此型號支援的模式提供給管理者選擇
詳細的模式說明如下:
· IP + MAC + PORT
在這個模式下,使用者的 IP 跟 MAC 位址綁定在協同防禦交換器 PORT 上,不是綁定的電腦無法透過協同防禦交換器上網。
例如:綁定 IP 位址 192.168.2.99 且 MAC 位址為 00:01:02:03:04:05 的電腦只能透過協同防禦的第 21 Port 上網,
當這部電腦改 IP 位址或是插入此交換器的其他 Port ,網路都會不通。
· MAC + PORT
在這個模式下,使用者的 MAC 位址綁定在協同防禦交換器 PORT 上,不是綁定的電腦無法透過協同防禦交換器上網。
例如:MAC 位址為 00:01:02:03:04:05 的電腦只能透過協同防禦的第 21 Port 上網,當這部電腦插入此交換器的其他 Port ,網路都會不通。
· IP Source Guard
此模式目前只支援 Zyxel 品牌的交換器,除了傳統的 IP+MAC+PORT 綁定外更可以結合 VLAN 的運作,讓綁定的運作更具有彈性。
IP Source Guard 的交換器具有禁止內部私架 DHCP 伺服器 (DHCP Snooping) 的功能,
私架的 DHCP 伺服器往往會成為內部網路不固定的網路安全威脅因素之一,具備 IP Source Guard 的交換器可以指定 DHCP 伺服器使用的 Port,
當其他 Port 有 DHCP 伺服器時,它的廣播封包通通會被禁止。
• 自動搜尋交換器
NG-UTM 提供自動搜尋交換器的功能,在 Switch 列表中,按下【自動搜尋】的按鈕,讓 NG-UTM 自動找尋所有介面 (ZONE) 下的 SNMP 交換器。
搜尋的結果會另外開啟視窗,找到要管理的交換器並在動作欄位按下 image290 ,就進入交換器的設定模式。
自動搜尋交換器

圖 233. 圖7-12 自動搜尋交換器

• Switch 列表
完成交換器的設定後,NG-UTM 會將所有的交換器列表,管理者可以在這裡查看設定的資訊是否正確。
點選image292,NG-UTM 會根據管理者設定的模式,開啟另一個視窗直接進入交換器的管理介面。
此功能讓管理者可以用統一的介面管理內部所有的交換器。
交換器管理

圖 234. 圖7-13 交換器管理

7-2-2、網路狀態圖

對許多企業的網管人員來說查詢線路是麻煩且吃力的,尤其當線路環境很雜亂時要查出哪一台 PC 接在哪一台交換器上相對困難。
NG-UTM 結合協同防禦跟一般 SNMP 網管型的交換器,即時顯示內部網路的狀況,包含交換器之間的堆疊關係,
同時讓管理者對目前內部使用者的連線狀態一目了然,包含電腦接到哪一台交換器、是否為開機狀態,即使是串接到第二層交換器也清楚顯示。
網路狀態圖

圖 235. 圖7-14 網路狀態圖

• 圖示說明:
image295:不同階層之間一定是由 Up Link+Down Link 配對組合,NG-UTM 會顯示交換器的上、下層堆疊關係。
image296:這個交換機 Port 接一台以上無網管的交換器。
image297:這個交換機 Port 有接一台 PC 且目前是開機狀態。
image298 :按下立即更新按鈕將會把所有狀態更新。
點選 image181 ,可查看詳細圖示及名稱說明。
• 顯示方式:
查看交換器跟電腦之間的組合,可以用 3 種方式呈現,依照圖形(圖7-15)、依照清單或是依照 IP 顯示,並可以選擇欲查看的介面 (ZONE)。
設定排程更新的時間,讓網路狀態及時更新,同時具有搜尋功能,在搜尋的欄位輸入 IP 位址後,可查詢這個 IP 位址在哪個交換機的第幾 PORT 上。
交換器跟電腦的顯示選項

圖 236. 圖7-15 交換器跟電腦的顯示選項

在依圖形顯示的畫面點兩下 image300image301圖示,NG-UTM 介面會另開視窗顯示交換器中這個 PORT 的詳細資訊。
個別 PORT 的詳細資訊

圖 237. 圖7-16 個別 PORT 的詳細資訊

【向上對接孔】:指定這一個 PORT 對 UP link PORT。
【啟用/關閉】:將這一個 PORT 整個開啟或是關閉。
【In / Out】:整個 PORT 的流入/流出流量。
【綁定】:當交換器是協同防禦時,管理者可以將這個 IP/MAC 鎖在這個 PORT 上。
【Zone Out (TX)/Zone In (RX)(bps)】:這個 IP 位址對網際網路的流入/流出流量。

7-2-3、綁定清單

為了網路安全因素或是方便內網管理,NG-UTM 的協同防禦機制可以設定在交換器的 Port 號上綁定某些特定電腦才能使用,非指定的電腦無法接上網路。
當在【Switch 設定】上設定交換器屬性為「協同防禦」,綁定模式為 IP + MAC + Port 或 MAC + Port 時,可在綁定清單做更進一步的設定。
在設定上 IP + MAC + Port 比 MAC + Port 多了一欄需輸入綁定的 IP 位址,其他的均相同,以下使用 IP + MAC + Port 說明。
• 新增綁定清單
點選 image180 ,新增綁定清單:
綁定清單設定

圖 238. 圖7-17 綁定清單設定

【IP 位址】:要被綁定的 IP 位址,例如:192.168.2.96。
要注意一下,這部電腦不論是設定用 DHCP 或是固定 IP,只要 IP 位址一改變,就無法存取網路資源。
【MAC位址】:要被綁定的 MAC 位址,例如:02:03:04:05:06:07。如果不是這一個 MAC 位址的電腦,無法接上網路。
【協同防禦】:這部電腦是被綁定在哪一台協同防禦的交換器上。
【Port】:這部電腦是被綁定在協同防禦交換器上的第幾埠。
【VLAN】:此綁定 IP 所屬的VLAN。
【綁定模式】:目前使用的綁定模式,是 IP + MAC + Port 或 MAC + Port。

7-2-4、IP Source Guard

NG-UTM 搭配 Zyxel 的交換器提供另一種 IP + MAC + Port 的綁定模式 — IP Source Guard。
除了可以執行 IP + MAC + Port 的綁定外,另外提供 DHCP snooping 的機制,確保內部私自架設的 DHCP 伺服器無法運作。
當在【Switch 設定】上設定交換器屬性為「協同防禦」,綁定模式為 IP Source Guard 時,可在此做更進一步的設定。
• 新增 IP Source Guard 綁定
點選 image180 ,新增一筆 IP+MAC+Port 的綁定:
新增一筆 IP source Guard 的 IP+MAC+Port 綁定

圖 239. 圖7-18 新增一筆 IP source Guard 的 IP+MAC+Port 綁定

【協同防禦】:選擇要執行 IP+MAC+Port 綁定的協同防禦交換器 IP 位址,目前只支援 Zyxel 的交換器,例如:192.168.14.2。
【VLAN】: IP Source Guard 運作時需要搭配 VLAN ,選擇要執行 IP+MAC+Port 綁定的 VLAN,系統會列出所有運作中的 VLAN 讓管理者選取。
【Trusted Ports】:在這個 VLAN 下,哪幾個 Port 不執行 IP+MAC+Port 綁定。
在 Trusted Ports 下,任何 IP 及 MAC 位址都可以使用網路。
點選【輔助選取】,NG-UTM 就會顯示交換器的示意圖供管理者選擇,
點選屬於這個 VLAN 下的 image304 就可以將此 Port 切換成 Trusted Port image305 狀態。
【輔助選取】:曾經連過交換器 VLAN 的 IP+MAC+Port 的資料,NG-UTM 可以自動將這一些資料帶入,不需再次輸入。
• 新增 DHCP Snooping 設定
IP Source Guard 可以確保每一個 VLAN 底下私自架設的 DHCP 伺服器都無法正常運作,只有公司允許的 DHCP 伺服器才有辦法發放 IP 位址,
因此管理者需要事先知道每一個不同 VLAN 的 DHCP 伺服器是接在交換器的第幾個實體 Port。
在「IP Source Guard > DHCP Snooping 設定」選取欲設定的 IP 位址後,按下【設定】進入設定畫面。(圖7-20)
選擇 VLAN 前的 Box ,NG-UTM 就會將屬於此 VLAN 的實體 Port 用紅色跟綠色框列出,其中紅色框代表 Untagged Port ,綠色是 Tagged Port。
不執行 IP+MAC+Port 綁定的 Port 就稱之為 Trusted Port,在 Trusted Port 下,任何 IP 及 MAC 位址都可以使用網路,
啟用 DHCP Snooping 功能時必須要注意,此 VLAN 下必須要有一個 Trusted Port。
點選屬於這個 VLAN 下的 image307 就可以將此 Port 切換成 Trusted Port image308 狀態。
DHCP Snooping 設定

圖 240. 圖7-19 DHCP Snooping 設定

7-2-5、PoE 排程設定

NG-UTM 搭配 Zyxel 的 PoE 交換器提供供電時間管控,點選 image180 新增排程:
PoE 的排程設定

圖 241. 圖7-20 PoE 的排程設定

【排程名稱】:設定 PoE 排程名稱。
【設定模式】:有 2 種模式可以選擇。
· 模式一:以小時為單位,將一週的週期表列出,管理點選要管理的時間段就可以。
· 模式二:設定起訖日期時間。 image310
【管理 Port】:系統會列出可新增 PoE 排程的交換器,在交換器下勾選要執行排程的 port。

7-3、內網防護

在內部網路的安全防護中,最難偵測到的攻擊類型就是廣播型的封包,如 ARP 欺騙、私架 DHCP 伺服器等,
因通訊協定的先天缺陷,導致這一類的攻擊行為難以被偵測到,
即使找到攻擊者,偵測機制也無法跟第一線的 UTM 或是交換器互相溝通,無法立即封鎖。
傳統的方式是發生問題時,到每一台交換器上拔線測試,而 NG-UTM 提供一些工具,阻止類似的攻擊。
當啟用協同防禦的交換器後,NG-UTM 提供進階的內網防護機制,保護內部網路的安全,
這些機制包含 ARP 防護、偽造 IP 偵測、偽造 MAC 偵測跟異常 IP 阻擋連動,搭配介面 (ZONE) 的選擇,把偵測機制套用在介面 (ZONE) 上。

7-3-1、防護設定

• 偵測介面
選擇內網防護要套用的網路介面 (ZONE),管理者可以選擇一個以上的介面執行偵測機制。

note

封鎖選項中的「自動封鎖」與「進階封鎖」:
當交換器是支援協同防禦的智慧型交換器,勾選「自動封鎖」表示當偵測機制觸發時,直接將在交換器中的預設管制 Port image312 的電腦封鎖;
如果也勾選了「進階封鎖」 image313 ,因為非智慧型交換器,無法詳細管理到 Port,所以有可能發生在這個 Port 底下的其他電腦被誤封鎖。
• ARP 封包警戒值
ARP 的攻擊對 UTM 設備來說較難處理,因為 ARP 是廣播型的封包,是在尚未建立 TCP/UDP 連線前就已存在的網路溝通方式。
ShareTech 的 ARP 偵測機制,可以在第一時間內就找到濫發 ARP 訊息的人,此時對方是處於 ARP 攻擊前的準備,尚未發動任何攻擊,
搭配協同防禦交換器的設備,可以標示出這個 IP 的實體位置,讓他無所遁形。
萬一,偵測到內部有受害者出現,管理者就可以合理的懷疑,曾經濫發 ARP 訊息的 IP 位址可能是攻擊者,
管理者可以啟用協同防禦的機制,將攻擊者的交換器 PORT 封鎖掉,把攻擊者堵在他自己的網路卡上。
在 ARP 封包警戒值設定:
ARP 偵測機制

圖 242. 圖7-21 ARP 偵測機制

【每個來源 IP 位址每秒發送超過】:每個來源 IP 位址每秒發送超過多少個 ARP 要求,就會被 NG-UTM 視為不正常行為。
預設為 100 個,數值越大,偵測的靈敏度越低;不過相對地,靈敏度越高也越常發生誤判。
【自動封鎖】:偵測到 ARP 異常行為時,NG-UTM 主動封鎖攻擊者的交換器 PORT。
【信任位址】:輸入不執行 ARP 異常行為偵測的 IP 位址,可換行新增下一筆。
• 偽造者偵測:IP/MAC
偽造 IP / MAC 偵測

圖 243. 圖7-22 偽造 IP / MAC 偵測

NG-UTM 內建的偵測機制,可以減輕內部 IP 衝突或 MAC 衝突方面的困擾。
【IP 位址衝突偵測】:是否啟用這項功能,預設為關閉。
【自動封鎖】:偵測到 IP 位址衝突時,NG-UTM 主動封鎖偽造 IP 的電腦。
【信任位址】:輸入不執行 IP 位址衝突偵測的 IP 位址,可換行新增下一筆。
【MAC位址衝突偵測】:MAC 位址偵測的頻率,預設為每 3 小時偵測一次。
【自動封鎖】:偵測到 MAC 位址衝突時,NG-UTM 主動封鎖偽造 MAC 的電腦。
【信任位址】:輸入不做 MAC 位址衝突偵測的 MAC 位址,可換行新增下一筆。
• 協同防禦
搭配在「進階防護 > 異常 IP 分析 > 7-1-4、阻擋設定 」的設定。
在內網防護上搭配協同防禦的交換器可以執行連動機制,當內部使用者超過使用的連線數或是 TX/RX 流量,
NG-UTM 會自動通知交換器執行封鎖的動作,該部電腦就無法繼續使用。
異常 IP 分析跟協同交換器連動

圖 244. 圖7-23 異常 IP 分析跟協同交換器連動

【連動異常 IP 阻擋清單 Port 關閉】:若偵測介面有 IP 出現在「異常 IP 阻擋清單」,則封鎖該 port。
【連動 IPS Port 關閉】:若偵測介面有 IP 出現在「IPS 紀錄」中,則封鎖該 port。可以設定觸發封鎖的頻率。
• 通知項目
當有觸發防護設定的事件發生時,在第一時間通知管理者處理。
可勾選的項目:連動異常 IP 阻擋、連動 IPS Port 阻擋、Arp 防護、IP 衝突、MAC 衝突。

7-3-2、ARP 紀錄

ARP 的攻擊的偵測紀錄,記錄時間、IP 位址、MAC 位址、事件、接入位置、狀態與動作,並分辨出攻擊者跟受害者。
ARP 攻防紀錄

圖 245. 圖7-24 ARP 攻防紀錄

【IP 位址】:哪一個 IP 位址發出大量 ARP 封包攻擊別人或是接受到大量的 ARP 封包的受害者。
【介面】:選擇要搜尋的內部網路介面 (ZONE)。
【事件】:搜尋全部 / 超出警戒值 / 受害者 的事件。(超出警界值:疑似為攻擊者)
【狀態】:ARP 攻擊進行中或是已經停止。

7-3-3、MAC 衝突紀錄

偽造 MAC 位址的攻防偵測紀錄,搭配協同防禦交換器,連同接入的位置都會顯示出來。
MAC 攻防紀錄

圖 246. 圖7-25 MAC 攻防紀錄

【MAC 位址】:衝突的 MAC 位址。
【IP 位址】:顯示目前衝突的 IP 位址。
【接入位置】:疑似攻擊者或受害者是在協同防禦交換器上的哪一個實體埠上。
【狀態】:偽造 MAC 的說明。
【重新記錄位址】:把 MAC 位址的資料全部清除,重新學習並開始統計偽造資訊。

7-3-4、IP 衝突紀錄

偽造 IP 位址的攻防偵測紀錄,搭配協同防禦交換器,連同接入的位置都會顯示出來。
IP 攻防紀錄

圖 247. 圖7-26 IP 攻防紀錄

【MAC 位址】:顯示目前衝突的 MAC 位址。
【IP 位址】:衝突的 IP 位址。
【接入位置】:疑似攻擊者或受害者是在協同防禦交換器上的哪一個實體埠上。
【狀態】:偽造 IP 的說明。

7-3-5、封鎖狀態

NG-UTM 提供進階的內網防護機制,保護內部網路的安全,包含 ARP 防護、偽造 IP 偵測、偽造 MAC 偵測跟異常 IP 阻擋連動,
如果有任何 IP / MAC 違反存取規則而被封鎖,所有的資訊都會顯示在這裡,管理者也可以在這裡執行解除封鎖的動作。