開源 Endian 多用途防火牆實戰 功能強操作易的開源 UTM

基礎防火牆功能管理

在 Firewall 可以分別設定 WAN to LAN 的 Port forwarding / NAT、LAN to WAN 的 Outgoing traffic、LAN to LAN 的 Inter-Zone traffic 以及 VPN 網路流量的設置管理(圖15)。其中最常見的是 WAN to LAN 的 Port forwarding 設置界面,也就是讓來自 Internet 的使用者,能夠透過防火牆的連線轉向 (Translate to) 功能,來接到位在內部網路或是 DMZ 網路中的伺服器服務,常見的有 Web (HTTP 或 HTTPS)、SMTP、DNS 等等。設置的方法很簡單,只要先挑選 Incoming IP 來源與 Incoming Service/Port,再設定所要對應的內部 IP 位址與 Port/Range 即可。進一步還可以決定是否要針對此規則啟用 Log 功能,以便未來管理人員可以進行即時的 Log 檢視。

圖15:NAT 連線管理。
圖15:NAT 連線管理。

筆者剛完成的一筆針對內部 SSL 網站,所設定的 NAT 導向設定(圖16)。如此一來 Internet 的使用者,便可以經由 TCP 443 Port 連線到此網站。點選 Apply 按鈕後,此規則將會立即生效。未來如果只是要暫時關閉此連線,只要勾選此防火牆規則的 Disabled 設定即可。

圖16:完成 NAT 設置。
圖16:完成 NAT 設置。

HTTP Proxy 功能

最影響企業用戶端資訊安全的,莫過於 Email 以及 Web 的存取。前者可以透過 EFW 所內建 AntiSpam 與 Antivirus 來加以防治。至於在 Internet 網站的連線存取部分,除了 EFW 與用戶端都要有必備的病毒防治措施之外,更積極的做法,就是強制用戶端必須透過 HTTP Proxy 上網。在設置 HTTP Proxy 前,先到 Antivirus Engine 頁面查看防毒引擎的啟用狀態(圖17)。在此有兩項重點必須注意。第一就是決定壓縮檔的處理方式,第二則是設定防毒程式的更新週期。

圖17:Antivirus Engine 設置。
圖17:Antivirus Engine 設置。

設置 Antivirus Engine 後,可開啟 HTTP Proxy。先決定 Proxy 服務所要使用的埠號,預設為 8080。再選擇當連線發生錯誤時,頁面訊息所要使用的語言。接著則可以設定透過 Proxy 連線時,所允許下載與上傳的檔案大小(圖18)。HTTP Proxy 除了可保護上網安全外,也可加速連線速度,因為它有 Cache 的管理功能。在 Cache management 可分別設定 Cache 檔案的大小限制、Cache 於記憶體的使用量限制、Cache Object 的大小限制,以及是否要啟用 Offline Cache 的功能。此外,也可以設定不要進行 Cache 的網址清單。若想要清除伺服器中所有的 Cache 資料,只要點選 Clear cache即可(圖19)。設置後打開用戶端的瀏覽器,以 IE 瀏覽器為例,開啟「網際網路選項」之後,點選位在「連線」頁面中的「LAN 設定」繼續(圖20)。

圖18:HTTP proxy 啟用設定。
圖18:HTTP proxy 啟用設定。

 

圖19:Cache 管理。
圖19:Cache 管理。

 

圖20:IE 瀏覽器設置。
圖20:IE 瀏覽器設置。

在「區域網路 (LAN) 設定」先勾選啟用 Proxy 伺服器的連線設定,再輸入 EFS 伺服器的 IP 位址與 Proxy 的埠號。在勾選「近端網址不使用 Proxy 伺服器「之後,點選「進階」按鈕。在「Proxy 設定」頁面中,可以額外設定例外的位址清單,您可以將內部網路使用的 IP 位址加入,例如:192.168.* 或 *.Local 等等(圖21)。

圖21:Proxy 伺服器連線設定。
圖21:Proxy 伺服器連線設定。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。