中小企业安全路由器基本配置.pdf

第一章第一章 中小企中小企业安全路由器基本配置业安全路由器基本配置 第一章第一章 中小企中小企业安全路由器基本配置业安全路由器基本配置 网络安全对于中小企业网管来说，已是必修的一门课。本系列文章集结Qno 侠诺在中 国各地支持企业用户的心得，提供给读者参考。本篇文章先从基本配置谈起，也就是路由器 的广域网及局域网如何进行配置，旨在让中小企业用户在进行规划时，就能善用路由器的各 种功能，提供给内部用户更好的网络服务，提升企业的经营效益。 下表列出一般中小企业在进行安全路由器的基本配置时，常会面临的问题： 项目 问题 解决功能 何时适用WAN接入？多WAN接入可解决 １ 哪些问题？有哪些不同负载均衡模式 多 WAN设定、策略路由、负载均衡 可用？ 局域网 IP如何配置？何时使用固定IP? ２ DHCP服务器 何时使用 DHCP分发 IP? 如何防止未经充许计算器上网？如何 ３ IP/MAC 绑定 防止无线网络被外人使用？ 如何把用户依部门分群组管理？如何 ４ 群组管理 简化对用户的管理工作？ 如何建立公开服务器？不同配置方式 DMZ 硬件接口、One-to-one NAT、Qno ５ 优缺点如何？如何能有较高的公开服 动态域名服务、内部DMZ 务器安全？ 综合 Qno 侠诺技术服务部的实际支持经验，一般中小企业在进行安全路由器的基本配 置时，需要特别注意的有广域网端、局域网端及公共服务器三个方面。以下分别就这三个方 面加以介绍。 1．．1 广域网端广域网端 ．． 广域网端广域网端 广域网端就是路由器对外接往网络运营商的线路。广域网线路也是宽带接入的主要路 径，因此若是发生掉线或是拥塞，则企业的宽带接入就会中断！这个状况对于有些企业会产 1 生很大的困扰。因此广域网端在安全上的首要思维，就是如何确保线路的稳定，维持企业在 各种情况下的运作。 大部份的中小企业，由于上网人数较少、或是经费有限，因此大多采用单线ADSL 即 可。如服务业或是外贸行业等企业对带宽的需要较大，或是对于网络要求较高的，则可能采 用相对费用较高的光纤。根据Qno 侠诺支持用户的经验，当发生以下情况时，较倾向采用 多 WAN 线路的配置： ·需要大量上·需要大量上 ／下载时／下载时：： ··需要大量上需要大量上 ／／下载时下载时：： 由于信息化的结果，很多企业需要不时进行大量的上下载的操作。例如成都的某矿产 商贸公司每天下班时，需要上传销售报告及存货数据，需要较多的时间。又例如位于宁波的 某民营企业，时时需要从国外客户的服务器，下载设计图面作为生产之用。当要进行下载时， 网管一般都不希望受到一般用户上网或下载影响，因此可申请二条线路：一般情况下二条线 路都开放作为用户上网用；但是当需要进行特别工作时，则可加以管制，保留特定的线路给 大量上下载的工作，以确保重要的数据能准时传送。采用多WAN 配置后，网管加班在办公 室等待数据传送的情况，就可大大减少了！ ·有跨网问题时·有跨网问题时：： ··有跨网问题时有跨网问题时：： 笔者有次到山东济南时，有位用户说他们的企业是一个农产品的商贸公司，常常需要 和在北京的总部建立 VPN 联机，但是不知道为什么，总是联机很不稳定，常常数据还没传 完，又得重新联机。这种情况，很可能就是VPN 建立跨过不同的运营商网络所产生的不稳 定问题，例如总部采用网通的线路，而分支采用电信