ip分享器防火牆教學

隨著ADSL的普及,現在很多家庭或個人都不只一部電腦上網,而多台電腦上網,最多人使用的設備就是ip分享器。IP分享器是一種NAT設備,NAT本身負責真實IP與虛擬IP的轉換,本身就有一定程度的安全性,但是現在的駭客(黑客)技術精進,NAT已經沒有辦法保護躲在內部的電腦了。現在的網路,跟馬路差不多一樣危險。走在馬路上不一定被車撞,但是電腦一接上網路,就有被刺探、入侵、竊聽、攻擊的情形。所以現在的作業系統都會內建防火牆,例如:WindowsXP sp2, Linux, Unix 等等。

在設定防火牆之前,必須要先對防火牆有基本的認識,才不會適得其反,沒有阻擋到駭客,反而造成自己上網的障礙。就像是安裝保全系統一樣,自己要先知道如何設定與解除,否則自己也回不了家。

防火牆 ( Firewall ) 的本意是用來阻止火勢漫延的裝置,例如汽車的引擎室與駕駛座之間就會有一道防火牆,當意外發生時可以保護駕駛人。在電腦上的防火牆更進一步,可以阻擋所有你不願意接觸的對象。至於如何去阻擋,則必須要先了解電腦之間互聯的原理。

在網際網路上,電腦之間是以IP位址相互定位。在茫茫網海中,當電腦之間互相找到對方時,則是用port進行資料的交換。port翻譯為「埠號」,中國稱之為「端口」,玩電腦的人都直接說port,大家反而比較容易了解。

簡單的說:IP位址就像是電腦的門牌號碼,port就像是電腦的門。一般而言,一部電腦只有一個IP(這裡先不談多IP的情況),但是有65536個port,port的編號從0到65535,各有特定的用途。

打個比方說:假設你家有五個門,從0號到4號都限定不同的人可以進出,0號是佣人進出,1 號是家人進出,2 號是朋友進出,3 號是親戚進出,4 號是倒垃圾用。今天有個朋友打算去拜訪你,首先要知道你的地址門牌 (IP),找到你家之後,再看看可以從哪一門(port)進出。因為是朋友的身份,所以要從2號門進出。

有了IP與port的概念之後,進一步說明電腦防火牆的運作原理。

電腦防火牆的運作原理,最基本的有兩大方向,一個是來源IP的管理,一個是封包過濾(port管理)。

舉例說明來源IP的管理:有個朋友來找你,你問他住哪(門牌)?他說來自非洲,可是你仔細想想,根本沒有住非洲的朋友,所以這傢伙若不是騙子,就是找錯人了,你不應該,也不會讓他進來。

封包過濾(port管理):從上面「你家有五個門」的假設中,朋友應只能從 2號門進去,從其他門進出是不被允許的。如果明明是朋友,卻假裝是家人,要從1號門進去你家,那就是駭客行為了。

從廉價的IP分享器,到數十萬的防火牆設備,防火牆的運作原理都一樣,只不過之間的差異是在於允許多少複雜的管制條例(policy)的設定、IP封包篩選器、封包處理的效率、以及其他的多樣功能,例如:VPN、QoS、DMZ、預警動作、陷阱、轉送、記錄…等等。另外,IP分享器跟大型防火牆的最大差別是CPU與記憶體都沒這麼大,所以不適用在很多人同時上網的環境,例如企業用戶或是網咖(網吧)。

所以只要能夠掌握最基本的管理原則,就可以擁有防駭的技術。玩高階防火牆的人,也必定是從最初級的管理開始玩起的。

原理說完就開始講實作了。

防火牆的設定是屬於進階玩家的功能,所以一定在「進階」的選單內。基本上各品牌之間ip分享器的設定都大同小異,差別在選項的頁面位置,只要能夠找到,都可以順利完成設定。

在這裡以友旺科技出品的CAS3047為例,因為我手邊只有用友旺的CAS3047。

「進階設定」中的「封包過濾器」就是用來設定ip與port的管理。廠商還不敢稱之為「防火牆」,應該是因為功能陽春了點,不過只要善加設定,還是可以有一定程度的防護。

firewall_1

先從port的管理來設定,因為一部電腦的port有65536個,大多數合法的程式用到的port都是固定的,其中又以編號在1000號之前的port使用的最多。

一般的木馬程式、間諜軟體,還有攻擊行為都是從一些不常用的port去侵入電腦,就好像小偷從你沒注意到的通氣窗或後門溜進你家一樣。

設定與管理的方式可以分為兩種方向:一種是關閉所有的port,再根據需要去開啟必用的port。另外一種是反過來,先關閉不用的port,留下要用的port。這要看機器的設計。

友旺的CAS3047如果是設「禁止通過」的port,表示其他沒設定的port可以通過。如果是設「可以通過」的port,表示其他沒設定的port都不可以通過。

常用的port有 80 (http網頁)、443 (ssl網頁)、21 (FTP檔案傳輸)、110 (pop3 收電子郵件)、25 (SMTP 寄電子郵件)…等等,這些一定要打開允許通過,除非你有特殊的管理目的,例如:禁止內部使用者收外部的電子郵件…等。

firewall_2

哪些是日常會用到的port,如果不是很清楚,可以參考 http://www.iana.org/assignments/port-numbers

如果是打算封鎖特定的port,已知的木馬程式用的port請參考 http://www.sans.org/resources/idfaq/oddports.php

當然有些聰明的駭客會從合法程式使用的port進出你的電腦,因為這些port不會被關閉。面對這種情況,大型或高階的防火牆當然有應對的設計,就是封包檢查與過濾。IP分享器雖然沒有這麼好的設計,但也有其他的應對措施,辦法是人想出來的嘛!山不轉路轉,別忘了還有來源IP的管理。

如果你可以確定某一個IP經常對你的電腦有惡意的行為,你可以直接封鎖這個IP,讓對方無法再接觸你的電腦。

firewall_3

例如:企業用戶跟網咖除了要防止外部的惡意行為,還要管理內部電腦的不當上網行為,像有些公司禁止員工使用MSN,這就要從防火牆去控管IP。

MSN本身雖然有固定使用的port編號1863,但是當1863 port不通的時候,MSN會自己找尋可用的port,然後連回微軟的伺服主機,這一點其實跟木馬程式沒兩樣,所以光是關閉 port 1863 也擋不住MSN,這時候只好從IP去著手。

有些MIS人員抱怨MSN或是skype很難阻擋,就是因為不知道可以從IP去著手。

經過了解,MSN使用的伺服主機分別是:

207.46.104.0 / 255.255.255.0
207.46.107.0 / 255.255.255.0
207.46.108.0 / 255.255.255.0

將這三個網段的所有IP都封鎖,不准連接,這麼一來,MSN不管用什麼port,一定不通。同時不會影響其他正常使用的網路連線。

上面的數字中,207.46.104.0/255.255.255.0 意義是從207.46.104.1到207.46.104.254這些所有的IP,255.255.255.0是CLASS C 的子網路遮罩,TCP/IP 本身就是一門專門的學問,在這裡實在無法一一說明,不過就算不是很了解TCP/IP,只要確定某個IP是你不願意連接的,直接從防火牆設定封鎖,就可以達到防護的目的。

本文探討只限於一般用戶的防駭,對於內部管理的議題就牽涉到 Policy (管制條例)的設計了。

其實 Policy (管制條例)的設計就是port管制以及外部不良IP封鎖管理,加上內部使用者不同的權限區分,有的會再加上時間排程去做控管,如此而已,萬變不離其宗,只是戲法人人變的巧妙不同,只要基本的概念完全弄懂,都不會有太大的問題。

《小技巧》

如果設定防火牆之後,發現有些程式不能使用,例如:Yahoo即時通、CuteFTP…等等,可能是port忘記、或不知道要打開,這要如何判斷呢?

命令提示字元中有個指令 netstat 是用來察看電腦 port 的連接情形,可以很快幫你找到原因。

首先到「開始」>「執行」:

firewall_4

然後輸入 cmd ,之後按下「確定」。

firewall_5

這時可以看見「命令提示字元」黑黑的畫面。

請輸入 netstat -an ,注意 -an 之前要有一個空格,然後按下 Enter 鍵。

firewall_6

按下 Enter 鍵後會看到很多數字資料。其中 127.0.0.1 的資料可以忽略不看,重點是要找到有SYN_SENT 的資料。SYN_SENT 表示已送出連接的請求,但尚未得到對方的同意。

firewall_7

其中的 60.248.228.85:1917 ,冒號後的數字代表port,將這個 port 設定允許通過就可以解決不通的問題了。

17 關於 “ip分享器防火牆教學” 的評論

  1. 分享器拉出A、B、C三條線,其中一條C線接switch hub,分出五條線,請問A、B兩條線路頻寬會吃掉C的頻寬嗎?
    另請教如何有效阻隔BT、P2P吃掉頻寬?THX

  2. 1.分享器跟Switch是不一樣的東西,本身每一個port就不是獨立的,所以頻寬一定會受其他線路的影響。
    2.如果怕被p2p程式搶頻寬,必須要做頻寬管理,或是QoS的設定。分享器是比較低階的設備,大多數沒有頻寬管理的功能,所以:對使用p2p程式的人道德勸說,或是做時間的調配。再不然就是買個專業防火牆來做管控。

  3. D-LINK Switch能否真正做到頻寬自動交換的功能?
    聽說QoS也無法有效阻擋P2P數千個連接點的佔用頻寬情形,加中階俱有解封包功能防火牆又怕會拖慢速率,甚至大陸還設計出一種加密投遞封包方式的P2P軟體,如果讓這軟體普及還真是個夢饜。純粹縮減使用P2P用戶端的保證頻寬及最大頻寬、服務項目,是否能有效解決佔用頻寬問題?另請教偵測到IP的MAC位址是0.0.0.0,出現原因為何?THX

  4. 好的switch的背板頻寬一定夠大,可以確保每一個port的流量。至於「頻寬自動交換」是什麼意思,我就不懂了,要麻煩您去原廠網站問問。
    Layer 3 以上的switch就有Qos以及相關的網管功能,而且可以信賴,應該不會有所謂的「無法有效阻擋」的情況發生。話說回來,若要阻擋,也不是在switch上下手,是從防火牆著手才是正確的。直接將p2p的伺服器完全封鎖,必定可以完全阻絕所有封包,還管什麼加密不加密?
    MAC address 的格式應該是00-0C-76-7F-93-49 像這樣的格式。你說的0.0.0.0應該是IP address,看你是下何種命令取得。一般來說是代表本機,或是所有你指定區間的網段的所有位址。

  5. 是switch真能支援10/100 Mbps 自動偵測乙太網路埠,支援埠集結(port trunking),全雙工?
    我的意思不是從switch作網管,是說加裝個D-LINK switch能否加速上網速度?當然網管是從QoS下手,不過曾聽人說QoS再加裝個中階防火牆會拖慢速度,是真的嗎?您說從P2P的伺服器下手,是指目的地的伺服器?如果鎖定使用P2P軟體的IP與MAC位址,縮減其使用頻寬與封包處理次序,能否有效阻擋?
    SORRY!不察打錯了不是IP,而MAC位址是00:00:00:00:00:00才對,這樣代表發生了啥麼樣狀況?
    請賜教~THX

  6. 實際情形是這樣的,我有幾間套房租給清交大學生,可以嗅出學生使用P2P佔用頻寬情況相當嚴重!在寬頻網路領域上我純粹是個門外漢的白痴,一路摸索四處請教專家,尋求改善之道。從以前開始使用分享器,發現頻寬都被佔掉了,後來上網的人速率簡直如老牛拖車…

  7. 唉呀!你這麼一說,我就明白了。之前繞了一大圈,我都搞不清楚您是要考我還是什麼的。談理論是課堂上的事,你的問題徵結很單純啦,就是需要「頻寬管理」啦,把有限的頻寬平均分個每個房客。
    不囉嗦,直接給答案。阻絕p2p的伺服器在您這不可行,畢竟房客是花錢的大爺。要省錢當然是自己用LINUX架一個伺服器。不過您老太忙了,這個方案不適合您,廠商出的「頻寬管理器」也不是很好用,去買個NS5XT的防火牆就可以搞定了。二手的大約一萬上下,我幫一家有40台電腦的公司處理過,大家都很滿意,所以您應該可以用的很好。

  8. ip分享器是家庭用的,根本法有能力處理你這樣的環境與需求。
    還是買個專業的防火牆比較可行。大學生用網路可兇了。

  9. 之前也曾考慮乾脆就組台電腦架個LINUX管理最恰當好用不過了,正如Steven你說的,後來因忙碌打消了這個規劃,現在使用的是友旺BM-350平衡負載器作QoS,還算平穩,但偶而會因為有人使用P2P大量投遞封包造成當機斷線,甚至一天三回,很苦惱的說!
    您說的NS5XT有怎樣的主要功能,是哪一家出品的防火牆?幫我鑑定一下俠諾QNO FVR-9416S這一款是否適用?
    友旺BM-350的QoS功能據說也能阻擋P2P、IM,但是好像是澎風的>

  10. 打錯了編號,不是BM是MH,如果MH-350在QoS上鎖定該用戶端IP與MAC位址,縮減其保證頻寬及最大頻寬、優先權設為LOW,能否有效阻擋該USER使用P2P的惡行?
    MAC位址出現00: 00: 00: 00: 00: 00,是否有可能網卡相衝突造成的情形?有無可能是該用戶端電腦中了病毒?
    有請大師不吝賜教!THX

  11. 另外我有點想安裝一台VIGOR 2800,撤換掉原先中華電信的ATU-R、分享器與switch hub,一台可抵三台,有QoS且省電又不會熱當,Steven您的建議看法如何?VIGOR 2800能否與俱頻寬管理的平衡負載器串接?

  12. 我的零用錢有限,您說那些型號,我都還沒機會玩。所以沒辨法告訴您結論。
    不過,我的經驗中,幾千塊的東西,實在沒有辦法期待太多。好比說,幾百萬的車跟幾十萬的車都是四個輪子,也都能載你到目的,但是過程,還有很多方便性、安全性、舒適性…等等,就是不一樣。

  13. 這些設備價目不用十張小朋友就能拿到,老實說我沒錢又想搞的好,所以才考慮這些坊間膾炙人口的設備,說來也只有十來台電腦的網管,應該不難搞定才對…
    Steven您說的那台NS5XT,設採用by port控管方式?還是by IP控管方式?是否也有過濾封包與QoS的功能?

  14. 我是用合勤的P334的IP分享器,我不知如何設定讓我的網頁伺服器可以通過連到網路上(讓人看到網頁,有一固ip)

  15. alexliu:
    你是自己架站吧?如果只是單純給別人看網站,沒有遠端管理的要求,開 port 80 ,然後 mapped 到這台電腦的區域網段的 ip 即可。
    我沒用過你說的 ip 分享器,不過一般的分享器都有一個叫做:「虛擬伺服器」之類的功能,直接去設定,裡面有個網頁伺服器的服務,指向你架站的電腦ip就可以了。

  16. 請教大師
    如果說我想在這方面(防火牆使用 進階網路架設)學習 請問那大概需要啥基本條件?比如說特定的語言 or 操作環境 想知道可以從哪起手…

  17. 嗨,PSP,
    前陣子忙,現在才回,不好意思。
    如果是要自己開發防火牆,用c語言寫可能會好一點。這我也不會,所以沒辦法說明。
    如果是一般操作,那你對於tcp/ip要有一定程度的了解,udp也要知道。
    有錢的話,可以買個netscreen之類的硬體防火牆來玩,沒預算的話,Linux 的 iptable 也是很不錯的學習環境。

發表迴響