廣域網(wǎng)WAN端口設(shè)置

WAN端口是路由器配置對外接到網(wǎng)絡(luò)運(yùn)營商的線路。WAN線路是寬帶接入的主要路徑，如果發(fā)生掉線或是擁塞，就會造成企業(yè)的寬帶接入中斷，這就會對企業(yè)造成很大的困擾。因此，WAN端口在安全的首要思維，就是如何確保線路的穩(wěn)定，維持企業(yè)在各種情況下的運(yùn)作。

大部份中小企業(yè)，由于上網(wǎng)人數(shù)較小、或是經(jīng)費(fèi)有限，因此大多采用單線ADSL即可。企業(yè)對帶寬的需要較大，或是對于網(wǎng)絡(luò)要求較高的，例如服務(wù)業(yè)或是外貿(mào)行業(yè)，則可能采用相對費(fèi)用較高的光纖。

較傾向采用多WAN線路的配置

偶而需要大量上/下載：由于信息化的結(jié)果，很多企業(yè)需要不時進(jìn)行大量的上下載的操作。例如成都的某礦產(chǎn)商貿(mào)公司每天下班時，需要上傳銷售報告及存貨數(shù)據(jù)，需要較多的時間。又例如位于寧波的某民營企業(yè)，經(jīng)常需要從國外客戶的服務(wù)器下載設(shè)計圖作為生產(chǎn)之用。當(dāng)要進(jìn)行下載時，網(wǎng)管一般都不希望受到一般用戶上網(wǎng)或下載影響，因此可申請兩條線路：一般情況下兩條線路都開放作為用戶上網(wǎng)用;但是當(dāng)需要進(jìn)行特別工作時，則可加以管制，保留特定的線路給大量上下載的工作，以確保重要的數(shù)據(jù)能準(zhǔn)時傳送。采用多WAN配置后，網(wǎng)管加班在辦公室等待數(shù)據(jù)傳送的情況，就可大大減少了。

跨網(wǎng)問題，例如某企業(yè)在湖南設(shè)有公司機(jī)構(gòu)，常常需要和在北京的總部建立VPN聯(lián)機(jī)，但是不知道為什么，聯(lián)機(jī)總是很不穩(wěn)定，常常數(shù)據(jù)還沒傳完，又得重新聯(lián)機(jī)。這種情況，很可能就是VPN建立跨過不同的運(yùn)營商網(wǎng)絡(luò)所產(chǎn)生的不穩(wěn)定問題，例如總部采用網(wǎng)通的線路，而分支采用電信的線路，跨網(wǎng)帶寬不足，而產(chǎn)生的現(xiàn)象。這種情況，也可采用多WAN路由器解決，即總部同時接入網(wǎng)通及電信的線路，屬于網(wǎng)通線路的外點(diǎn)從網(wǎng)通的入口建立VPN，電信的外點(diǎn)則從電信線路建VPN，這樣即可解決跨網(wǎng)帶寬小或不穩(wěn)定的情況。

需要備援時

多WAN線路的另一個優(yōu)點(diǎn)是提供備援功能。一個常見的情況是有些地區(qū)運(yùn)營商會增送光纖用戶ADSL線路，這時就可以光纖配合ADSL作備援，在前者發(fā)生故障時，以ADSL先頂著用。有的用戶則希望用不同運(yùn)營商的線路，這樣在A運(yùn)營商線路或機(jī)房發(fā)生問題時，可以B運(yùn)營商線路替代。對于某些行業(yè)，例如媒體行業(yè)，需要隨時可以上網(wǎng)，這個功能就顯得尢為重要。

當(dāng)ADSL帶寬不足時：一般企業(yè)用ADSL來的多，根據(jù)統(tǒng)計顯示中小企業(yè)寬帶用戶增加最多的就是采用ADSL上網(wǎng)。但有些地區(qū)提供的ADSL相對帶寬顯得較小，例如64K/64K的線路，對于企業(yè)應(yīng)用顯然不足，不過申請光纖又比幾條ADSL還來得貴，在這種情況下，利用多WAN路由器配置匯聚多條ADSL線路，不失為一可行又省錢的方法。由于廣域網(wǎng)端為企業(yè)上網(wǎng)唯一的路線，因此對于企業(yè)上網(wǎng)有決定性的重要。

局域網(wǎng)LAN端口設(shè)置

LAN端口是對內(nèi)接到企業(yè)用戶的線路，有些路由器配置本身有局域網(wǎng)端口，可下接交換機(jī)；有的網(wǎng)管則會將路由器配置先接到骨干交換機(jī)，再向下接到一般的交換機(jī)。以上這兩種作法均可，后者適合較大的吞吐量的應(yīng)用情況，一般的企業(yè)應(yīng)用，路由器配置的局域端口是可以隨著帶寬轉(zhuǎn)發(fā)的。因此在硬件配置，這是較為簡單的。

要進(jìn)行一個好的安全網(wǎng)絡(luò)的配置，IP的管理是頂重要的。IP就是計算機(jī)在互聯(lián)網(wǎng)的地址，因此要能有效管理地址，才能預(yù)防攻擊或針對有問題的計算機(jī)加以管制。對于網(wǎng)管而言，在IP管理方面要注意的事項(xiàng)，主要為計算機(jī)采用固定IP地址、DHCP服務(wù)器發(fā)放固定IP、防止未允許的計算機(jī)上網(wǎng)及群組管理等四個重要項(xiàng)目，以下分別進(jìn)行說明：

計算機(jī)采用固定IP地址

計算機(jī)采用固定IP地址，是最嚴(yán)密的配置方式。這個作法，必須要求用戶在計算機(jī)中手動鍵入IP地址相關(guān)數(shù)據(jù)。這樣做的好處是每臺機(jī)器的IP都必須是事先指定，沒有事先指定的IP，則無法上網(wǎng)，外來的用戶或是計算機(jī)不能輕易地通過企業(yè)網(wǎng)絡(luò)上網(wǎng)。不過對于用戶而言，必須要設(shè)定固定IP，到其它場合又要重新設(shè)定，對于部份常需要移動的用戶，例如業(yè)務(wù)人員或是高階主管，造成不小的困擾。

DHCP服務(wù)器發(fā)放固定IP

DHCP服務(wù)器的好處是用戶無需在計算機(jī)上作任何設(shè)置，對于用戶較方便。但是DHCP的缺點(diǎn)是若不加以管制，隨便一個用戶也能進(jìn)入企業(yè)的網(wǎng)絡(luò)，也容易發(fā)動對內(nèi)部的攻擊，造成影響。因此對于企業(yè)而言，較好的方式是通過DHCP發(fā)放IP地址，但同時限定計算機(jī)能取得的IP地址，以便進(jìn)行管理。路由器配置的IP/MAC綁定功能，即可以根據(jù)網(wǎng)管的配置，認(rèn)明計算機(jī)的MAC地址發(fā)放特定的IP，這樣就可針對IP進(jìn)行管理。同時IP/MAC綁定功能也可防止用戶修改IP，以取得較高權(quán)限問題，錯誤的MAC/IP組合，將會被路由器“封鎖錯誤MAC地址”阻擋，這個功能也可防止ARP攻擊。

防止未允許的計算機(jī)上網(wǎng)

對于網(wǎng)管而言，未被管制的計算機(jī)，經(jīng)常引發(fā)安全問題。有些用戶會自行帶入中毒的計算機(jī)，甚至其它樓層用戶通過無線網(wǎng)絡(luò)進(jìn)入公司網(wǎng)絡(luò)。這樣的情況，可通過防止未允許的計算機(jī)上網(wǎng)來解決。目前，很多路由器都提供IP/MAC綁定功能，提供“封鎖不在對應(yīng)表列中MAC地址”功能，達(dá)到網(wǎng)管未配置的MAC地址完全無法上網(wǎng)的作用。 

【編輯推薦】

1. 路由器與光越走越近
2. 詳細(xì)解讀無線路由器傳輸速率
3. 防火墻路由器兩種設(shè)備的綜合比較
4. 解惑：中小企業(yè)安全路由器這樣選