讲到网络安全,配备防火墙产品就已足够了吗?或许专家会告诉你,防火墙与防毒系统仅是网络基本的防护措施而已,因为防毒软件要等到爆发才能侦测到,防火墙虽然可以阻断不明的封包,但很容易被伪装堂而皇之大方进入企业网络,所以入侵侦测与防护相继孕育而生,Synology RT2600ac /RT1900ac无线路由器提供了Intrusion Prevention套件,入侵侦测与入侵防御一次到位,让你的网络更安全。
一般企业都会在企业内部网络(Intranet)及互联网(Internet)之间架设一道可监控管理的界面(Gateway), 俗称防火墙,记得20几年第一次听到时,以为是防火的设备,原来是管制所有网络封包的进出,以防止网络上针对特定资料的存取动作,不过当时防火墙的设备之价格还真是天价,除了大企业外,连中小企业也都未必能买单,Synology RT2600ac /RT1900ac无线路由器,除了标准的安全性工具,如拒绝服务 (denial-of-service) 防护功能及防火墙管理功能外,也带来多种崭新工具及功能,如Intrusion Prevention套件的入侵侦测系统(IDS)可分析网络流量并记录可能的入侵行为,还可针对网络防火墙安全规则进行精细的调整,毫不影响运作效能,入侵防御系统(IPS)更可依据自订规则阻绝可疑流量,保护网络免于外来攻击的侵害。
Synology RT2600ac无线路由器不只是一台无线路由器而已,接上USB行动储存空间,摇身一变成为一台轻量型的NAS,尤其是搭配SRM系统将双核心1.7GHz的高通处理器发挥的淋漓尽致,相关的文章可参考笔者撰写的Synology RT2600ac无线路由器文章,如下:
- Synology推出支援802.11ac Wave 2的4天线双频RT2600ac无线路由器(上)
- Synology推出支援802.11ac Wave 2的4天线双频RT2600ac无线路由器(下)
安装 Intrusion Prevention套件
在路由器SRM 1.1上可以找到VPN Plus Server套件,挨踢路人甲使用Synology RT2600ac来操作说明,安装Intrusion Prevention套件之前,请先进入"主选单"→ " 套件中心"来寻找并安装Intrusion Prevention套件。
安装后看到下载与安装,请耐心等待。
Intrusion Prevention套件会将外接的储存空间(USB行动装置)的部分分配给套件作为内存使用,所以启动此套件请勿随意卸下USB外接储存装置,不然会造成系统失败,且须注意,仅在无线路由器模式下才能运作此套件哦!
安装完后开启主选单画面,可以直接看到Intrusion Prevention图示,点选来执行进入设定。
IDS或IPS操作模式
防火墙虽然能拒绝非法的连线请求,但对于一旦入侵后的攻击行为一无所知,因此无线路由器上提供入侵侦测与防护功能少之又少,Synology RT2600ac/RT19800ac打破了这个迷失,只要有Intrusion Prevention套件、搭配自身的防火墙,可让你的网络更趋安全。Intrusion Prevention套件有两个主要模式,侦测模式(IDS)是侦测网络流量中的恶意封包,并发送警示通知讯息,预防模式(IPS)侦测后会采取丢弃恶意的封包,也就是说一个是侦测警示,一个是侦测丢弃,先来看看侦测模式(IDS)。
入侵侦测(IDS)系统主要功能在负责监听网络封包行为,当发现异常时自动发出警讯通报给网管人员,问题如何侦测封包中有恶意的行为呢?因此IDS要有效地捕捉入侵行为,必须拥有一个强大的入侵特征码数据库,以揪出恶意伪装的攻击封包,但又担心变种的入侵,特征码的更新刻不容缓,所以适时的更新特侦码是必要的,你可以使用排程来自动更新,如下图所示,挑选想要更新特征码的排程后按下〔套用〕。
第一次启动时需要一些时间,你可以看到正在启动服务的等待画面。
由于笔者的内网友使用DS916+ NAS当动物机(Download Station)下载影片,结果马上在总览画面上看到侦测的异常行为事件。右边设定区块上有特征码的手动更新,不想等到排程的时间更新,可直接按下〔立即更新〕。
你可以在事件上点选来查看此事件的详细记录。
除了分类与危险程度的说明外,亦有时间、已采取的动作、来源与目的端、以及型为特征的描述等,以让你了解此事件的影响程度。
IDS(Intrusion Detection System)透过行为、日志或稽核资料或其他规则进行研判、比对,检测出有入侵系统的异常行为即发出警讯,但毕竟只是通知,感觉消极、静态的守候等事后判断来处理,说穿了就是无法即时防护。而入侵预防系统(IPS, Intrusion Prevention System)有 采用主动防御功能,也就是会立即阻挡恶意封包通,当然所需的系统资讯较多,则会减缓网络速度。想要改变IDS或IPS就在"感测器"选项的【操作模式】分页上,由于安装时选择侦测模式(IDS),当然是如下图所示。
点选预防模式(侦测及丢弃封包)并下〔套用〕,即可启动IPS模式,也就是会即时挡住有企图入侵的封包。
感测的动作主要是依据行为特征的条例动作,在【行为特侦】分页上可以看到许多预设的事件类型条例,你可以选择勾选来启动或略过。
假如你是这方面的玩家的话,也可以编辑这些行为特征的类型条例,以订定自己想要处理恶意封包时对应的感测器动作。
事件与通知设定
其实你也可以已直接到"事件"画面上查看,在【日志】分页上会列出事件的记录列表。
除了列表记录外,也可以使用地图方式来显示已侦测恶意来源的分布位置,并提供有关危险程度及攻击频率的资讯。从圆点的颜色可以了解危险程度。
也可以到【统计】分页画面上来了解哪个IP是主要的常客,每个项目皆会列出前五大来源IP,若要查看该项目下的所有纪录,则可按一下〔显示全部〕, 而趋势项目的统计,可追踪恶意封包总数的变化趋势。
除了检视有关已侦测恶意来源的统计报表,也可自订报表内的项目来符合需求。
侦测的主要目的当然就是要通知管理者,在"通知设定"→"一般"画面上勾选"启动事件通知",并调整电子邮件、简讯与推播服务的间隔时间。
当侦测有可疑的网络事件时,你的邮件信箱就会看到如下的通知讯息。
在【进阶设定】分页上,可以指定事件类型的传送方式,传送方式有电子邮件、简讯与推播服务,想要就打勾就对了。
"设定"→"更新"画面上,可以改变第一次进入时的排程时间,而特征码的更新是免费的"ET Open",想要更多的网络恶意行为特征,则可选择付费的ET Pro。
入侵侦测或防护,除了要够强的CPU外,储存日志分析也不容忽视,但Synology的无线路由器都是使用外接储存空间,当然会有储存空间的压力,因此日志档案的储存空间会影响系统使用的空间,所以限制日志储存空间来保留足够空间供系统使用是基本的做法,在"设定"→"进阶设定"画面上,可以设定最大日志的使用量,也可清除日志。IDS与IPS并非三言两语就解释得清楚,至少RT2600无线路由器提供这方面的解决方案,当然无法跟专业的IPS机器比拟,笔者也不是这方面的玩家,想想,一台无线路由器有此IDS/IPS功能,让不想再花一笔费用购买IPS设备的人有另类的选择,应该相当值得鼓励。
延伸阅读:
何钉选拥有系统管理员权限的"命令提示字元"到开始画面或工作列上
如何在Windows 10 登入画面上执行特定应用程序
一键重启Google Chrome,并快速释放内存与重新载入分页
