網路設備小技巧 (Networking Hardware Devices Tips & Tricks)

QNAP QHora-301W 防火牆進階設定,提高 VPN 外連安全性

老貓前陣子介紹 QNAP QHora-301W Wi-Fi 6 雙 10GbE SD-WAN 路由器,提供一般家用的功能,而是屬於進階家用以及中小企業入門功能,其中就有提供防火牆功能。不過預設是停用,讓有需要的使用者可以啟用。本篇老貓分享如何夠過防火牆的設定,可以限制透過 進來的使用者連線狀況;換句話說,我們可以限制 VPN 進來的使用者可以連接的電腦,提高 VPN 使用的安全性,老貓在本篇提供3種情境方式參考。

開啟 QHora-301W 防火牆之後要記得設定規則才行

對於防火牆的功能來說,主要在內部與外部網路之間,築起一道防護牆來限制兩邊的資料是否可以傳輸。部分家用機種的防火牆有些都有基本功能,但可以再設定細節的活用性較少,如果想要設定比較多細節,建議還是要走上企業級防火牆路由器比較好,而現在透過 QNAP QHora-301W 就可以使用到這些功能。對於企業級的防火牆設定,都是會以定下的規則為主,每種規則之間如果有衝突,則是會依優先權的先後順序來執行。老貓也希望透過本篇文章,讓完全沒有接觸過防火牆設定的初學使用者有基本的認知,如果要發揮更強大的功能,就會需要更嚴謹的規則設定。

▼ QNAP Qhora-301W 的防火牆規則預設為關閉狀態,如果要使用請先開啟此功能。

▼ 在開啟防火牆功能之後,可以透過右側的「新增」來添加新規則。

QNAP QHora-301W 防火牆前記得先備份路由器資料

如果從來沒使用過進階的防火牆設定,或者會擔心設定錯誤導致不知道怎麼恢復原狀,都會建議事先備份一下路由器的設定。以 QNAP QHora-301W 來說,在「系統 → 系統設定 → 重新啟動/重設/備份/還原」頁面下方,就可以進行備份與還原設定。如果真的會擔心自己第一次接觸有什麼狀況,建議都進行備份,最壞的情形也是重設定整台路由器之後,進行出廠預設設定後再重新匯入原始設定檔即可。

▼ 「系統 → 系統設定 → 重新啟動/重設/備份/還原」頁面下方,可以進行 QNAP QHora-301W 的設定檔備份與還原。

QNAP QHora-301W 設定防火牆新增規則

QNAP QHora-301W 在制定規則來說,會需要設定規則名稱、通訊協定、來源、目的地、動作進行設定。這裡以白話來解釋,就是針對從哪兒來的訊號,經過 QNAP QHora-301W 到哪台機器,中間是採用何種的通訊協定,是否要允許或者拒絕。雖然說起來簡單,但實際在設定上每個人的細節手法不太一樣,有興趣的使用者,也可以多與一些網管互相交流,可能更會找出適合自己環境的設定方式。

▼ QNAP QHora-301W 防火牆設定規則的頁面。

通訊協定」分為 None、TCP、UDP、ICMP、TCP + UDP 共5種選擇,可以針對傳輸的協定進行限制。在「來源」方面有不拘,就是從任何地方輸入都可以。次外,也可以針對 WAN、LAN、VLAN 介面設定,或者直接指定來源 IP。「目的地」同樣也有不拘以及自定義是由網域名稱,或者 IP 來進行設定。以上的 IP 除了指定特定 IP 之外,還可以進行一定的 IP 範圍設定。最後,再指定要針對這項的傳輸進行允許還是拒絕。

▼ QNAP QHora-301W 防火牆規則的通訊協定頁面,分為 None、TCP、UDP、ICMP、TCP + UDP 共5種選擇。

▼ QNAP QHora-301W 防火牆的來源可以設立不拘,或者指定介面與IP。

▼ QNAP QHora-301W 防火牆的目的地,可以設定不拘之後,也可以指定網域名稱以及IP。

剛剛老貓提到要事先備份,是避免真的不了解規則就直接套用設定。例如來說,當開啟設定值後,來源、目的地都選擇不拘,但最後直接選拒絕的話,就是代表封鎖任何進出 QNAP QHora-301W 的所有通訊內容。最明顯的感覺是,會直接與 QNAP QHora-301W 斷線,最後只能夠過戳住後方的 Reset 鍵進行回復原廠設定才能解決。這並不是機器的問題,而是 QNAP QHora-301W 遵守了我們所設定的規則。當開始上手 QNAP QHora-301W 的防火牆設定之後,會發現這一塊其實滿有趣的,而這些並不是在平常的家用路由器上所能設定到的功能細項。

▼ QNAP QHora-301W 防火牆如果來源與目的地都是設定不拘,但動作設定成拒絕後,將會造成無法連線,因此在設定按下套用前要多注意一下。

QNAP QHora-301W 設定 VPN 使用者的連線規則

QNAP QHora-301W 的防火牆有許多運用性,在此老貓提供一下關於 VPN 的防火牆設定,我們可以定下規則限制透過 VPN 連線進來的使用者可以連線的裝置。這對於中小企業來說,或者對於 VPN 有更高要求的使用者來說非常方便。首先 QNAP QHora-301W 提供在 伺服器方面,提供 3 種 VPN 服務,包含 QNAP ,分別會提供 3 種網段,預設分別為 192.18.2.x、192.18.3.x、192.18.4.x。一般使用來說,當連進來後可以使用連線在 QNAP QHora-301W 下的所有設備,也可以對外進行網路連線。在此,老貓在此針對以 L2TP 來進行舉例示範,來限制 VPN 使用者的使用狀況。另外,如果是透過 的話也是使用相同的概念,要先了解到其他地區區網IP範圍。

▼ 我們可以從 QVPN 伺服器設定中,了解到每一種 VPN 服務所會使用到的預設 IP 範圍。

情境一:禁止連線到 QNAP QHora-301W 內原有的區網機器,但可以連外網

這部分在設定上,來源要設定為 198.18.3.1 至 198.18.3.255,從剛剛的資訊了解到只要是透過 L2TP VPN 連線進來的使用者必定為這區段的 IP。接下不想讓 L2TP VPN 使用者連線到 QNAP QHora-301W 內的所有設備,因此目的地就直接設定 192.168.100.2 至 192.168.100.255 區段,最後再加上拒絕即可。如此一來,當透過 L2TP VPN 連進來之後只能進行上網動作,而無法連線原有 QNAP QHora-301W 底下的任何設備。老貓有特別保留 192.168.100.1 ,是因為會想可能也會有連線到 QNAP QHora-301W 的需求,因此才從 192.168.100.2 開始控管。

▼ 來源設定為 L2TP VPN 會使用到的 IP 範圍,而目的地則是設定成 QNAP QHora-301W 底下設備所使用的 IP 範圍。

▼ 當設定好之後,請按下底下的套用即可生效。

情境二:限定連線至 QNAP QHora-301W 底下特定設備外,還能上網

在情境一中的設定是拒絕所有連線至 QNAP QHora-301W 底下的設備,此時我們只要添加允許連線的機器設備資訊進來即可。在此案例中,192.168.100.102 為 QNAP TS-453D NAS,我們想讓 VPN 外連進來的使用者可以新增連結這台 ,最簡單的作法就是添加新規則即可。並且針對這 2 條規格來說,允許的優先權要比拒絕更高。此外,在通訊協定方面可以指定特別的 None、TCP、UDP、ICMP、TCP + UDP 共5種選擇,這些也都會影響連線的方式。

▼ 由於要新增一台可以允許存取的設備,因此主要在於目的地的設定輸入該設備的 IP 即可。

▼ 以此圖來說,可以連線到防火牆所設定的 QNAP NAS,並且可以 ping 到該台設備。

▼ 此時更改通訊協定限定為 TCP + UDP 時,就需要額外再設定連接埠範圍。

▼ 此時在連線狀況,內網可以連線至允許的 QNAP NAS,但由於只允許 TCP + UDP 通過,因此使用 ping 指令是無法找到該設備。此外,在此設定情況也可以連到外網。

情境三:只能連線至 QNAP QHora-301W 底下特定設備,其他全禁止,也不能上網

這個狀況就比較極端一些,不過是部分企業公司常設定的方式,允許外連 VPN 使用連線到公司內特定的 ERP 系統,禁止其他多餘用途。在本例來說,主要是讓透過 VPN 進來的使用者,只允許連線至 QNAP QHora-301W 的特定設備,即為 192.168.100.102 的 QNAP TS-45 NAS。對於其他連線狀況,無論是 QNAP QHora-301W 的任何設備,甚至要上網也都全面禁止。在設定上來說,先設定允許的機器為 192.168.100.102 後,再增加一條拒絕的設定項目,來源一樣為 198.18.3.1至198.18.3.255,但目的直接選擇不拘,也就是不管連到哪都是禁止的。此時,就會發現除了可以開啟 QNAP TS-453D NAS 登入介面外,其他全都無法顯示,包含 QNAP QHora-301W 的 192.168.100.1 也無法連線。因此,如果要進行設定 QNAP QHora-301W 的話,只要使用 L2TP VPN 外的方式,都還是可以正常連線。

▼ 在邏輯規則來說,我們拒絕所有的目的連線,但在優先順序上加了一台可以允許連線的設備,代表除了此台外,全部都無法連線。

▼ 實際測試會發現,只能開啟 QNAP NAS 的登入頁面,其他包含 QNAP QHora-301W 路由器設定,以及外網都無法正常連線觀看。換句話說,透過這種 VPN 連線方式僅能夠過網站存取 NAS 的內容。

▼ 如果是以前面的範例,加上這規則 3 的方式來執行結果也會是相同的效果。基本上可以發現規則 3 已包含 規則 1 了。

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

*