網路安全 ─建立地區辦公室（2）

在本篇內容，我們將以上一篇建立的本地辦公室基本設定為基礎，整合新功能以增強功能和效率。

文／屠震

以下是我們將要實施的具體改進：

1. 使用者的網際網路存取：使用者需要存取網際網路才能使用基於網際網路的應用程式，例如 salesforce.com 和 Gmail。 我們將確保與這些外部服務的連線穩定、可靠。
2. 簡化和自動化的電腦設定：我們將簡化辦公室電腦的設定流程，盡可能實現自動化，以加快電腦的設定和配置。

將這些新功能整合到我們現有的本地辦公室網路基礎設施中，目標是提升使用者體驗，提高效率，降低管理成本。

[ 必讀文章：網路安全 ─ 建立地區辦公室（1） ]

網際網路存取設定

以下是該過程的詳細說明：

1. 電腦發起存取請求
   當辦公室內的電腦需要存取網際網路時，會生成資料封包，這些封包首先被發送到本地網路的交換機。
   
2. 交換機到數據機
   然後，本地網路交換機將這些資料封包轉送到數據機，數據機通常被設定為本地辦公室網路的預設閘道（Gateway），專門處理所有需要發往外部網路的流量。
   
   ‧預設閘道
   在電腦上設置 IP 位址時，你需要將預設閘道指定為網際網路流量流經的數據機（或路由器）的 IP 位址。通常就是將數據機接到辦公室交換機的一個網路卡的 IP 位址（例如 192.168.1.1）指派給電腦網路設定中的「預設閘道」欄位。
   
   ‧驗證
   在 Windows 操作系統中，可以執行「ipconfig /all」命令來驗證主機的網路設定是否正確，該命令會顯示有關電腦網路設定的詳細資訊，包括 IP 位址和預設閘道。
   
   [ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 IG，與全球CIO同步獲取精華見解 ]
   
3. 網際網路存取
   數據機處理資料封包並轉發到網際網路服務供應商（ISP）的網路，使電腦能夠存取網際網路資源。
   當同一辦公室的電腦 A 和電腦 B 嘗試存取 salesforce.com 時，它們會遵循類似的過程來獲取正確的內容。
   
   工作原理如下：
   
   (1) 網域解析：
   每台電腦都可藉由在 Web 瀏覽器中輸入網域名稱（如 salesforce.com）來發起存取的請求。
   電腦上的作業系統在收到請求後，會檢查本機 DNS 快取，查看是否已儲存 salesforce.com 的 IP 位址。若否，則電腦將 DNS 查詢傳送至預設定的 DNS 伺服器（在作業系統的網路設定中指定），藉此將網域名稱「salesforce.com」解析為對應的 IP 位址。
   
   ‧DNS 解析：
   DNS 伺服器（可以由 ISP 或公用 DNS 服務機構提供，例如 8.8.8.8、4.2.2.2）接收 salesforce.com 的 DNS 查詢。
   DNS 伺服器在資料庫中查找與網域名稱 salesforce.com 關聯的 IP 位址。
   一旦找到 IP 位址，DNS 伺服器就會將 salesforce.com 的 IP 位址傳回電腦。
   
   🔸問題：全球網站如何將使用者導向效能最佳的就近本地網站？
   一種方法是使用稱為全域負載平衡的功能。當使用者以 DNS 查詢存取網站時，系統會識別 DNS 請求的來源 IP 位置。根據此資訊，就可以提供最接近的本地網站伺服器的 IP 位址。因此，將使用者的裝置設定為使用網際網路服務供應商 (ISP) 提供的本地 DNS 而不是依賴公共 DNS 服務非常重要。這樣才能將使用者引導至最近且回應最快的網站伺服器，確保更好的效能。
   
   (2) 資料傳輸：
   取得 salesforce.com 的 IP 位址後，每台電腦就可以透過網路與 salesforce.com 的伺服器建立連線，把所需內容（網頁、圖像等）的請求傳送到 salesforce.com 的伺服器。
   
   (3) 回程資料傳輸：
   salesforce.com 的伺服器會通過網際網路，再由本地網路基礎設施（數據機、交換機）返回所請求內容，最後到達對應的電腦。
   
   🔸問題：當同一辦公室的電腦 A 和電腦 B 都嘗試存取 salesforce.com 時，如何確保它們收到正確的內容？
   數據機是關鍵，以下說明數據機如何使用網路位址轉換（NAT）技術來實現此目的：
   
   –路位址轉換（NAT）：當本地裝置發起連線到網際網路時，NAT 會將本地裝置的私有 IP 位址映射到數據機的公共 IP 位址來實現多個裝置共享一個公共 IP 位址來存取網際網路。使用不同的通訊埠號碼來區分不同的裝置和連線。這樣，即使多個裝置同時存取網際網路，也能根據通訊埠號碼將回應正確地轉發回發起連線的裝置。
   
   –通訊埠號碼追蹤：
   NAT 透過維護一個連線追蹤表（或稱為 NAT 表），記錄每個連線的內部 IP 位址和通訊埠號碼，對應的公共 IP 位址和通訊埠號碼。當外部伺服器（如 salesforce.com）回應時，數據機會查閱這個表，確保流量被正確地傳送回相應的內部裝置。NAT 技術不僅節省了 IP 位址資源，還提高了網路的安全性，因為外部網路無法直接存取內部網路的裝置。
   
   ‧安全警報：阻斷服務攻擊（Denied of Service Attack）
   在阻斷服務攻擊中，攻擊者通常會發送大量的請求或流量，以超過數據機或路由器的處理能力，導致合法用戶無法存取網路服務。

[ 推薦文章：建立資訊安全組織必須涵蓋的 33 個關鍵領域 ]

簡化和自動化的筆記型電腦設定

有一種快速且方便的方法設置辦公環境中電腦的網路設定，這會用到稱為 DHCP（動態主機設定協定）的服務。
具體步驟如下：

1. 數據機上的 DHCP 設定：
   ‧將數據機設定為 DHCP 伺服器。
   ‧指定要分配給本地辦公室網路裝置的 IP 位址範圍，例如 192.168.1.1 到 192.168.1.254（這也稱為 [Class C] 私人 IP 位址範圍）。
   ‧輸入預設閘道 IP 位址，通常是數據機的 IP 位址（例如 192.168.1.1）。
   ‧輸入 DNS 伺服器的 IP 位址，通常由當地的網際網路服務商 (ISP) 提供，但也可用公共伺服器，例如 4.2.2.2 或 8.8.8.8。
   
   
2. 在電腦上啟用 DHCP：
   ‧在每台電腦上啟用 DHCP 用戶端功能。此功能通常可以在作業系統的網路設定中找到。
   ‧當電腦啟動或連接到網路時，會自動接收並套用數據機提供的網路設定資訊，其中包括獲取 IP 位址、預設閘道和 DNS 伺服器資訊，而無需使用者手動設定。

(本文授權非營利轉載，請註明出處：CIO Taiwan)