负载平衡器的管理由系统主管理员设定。系统主管理员可增删和修改系统的各项设定及监控系统状态,而其它管理员(管理员名称由系统主管理员设定)仅能读取系统各项设定资料,不能予以更改。
【管理员】名词解释:
管理员名称说明如下:
系统管理员与次管理员的名称。admin 为本负载平衡器预设之系统管理员名称,无法删除与更变;而次管理员则可删除与变更。
负载平衡器预设之系统管理员帐号:admin 密码:admin。
权限说明如下:
1 主管理员权限为【读/写】。亦即可更改系统设定、监控系统状态、新增和删除次管理员等。
2 次管理员其系统使用权限只有【读】。亦即所有次管理员只能读取系统状态、监控系统状态,无法更改任何系统设定值。
密码/新密码/确认密码说明如下:
输入新增次管理员或修改原本主/次管理员之密码。
【系统设定】名词解释:
负载平衡器组态说明如下:
系统管理员可在此汇入或汇出系统设定文件,也可在此将设定恢复至出厂设定值。
e-mail 设定说明如下:
开启此功能后,本负载平衡器系统在任何时候遭受骇客侵入或出现紧急事件时,将自动且实时传送警讯通知系统管理员。(各种骇客攻击侦测,可于【系统管理】之【骇客预警】功能设定。)
web 管理(外部网络接口) 说明如下:
系统管理员可在任何地方用webui 远程管理负载平衡器。而系统管理员可在此变更远程管理负载平衡器时所使用的埠号。
当http 端口号变更后,系统管理员如想从外部网络接口进入webui 时。就要更变浏览器登入webui 之埠号。(如:http://61.62.108.172:8080)
认证管理说明如下:
提供系统管理员设定负载平衡器之认证机制所用的埠号,以及该认证的有效时间。(需先行设定认证表)
2、【认证埠号】:当负载平衡器启用认证之机制时,外部使用者需通过认证方可以ipsec vpn 联机至内部网络。而认证埠号则为该认证机制所用之埠号,其预设为82。
1、【允许联机闲置】:当外部使用者以ipsec vpn 联机至内部网络,可设定其认证后的联机闲置时间,超过设定的时间认证即会自动失效,预设为30 分钟。
使用者如需主动要求认证,可以所设定的认证埠号登入远程内部网络接口地址之ip,即可出现认证画面。
mtu 设定说明如下:
提供系统管理员在任何时候改变负载平衡器的进出封包长度,默认值为1500 bytes。
动态路由(ripv2) 说明如下:
可藉由开启负载平衡器lan、wan 或dmz port 收送ripv2 封包之功能,和位于其内部或外部之路由器彼此沟通,去动态更新其路由表。
到负载平衡器之封包说明如下:
开启此功能后,负载平衡器系统会将来源地址或目的地址为负载平衡器之封包信息,记录在【监控记录】之【流量监控】内,以供系统管理员查询。
【时间设定】名词解释:
同步系统时间说明如下:
可将负载平衡器的系统时间与系统管理员之计算机或是外部时间服务器的时间同步化。
gmt 说明如下:
国际标准时间(格林威治标准时间)。
【multiple subnet】名词解释:
联机模式说明如下:
显示目前multiple subnet 是使用nat 模式或是routing 模式。
外部网络接口地址说明如下:
该multiple subnet 对应至外部网络之ip 地址。
内部网络接口地址/子网掩码说明如下:
该multiple subnet 之网段范围。
nat 模式说明如下:
可让内部网络设定多个网段地址,并可经由不同的外部地址与网际网络建立联机。
例如:公司的专线申请到多个真实ip 地址168.85.88.0/24,公司内部也分为许多的部门,研发部、客服部、业务部、采购部、会计室等,为为方便管理可将各部门以不同ip 网段来区分。设定方式如下:
研发部网段192.168.1.1/24(internal)←→168.85.88.253(external)
客服部网段192.168.2.1/24(internal)←→168.85.88.252(external)
业务部网段192.168.3.1/24(internal)←→168.85.88.251(external)
采购部网段192.168.4.1/24(internal)←→168.85.88.250(external)
会计室网段192.168.5.1/24(internal)←→168.85.88.249(external)
第1 项在接口地址设定时就设定好了,其它4 项就必须新增在multiplesubnet,设定完成后每个部门就会从不同的外部ip 地址出去,各部门的计算机设定如下:
routing 模式说明如下:
与nat 模式大致相同,但不需对应至外部网络的真实ip。而是让位于该网段之内部计算机,以自身的ip 直接连到internet 存取资料。(远程使用者一样可以利用该ip 与其联机)
【骇客预警】名词解释:
侦测syn 攻击说明如下:
侦测当骇客连续送出tcp syn资料封包给服务器,企图将服务器联机(connection)资源耗光,使其它使用者无法联机成功的状况。
1 【允许syn 最大流量】:定义所有ip,每秒可通过负载平衡器的syn最大封包数(pkts/sec)。超过设定值时,则负载平衡器判断为遭受攻击。
2 【允许每个来源地址syn 最大流量】:定义每个来源ip地址,每秒可通过负载平衡器的syn最大封包数(pkts/sec)。超过设定值时,则负载平衡器判断为遭受攻击。
3 【当来源地址超过syn 最大流量时的阻挡时间】:当负载平衡器判断遭受攻击时。会在所设定阻挡时间内,对此攻击来源做出封包阻挡(停止响应)。当阻挡时间过后,负载平衡器会重新开始计算封包是否超过每个来源地址syn最大流量,如还是超过设定值,会持续进行阻挡动作。
侦测icmp 流量说明如下:
侦测当骇客连续发出ping的资料封包,且是以广播方式(broadcast)送给网络内每部机器的状况。
1 【允许icmp 最大流量】:定义所有ip,每秒可通过负载平衡器的icmp最大封包数(pkts/sec)。超过设定值时,则负载平衡器判断为遭受攻击。
2 【允许每个来源地址icmp 最大流量】:定义每个来源ip地址,每秒可通过负载平衡器的icmp最大封包数(pkts/sec)。超过设定值时,则负载平衡器判断为遭受攻击。
3 【当来源地址超过icmp 最大流量时的阻挡时间】:当负载平衡器判断遭受攻击时。会在所设定阻挡时间内,对此攻击来源,做出封包阻挡(停止响应)。当阻挡时间过后,负载平衡器会重新开始计算封包是否超过每个来源地址icmp最大流量。如还是超过设定值,会持续进行阻挡动作。
侦测icmp 流量说明如下:
侦测当骇客连续发出ping的资料封包,且是以广播方式(broadcast)送给网络内每部机器的状况。
1 【允许icmp 最大流量】:定义所有ip,每秒可通过负载平衡器的icmp最大封包数(pkts/sec)。超过设定值时,则负载平衡器判断为遭受攻击。
2 【允许每个来源地址icmp 最大流量】:定义每个来源ip地址,每秒可通过负载平衡器的icmp最大封包数(pkts/sec)。超过设定值时,则负载平衡器判断为遭受攻击。
3 【当来源地址超过icmp 最大流量时的阻挡时间】:当负载平衡器判断遭受攻击时。会在所设定阻挡时间内,对此攻击来源,做出封包阻挡(停止响应)。当阻挡时间过后,负载平衡器会重新开始计算封包是否超过每个来源地址icmp最大流量。如还是超过设定值,会持续进行阻挡动作。
侦测udp 流量说明如下:
侦测当骇客连续发出udp的资洋封包,且是以广播方式(broadcast)送给网络内每部机器的状况。
1 【允许udp 最大流量】:定义所有ip,每秒可通过负载平衡器的udp最大封包数(pkts/sec)。超过设定值时,则负载平衡器判断为遭受攻击。
2 【允许每个为源地址udp 最大流量】:定义每个来源ip地址,每秒可通过负载平衡器的udp最大封包数(pkts/sec)。超过设定值时,则负载平衡器判断为遭受攻击。
3 【当来源地址超过upd 最大流量时的阻挡时间】:当负载平衡器判断遭受攻击时。会在所设定阻挡时间内,对此攻击来源,做出封包阻挡(停止响应)。当阻挡时间过后,负载平衡器会重新开始计算封包是否超过每个来源地址udp最大流量。如还是超过设定值,会持续进行阻挡动作。
侦测ping of death 攻击说明如下:
侦测当骇客送出的ping资料封包带有大量垃圾资料,导致某些系统收到这些资料后产生不良反应,如:执行效率变慢,或系统毁坏必须重新开机,才可正成运作的状况。
侦测ip spoofing 攻击说明如下:
侦测当骇客伪造成合法的使用者企图穿越负载平衡器入侵系统。
侦测port scan 攻击说明如下:
侦测当骇客连续发出扫瞄侦测服务器开放的埠号(port id),当服务器对某些port的侦测有反应时,骇客即可针对此port攻击的状况。
侦测tear drop 攻击说明如下:
侦测当ip 资料封包在传送过程中会被分段切割,而在目的地组合起来。如果攻击者送出自订的封包,强迫分段成为负值的长度,有些系统会将此负值误认为很大的数值,而将大量的资料复制进系统,导致系统损毁、停机或重新开机的状况。
侦测ip route 攻击说明如下:
ip封包中有个选项,可以指定封包回传时所用的目的地址,且此地址可与ip封包标头中的来源地址不同。骇客可利用此种封包伪装的ip地址进入网域中,并将网域中的资料回传给骇客。勾选这个功能,可以阻挡使用此种选项的ip封包。
侦测land 攻击说明如下:
有些系统接收到来源地址与目的地址相同,来源埠号与目的埠号相同,且tcp 封包标头中的「syn」标记又被设定时,会因此处理不当而当机。勾选这个功能即可侦测此种不正常的封包。
当系统管理员启用【骇客预警】后,负载平衡器若侦测到任何异常现象时,会立即将警告讯息显示在【警示记录】之【事件警示】窗口中。系统管理员若将【系统设定】中的电子邮件警讯通知功能开启,负载平衡器则会自动发出电子邮件警告系统管理员。至于启用【snmp】功能中的【snmp trap】,则可将实时的讯息显示于管理端计算机所安装之snmp trap 客户端软件上。
【dhcp】名词解释:
子网络说明如下:
内部网络所属网域。
子网掩码说明如下:
内部网络所属网域屏蔽。
网关地址说明如下:
内部网络预设网关。
广播地址说明如下:
内部网络所属网域广播地址。
【ddns】名词解释:
网域名称说明如下:
系统管理员向ddns 供货商所申请之网域名称。
外部网络地址说明如下:
该网域名称所对应的外部实体ip。
【主机名称表】名词解释:
主机名称说明如下:
可由系统管理员自订,让内部使用者直接透过此名称,存取相对映主机所提供的资源。
虚拟ip 位址说明如下:
主机名称表所对映之ip,其必须为内部网络或非军事区网络的ip。