Outpost 個人防火牆 - 辦公室防衛實戰 (2)

辦公室防衛實戰 (2)

限制不同部門之間網絡資源存取 (上)

上一次我們介紹過 Outpost Firewall，於中小企業內如何有效禁止員工瀏覽非工作相關網站，與封鎖非工作時間各工作站與互聯網的連繫，簡單的防火牆設定就可以做到資訊安全的管 理，一點也不困難！然而，除了對外通訊需要注意外，企業內部各部門之間的訊息流通也需要多加留神，因為不同部門各有獨立性，會計部的帳目自然不可能給人事 部職員隨便翻閱，人事部的調薪報告也不可能隨便公開。

大型企業自然有專人管理的檔案伺服器，加上利用網域把不同部門的工作站劃分成多個群組，並設定不同的存取權限就可做到資訊管理；但對於大部分僅使用 Workgroup 的中小企業來說，員工之間習慣採用無法仔細訂定存取權限的 Share Folder 共用工作檔案，無疑地是辦公室內部的一大安全漏洞。一連兩期，我們將介紹兩種對應的解決辦法，以應付不同辦公室需要。

方案 1
為部門打造獨立共享空間
對於一些中小型公司，由於局域網沒有好好規劃，往往出現十多二十台電腦也共存於同一 Workgroup 中，沒有劃分 Subnet，也沒有添置任何 Switch 來區分部門，只使用了一個 Router 連接上網，這種情況相當常見。面對這種情況，利用 Outpost Firewall 就很容易阻擋雜亂的訊號，亦能防範誤闖的其他部門入侵者。

實例解說
假設會計部的 Johnson 日常只需要跟自己部門的兩位同事 Mary 與 David 共享「帳目收支」等會計檔案，但卻要限制其他部門的同事存取。

解決方法
只要利用 Outpost Firewall 中的 LAN Settings，把路由器與會計部同事的 IP 都納入到信任清單中，並開放 NetBIOS 權限，這樣就能互相存取共享資源，並能如常地連線上網。

Step 1
先在 Johnson 電腦上啟動 Outpost Firewall，然後執行「Options / System」。

Step 2
在 System 頁面中選擇 LAN Settings 按鍵，在這裡管理了對局域網內的訊號存取權限。在預設的情況下，位於同一子網下的所有 IP 都會被置於信任清單下，因此跟 Johnson 位於同一 Workgroup 下的所有同事 (192.168.0.X) 都能夠連接到他的電腦存取檔案。

Step 3
為了限制 Workgroup 內所有 IP 的存取權，先把對該 Subnet 的 NetBIOS 存取權限設定為 Block，即把 NetBIOS 選取方格取消。

Step 4
這樣其他所有電腦均不能存取 Johnson 的共享資源，接下來我們要為會計部同事開放回存取權限，在這裡點 Add 鍵新增信任 IP 位置。在這裡選 IP Address 方格，然後順序地輸入兩位同事的 IP 位置，再按 Add 鍵加入到下方的清單裡。

適用於含 Subnet 或 Domain 之網絡環境
有沒有發現剛才建立信任清單時，可以選擇不同的輸入類型，其中 Domain name 則是適用於對整個網域的 IP 進行信任或阻隔，而 IP address with subnet mask 則是可以透過子網遮罩，一口氣對一系列的 IP 進行信任或阻隔，因此 LAN Setting 功能對於不同網絡環境下均有靈活的彈性。

Step 5
回到清單畫面，在這裡為剛新增的兩個 IP 點選 NetBIOS 方格。

效果一覽

這樣，會計部同事 Mary 與 David 只要輸入 Johnson 電腦的 IP，就能一如以往存取它的帳目收支檔案，互相分享工作上的資源。

至於其他部門的同事，由於未獲授權，因此未能進入 Johnson 的電腦，亦會出現無法存取的警告訊息。

Step 6
經過剛才的設定後，Johnson 發現雖然能夠阻隔其他非授權同事存取自己的共享資料，但他的電腦亦變得不能上網，為甚麼呢？因為他忘了把 Router 的 IP 位置也開放存取權，否則來自互聯網的訊號又怎能穿透防火牆呢？

Step 7
依照剛才的方法，在清單中多加入 Router 的 IP，即 192.168.0.1，同樣地點選 NetBIOS 方格，這樣就能夠上網了！