Outpost 個人防火牆 - 辦公室防衛實戰 (3)

辦公室防衛實戰 (3)

限制不同部門之間網絡資源存取 (下)

上期我們提及過如何利用 Outpost Firewall 在多部門的辦公室環境下，為各部門打造獨立共享空間，以防其他部門擅自存取自己的檔案。今期，我們將會討論如何做到全面禁制他人存取自己的共享資源，而僅開放給特定的用戶存取。

方案 2
只限指定用戶存取本機共享資源
有時候，一些較機密的檔案也不能任由同部門的同事隨便存取，例如會計部門的年度結算等，但如果這些檔案需要開放給少數高層或老板隨時查閱，這種左右為難的 情況下，在普通 Workgroup 局域網內 Outpost Firewall 又可以怎樣達成呢？其實除了剛才透過 LAN Setting 來限制指定 IP 或 Subnet 存取外，Outpost Firewall 還可利用 Global Rules 來設定彈性更廣泛的網絡存取原則。

A. 限制所有外來存取訊號

Step 1
在 Johnson 的電腦上安裝與開啟 Outpost Firewall，然後執行「Options / System」指令。

Step 2
在 Sytem 頁面內選擇 Rules 按鍵，便會進入自訂 Global Rules 的頁面。

Step 3
在這裡按 Add 鍵開啟新規則對話盒，上方清單可選擇引發的事件為何，我們選擇的協定類型為「TCP」，指定的訊號監察方向為「Inbound」，即由外界傳送進來。

Step 4
接下來再選擇「Where the specificed local port is」項目，指定引發事件的 TCP 訊號是來自 139 與 445 兩個端口，也就是 NETBIOS Session 與 Microsoft-DS。

Step 5
設定好以上觸發事件後，在第2個窗格內設定引發的動作。這裡我們要選擇「Block it」、「Report it」、「Mark rule as High Priority」及「Ignore Component Control」。

Step 6
這樣我們便設定好限制局域網內所有電腦存取本機共享資料夾的訊號，接下來我們需要例外地開放存取權限給指定的網絡 IP。

B. 授權指定 IP 存取資源

Step 1
同樣地在 Johnson 的電腦上啟動 Outpost Firewall 與執行「Options / System」指令，選擇 Rules 按鍵，便會進入自訂 Global Rules 的頁面。

Step 2
按 Add 鍵新增規則內容，在上方事件清單中選擇的協定類型為「TCP」；指定的訊號監察方向為「Inbound」，即由外界傳送進來，與剛才的規則相同。

Step 3
同樣地，再選擇「Where the specificed local port is」項目，指定引發事件的 TCP 訊號是來自 139 與 445 兩個端口，也就是 NETBIOS Session 與 Microsoft-DS。

Step 4
請注意這一項！剛才我們設定的內容都與之前那條限制存取的規則相同，那麼怎樣讓 Outpost Firewall 分辨兩條規則呢？在這裡，我們就要指明這規則只供指定 IP 的訊號使用，請選擇「Where the specified remote host is」，然後把上司的 IP 位置 192.168.0.88 輸入。

Step 5
設定好引發的事件後，現在我們可以設定觸發的動作，分別是「Allow it」、「Report it」、「Mark rule as High Priority」及「Ignore Component Control」，這裡跟之前的規則相比，主要是改用了「Allow it」來為指定 IP 的訊號放行。

Step 6
回到檢視 Global Rules 對話盒，這裡可以見到新增的兩條規則，但注意由於剛建立的「例外」規則是位於「限制」規則之下，優先權以「限制」規則為先，遇上例外的情況也自然無法做到 「例外」的效果，因此我們要調動一下兩條規則的次序，點選「例外」規則並按「Move Up」鍵來調升其優先次序。

效果一覽
這裡讓我們先檢視一下成效吧！ 看看不同電腦嘗試進入 Johnson 的電腦時會出現怎樣的狀況！