dlink怎么設(shè)置dmz
dlink怎么設(shè)置dmz
大家都知道隔離區(qū),那么網(wǎng)絡(luò)隔離區(qū)dmz你們知道嗎,dlink怎么設(shè)置dmz呢?學(xué)習(xí)啦小編DMZ的相關(guān)資料,供您參考。
網(wǎng)絡(luò)設(shè)備開(kāi)發(fā)商,利用DMZ技術(shù),開(kāi)發(fā)出了相應(yīng)的防火墻解決方案。稱(chēng)“非軍事區(qū)結(jié)構(gòu)模式”。DMZ通常是一個(gè)過(guò)濾的子網(wǎng),DMZ在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造了一個(gè)安全地帶。
DMZ提供的服務(wù)是經(jīng)過(guò)了網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和受安全規(guī)則限制的,以達(dá)到隱蔽真實(shí)地址、控制訪問(wèn)的功能。首先要根據(jù)將要提供的服務(wù)和安全策略建立一個(gè)清晰的網(wǎng)絡(luò)拓?fù)?,確定DMZ區(qū)應(yīng)用服務(wù)器的IP和端口號(hào)以及數(shù)據(jù)流向。通常網(wǎng)絡(luò)通信流向?yàn)榻雇饩W(wǎng)區(qū)與內(nèi)網(wǎng)區(qū)直接通信,DMZ區(qū)既可與外網(wǎng)區(qū)進(jìn)行通信,也可以與內(nèi)網(wǎng)區(qū)進(jìn)行通信,受安全規(guī)則限制。
1.地址轉(zhuǎn)換
DMZ區(qū)服務(wù)器與內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)的通信是經(jīng)過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)實(shí)現(xiàn)的。網(wǎng)絡(luò)地址轉(zhuǎn)換用于將一個(gè)地址域(如專(zhuān)用Intranet)映射到另一個(gè)地址域(如Internet),以達(dá)到隱藏專(zhuān)用網(wǎng)絡(luò)的目的。DMZ區(qū)服務(wù)器對(duì)內(nèi)服務(wù)時(shí)映射成內(nèi)網(wǎng)地址,對(duì)外服務(wù)時(shí)映射成外網(wǎng)地址。采用靜態(tài)映射配置網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí),服務(wù)用IP和真實(shí)IP要一一映射,源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換都必須要有。
2.DMZ安全規(guī)則制定
安全規(guī)則集是安全策略的技術(shù)實(shí)現(xiàn),一個(gè)可靠、高效的安全規(guī)則集是實(shí)現(xiàn)一個(gè)成功、安全的防火墻的非常關(guān)鍵的一步。如果防火墻規(guī)則集配置錯(cuò)誤,再好的防火墻也只是擺設(shè)。在建立規(guī)則集時(shí)必須注意規(guī)則次序,因?yàn)榉阑饓Υ蠖嘁皂樞蚍绞綑z查信息包,同樣的規(guī)則,以不同的次序放置,可能會(huì)完全改變防火墻的運(yùn)轉(zhuǎn)情況。如果信息包經(jīng)過(guò)每一條規(guī)則而沒(méi)有發(fā)現(xiàn)匹配,這個(gè)信息包便會(huì)被拒絕。一般來(lái)說(shuō),通常的順序是,較特殊的規(guī)則在前,較普通的規(guī)則在后,防止在找到一個(gè)特殊規(guī)則之前一個(gè)普通規(guī)則便被匹配,避免防火墻被配置錯(cuò)誤。
DMZ安全規(guī)則指定了非軍事區(qū)內(nèi)的某一主機(jī)(IP地址)對(duì)應(yīng)的安全策略。由于DMZ區(qū)內(nèi)放置的服務(wù)器主機(jī)將提供公共服務(wù),其地址是公開(kāi)的,可以被外部網(wǎng)的用戶訪問(wèn),所以正確設(shè)置DMZ區(qū)安全規(guī)則對(duì)保證網(wǎng)絡(luò)安全是十分重要的。
FireWall可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問(wèn)控制。它將每個(gè)連接作為一個(gè)數(shù)據(jù)流,通過(guò)規(guī)則表與連接表共同配合,對(duì)網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。其用于過(guò)濾和監(jiān)控的IP包信息主要有:源IP地址、目的IP地址、協(xié)議類(lèi)型(IP、ICMP、TCP、UDP)、源TCP/UDP端口、目的TCP/UDP端口、ICMP報(bào)文類(lèi)型域和代碼域、碎片包和其他標(biāo)志位(如SYN、ACK位)等。
為了讓DMZ區(qū)的應(yīng)用服務(wù)器能與內(nèi)網(wǎng)中DB服務(wù)器(服務(wù)端口4004、使用TCP協(xié)議)通信,需增加DMZ區(qū)安全規(guī)則, 這樣一個(gè)基于DMZ的安全應(yīng)用服務(wù)便配置好了。其他的應(yīng)用服務(wù)可根據(jù)安全策略逐個(gè)配置。
配置步驟(以dlink-504路由器為例)
注意:
一、DMZ只能設(shè)定一臺(tái)電腦,無(wú)法設(shè)定多臺(tái)電腦
二、同一個(gè)IP地址,在“進(jìn)階設(shè)定”項(xiàng)目里的“虛擬服務(wù)器”與“DMZ”功能只能二選一。亦即啟動(dòng)“虛擬服務(wù)器”功能必須關(guān)閉“DMZ”功能,啟動(dòng)“DMZ”功能則必須關(guān)閉所有“虛擬服務(wù)器”功能
三、設(shè)定至DMZ表示該臺(tái)電腦將會(huì)暴露在Internet上,會(huì)有安全性的風(fēng)險(xiǎn)。
dlink-504路由器設(shè)定DMZ具體步驟如下:
一、先把內(nèi)部需要設(shè)定DMZ的電腦設(shè)定成指定IP,這樣就可以避免IP地址變動(dòng),如果需要?jiǎng)討B(tài)IP的話,可以通過(guò)各靜態(tài)的DHCP將所分配到的IP地址給予保留。
1、設(shè)置成指定IP地址操作步驟:
“網(wǎng)上鄰居”右鍵 →“屬性”,打開(kāi)網(wǎng)絡(luò)連接窗口之后,“本地連接”按右鍵“屬性”→ “Internet 協(xié)議 (TCP/IP)”點(diǎn)擊屬性
IP地址:192.168.0.2~254 中的任意一個(gè)皆可
2、使用靜態(tài)DHCP將分配到的IP地址給予保留方法:
首先進(jìn)入到dlink-504路由器配置界面,在進(jìn)入到dlink-504路由器配置界面以后,點(diǎn)擊配置界面中的點(diǎn)擊左側(cè)的DHCP
默認(rèn)狀態(tài)下,DHCP服務(wù)器處于激活的狀態(tài),且可選的IP地址范圍192.168.0.100-192.168.0.199,您可以修改所需的IP地址范圍,但請(qǐng)?jiān)?-254之間進(jìn)行選擇。
下面還會(huì)有固定DHCP的設(shè)置,以及相應(yīng)的靜態(tài)DHCP用戶列表和動(dòng)態(tài)DHCP用戶列表。在沒(méi)有設(shè)置固定IP之前,只會(huì)顯示連接到DI-504并且得到路由器為其分配IP地址的主機(jī)信息。
dlink-504路由器固定DHCP設(shè)置方法:
首先要激活該項(xiàng),激活該項(xiàng)可以將現(xiàn)有DHCP指派的IP地址制定到您特定的MAC地址(即DI-504下面連接的一臺(tái)計(jì)算機(jī)上面)。然后下拉DHCP用戶端,里面可以選擇相應(yīng)需要設(shè)置固定DHCP的主機(jī)名及MAC地址。
選好之后,點(diǎn)擊clone復(fù)制到,即可以將該主機(jī)的信息(包括主機(jī)名/IP地址/MAC地址)復(fù)制到上面的選項(xiàng)中,當(dāng)然也可以自己手動(dòng)添加。然后點(diǎn)擊執(zhí)行。
點(diǎn)擊繼續(xù),回到剛才的配置界面。
經(jīng)過(guò)以上設(shè)置以后我們就可以在靜態(tài)DHCP用戶列表中看到,系統(tǒng)已經(jīng)將該IP地址(192.168.0.100)和相應(yīng)MAC地址為00140B0AF42D的計(jì)算機(jī)綁定在一起了。
二、設(shè)置DMZ
在dlink-504路由器的配置界面,選擇“進(jìn)階設(shè)定”→“DMZ”:勾選“激活”→輸入電腦的IP地址→“執(zhí)行”
在設(shè)置保存以后,點(diǎn)擊“繼續(xù)”
到此dlink-504路由器的DMZ就設(shè)定完成。
如果在設(shè)置完成以后還是無(wú)法使用的話,就需要檢查電腦是否安裝了殺毒軟件,如果安裝了,就先把其關(guān)閉,并同時(shí)關(guān)閉系統(tǒng)自帶防火墻。
DMZ無(wú)疑是網(wǎng)絡(luò)安全防御體系中重要組成部分,再加上入侵檢測(cè)和基于主機(jī)的其他安全措施,將極大地提高公共服務(wù)及整個(gè)系統(tǒng)的安全性。