防火墙设置DMZ.docx
- 文档编号:30714198
- 上传时间:2023-08-19
- 格式:DOCX
- 页数:16
- 大小:317.25KB
防火墙设置DMZ.docx
《防火墙设置DMZ.docx》由会员分享,可在线阅读,更多相关《防火墙设置DMZ.docx(16页珍藏版)》请在冰豆网上搜索。
防火墙设置DMZ
DMZ是英文“demilitarizedzone”的缩写,中文名称为“隔离区”,也称“非军事化区”。
它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等
DMZ是非军事化区域的意思,是不安全的区域,因为这个区域是绕过防火墙直接连接内网和外网的。
DMZ是用防火墙实现的,不需要其他设备。
这就好像你家的房子,有客厅,客卧,主卧,儿童房的区别...正常来说,自己家里的人进出这几个房间都不受限制,而客人来了,一般只允许访问客厅和客卧...这个客厅客卧不就是DMZ么
一切入侵操作就会转到DMZ主机上,你就代替其他机器被入侵拉
访问控制策略:
1.内网可以访问外网内网的用户显然需要自由地访问外网。
在这一策略中,防火墙需要进行源地址转换。
2.内网可以访问DMZ此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4.外网可以访问DMZDMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。
同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
6.DMZ不能访问外网此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。
以上策略均由NAT地址转化完成:
NAT:
什么是NATNAT——网络地址转换,是通过将专用网络地址(如企业内部网Intranet)转换为公用地址(如互联网Internet),从而对外隐藏了内部管理的IP地址.
NAT分为三种类型:
静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)。
静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址
NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络
端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
DMZ区服务器与内网区、外网区的通信是经过网络地址转换(NAT)实现的。
网络地址转换用于将一个地址域(如专用Intranet)映射到另一个地址域(如Internet),以达到隐藏专用网络的目的。
DMZ区服务器对内服务时映射成内网地址,对外服务时映射成外网地址。
采用静态映射配置网络地址转换时,服务用IP和真实IP要一一映射,源地址转换和目的地址转换都必须要有。
一、确定服务器以下网络参数(后面会用到)
[本机地址]、[网关地址]、[子网掩码]、[寝室IP地址]
1、打开开始菜单,选择运行,输入cmd并回车;
2、在打开的命令行窗口里输入ipconfig/all并回车,可以看到类似下图的结果:
3、按上图所示记下[本机地址]、[网关地址]和[子网掩码]。
你机子上的以上三个参数或许和上图有所不同,不过一般[本机地址]类似
192.168.x.y,[网关地址]类似192.168.x.1,[子网掩码]一般都是
255.255.255.0
4、为了设置DMZ主机,我们不能使用路由器的DHCP功能,需要手动指定[本机地址]。
在控制面板的网络连接项中,在本地连接上点右键选择属性,可以得到下图:
选中Internet协议(TCP/IP),点击属性,得到如下对话框:
按上图所示填写参数,其中IP地址填192.168.x.y,子网掩码填3中获得的[子网
掩码],默认网关填3中获得的[网关地址],其他按图中填写即可。
5、至于][寝室IP地址],可以在bbs上发一帖,然后看看帖子最下面显示的IP地址就
是你们寝室的][寝室IP地址]^_^
二、设置DMZ主机
以下设置以TP-LINKR402路由器为例,其他路由器的设置大同小异,最多是DMZ这个
说法不同,如TENDA的就是通透区菜单项。
1、打开浏览器,输入[网关地址]并回车,会看到下图:
2、按上图输入用户名和密码登录(注意大小写),进入路由器设置界面如下:
3、按上图在左边菜单找到DMZ主机项,填写参数并点击保存;
三、ftp服务器端设置
以下仅以Serv-U为例,一是因为它比较容易获取(comic上就有),二是因为它比较
简单,大多数新手都用的这个。
此处仅讲解和DMZ有关的设置,其他设置请参考精华区其他教程。
1、如下图所示,选中左边域菜单下面的某个域,在右边填写相关参数并保存;其中
ftp端口地址建议大家填写非21且较大的端口号,比如2121、8021等等。
2、如下图所示,在域下面选中Settings,并在右边选中Advanced页,填写相关参数
并保存。
至此,你的ftp应该可以被大家访问了,地址格式如下:
ftp:
//user:
password@[寝室IP地址]:
[ftp端口]
(user和password是Serv-U中你自己设置的帐号的用户名和密码,[寝室Ip地址]在一、5
中获得,[ftp端口]为三、1中设置的端口号)
下面是系统常用的端口:
7TCPEcho简单TCP/IP服务
7UDPEcho简单TCP/IP服务
9TCPDiscard简单TCP/IP服务
9UDPDiscard简单TCP/IP服务
13TCPDaytime简单TCP/IP服务
13UDPDaytime简单TCP/IP服务
17TCPQuotd简单TCP/IP服务
17UDPQuotd简单TCP/IP服务
19TCPChargen简单TCP/IP服务
19UDPChargen简单TCP/IP服务
20TCPFTP默认数据FTP发布服务
21TCPFTP控制FTP发布服务
21TCPFTP控制应用层网关服务
23TCPTelnetTelnet
25TCPSMTP简单邮件传输协议
25UDPSMTP简单邮件传输协议
25TCPSMTPExchangeServer
25UDPSMTPExchangeServer
42TCPWINS复制WindowsInternet名称服务
42UDPWINS复制WindowsInternet名称服务
53TCPDNSDNS服务器
53UDPDNSDNS服务器
53TCPDNSInternet连接防火墙/Internet连接共享
53UDPDNSInternet连接防火墙/Internet连接共享
67UDPDHCP服务器DHCP服务器
67UDPDHCP服务器Internet连接防火墙/Internet连接共享
69UDPTFTP普通FTP后台程序服务
80TCPHTTPWindows媒体服务
80TCPHTTP万维网发布服务
80TCPHTTPSharePointPortalServer
88TCPKerberosKerberos密钥分发中心
88UDPKerberosKerberos密钥分发中心
102TCPX.400MicrosoftExchangeMTA堆栈
110TCPPOP3MicrosoftPOP3服务
110TCPPOP3ExchangeServer
119TCPNNTP网络新闻传输协议
123UDPNTPWindowsTime
123UDPSNTPWindowsTime
135TCPRPC消息队列
135TCPRPC远程过程调用
135TCPRPCExchangeServer
137TCPNetBIOS名称解析计算机浏览器
137UDPNetBIOS名称解析计算机浏览器
137TCPNetBIOS名称解析Server
137UDPNetBIOS名称解析Server
137TCPNetBIOS名称解析WindowsInternet名称服务
137UDPNetBIOS名称解析WindowsInternet名称服务
137TCPNetBIOS名称解析NetLogon
137UDPNetBIOS名称解析NetLogon
137TCPNetBIOS名称解析SystemsManagementServer2.0
137UDPNetBIOS名称解析SystemsManagementServer2.0
138UDPNetBIOS数据报服务计算机浏览器
138UDPNetBIOS数据报服务信使
138UDPNetBIOS数据报服务服务器
138UDPNetBIOS数据报服务NetLogon
138UDPNetBIOS数据报服务分布式文件系统
138UDPNetBIOS数据报服务SystemsManagementServer2.0
138UDPNetBIOS数据报服务许可证记录服务
139TCPNetBIOS会话服务计算机浏览器
139TCPNetBIOS会话服务传真服务
139TCPNetBIOS会话服务性能日志和警报
139TCPNetBIOS会话服务后台打印程序
139TCPNetBIOS会话服务服务器
139TCPNetBIOS会话服务NetLogon
139TCPNetBIOS会话服务远程过程调用定位器
139TCPNetBIOS会话服务分布式文件系统
139TCPNetBIOS会话服务SystemsManagementServer2.0
139TCPNetBIOS会话服务许可证记录服务
143TCPIMAPExchangeServer
161UDPSNMPSNMP服务
162UDPSNMP陷阱出站SNMP陷阱服务
389TCPLDAP服务器本地安全机构
389UDPLDAP服务器本地安全机构
389TCPLDAP服务器分布式文件系统
389UDPLDAP服务器分布式文件系统
443TCPHTTPSHTTPSSL
443TCPHTTPS万维网发布服务
443TCPHTTPSSharePointPortalServer
445TCPSMB传真服务
445UDPSMB传真服务
445TCPSMB后台打印程序
445UDPSMB后台打印程序
445TCPSMB服务器
445UDPSMB服务器
445TCPSMB远程过程调用定位器
445UDPSMB远程过程调用定位器
445TCPSMB分布式文件系统
445UDPSMB分布式文件系统
445TCPSMB许可证记录服务
445UDPSMB许可证记录服务
500UDPIPSecISAKMPIPSec服务
515TCPLPDTCP/IP打印服务器
548TCPMacintosh文件服务器Macintosh文件服务器
554TCPRTSPWindows媒体服务
563TCPNNTPoverSSL网络新闻传输协议
593TCPRPCoverHTTP远程过程调用
593TCPRPCoverHTTPExchangeServer
636TCPLDAPSSL本地安全机构
636UDPLDAPSSL本地安全机构
993TCPIMAPoverSSLExchangeServer
995TCPPOP3overSSLExchangeServer
1270TCPMOM-EncryptedMicrosoftOperationsManager2000
1433TCPSQLoverTCPMicrosoftSQLServer
1433TCPSQLoverTCPMSSQL$UDDI
1434UDPSQLProbeMicrosoftSQLServer
1434UDPSQLProbeMSSQL$UDDI
1645UDP旧式RADIUSInternet身份验证服务
1646UDP旧式RADIUSInternet身份验证服务
1701UDPL2TP路由和远程访问
1723TCPPPTP路由和远程访问
1755TCPMMSWindows媒体服务
1755UDPMMSWindows媒体服务
1801TCPMSMQ消息队列
1801UDPMSMQ消息队列
1812UDPRADIUS身份验证Internet身份验证服务
1813UDPRADIUS计帐Internet身份验证服务
1900UDPSSDPSSDP发现服务
2101TCPMSMQ-DC消息队列
2103TCPMSMQ-RPC消息队列
2105TCPMSMQ-RPC消息队列
2107TCPMSMQ-Mgmt消息队列
2393TCPOLAPServices7.0SQLServer:
下层OLAP客户端支持
2394TCPOLAPServices7.0SQLServer:
下层OLAP客户端支持
2460UDPMSTheaterWindows媒体服务
2535UDPMADCAPDHCP服务器
2701TCPSMS远程控制(控件)SMS远程控制代理
2701UDPSMS远程控制(控件)SMS远程控制代理
2702TCPSMS远程控制(数据)SMS远程控制代理
2702UDPSMS远程控制(数据)SMS远程控制代理
2703TCPSMS远程聊天SMS远程控制代理
2703UPDSMS远程聊天SMS远程控制代理
2704TCPSMS远程文件传输SMS远程控制代理
2704UDPSMS远程文件传输SMS远程控制代理
2725TCPSQL分析服务SQL分析服务器
2869TCPUPNP通用即插即用设备主机
2869TCPSSDP事件通知SSDP发现服务
3268TCP全局编录服务器本地安全机构
3269TCP全局编录服务器本地安全机构
3343UDP集群服务集群服务
3389TCP终端服务NetMeeting远程桌面共享
3389TCP终端服务终端服务
3527UDPMSMQ-Ping消息队列
4011UDPBINL远程安装
4500UDPNAT-T路由和远程访问
5000TCPSSDP旧事件通知SSDP发现服务
5004UDPRTPWindows媒体服务
5005UDPRTCPWindows媒体服务
42424TCPASP.Net会话状态ASP.NET状态服务
51515TCPMOM-ClearMicrosoftOperationsManager2000
这防火墙你就用了俩口,你意思是就两个安全区域,一个untrust一个DMZ区域了,首先划分区域如图
把G1设置为untrust G0为DMZ
然后设置安全策略如图
DMZ到untrust 设成permit
然后添加映射如图
继续
第一行DMZ
第二行untrust
第三行192.168.0.16/32
第四行60.10.10.10/32
基本就ok了
你试试
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 设置 DMZ