dlink怎么設(shè)置dmz

dlink怎么設(shè)置dmz

　　大家都知道隔離區(qū)，那么網(wǎng)絡(luò)隔離區(qū)dmz你們知道嗎，dlink怎么設(shè)置dmz呢?學(xué)習(xí)啦小編DMZ的相關(guān)資料，供您參考。

　　網(wǎng)絡(luò)設(shè)備開發(fā)商，利用DMZ技術(shù)，開發(fā)出了相應(yīng)的防火墻解決方案。稱“非軍事區(qū)結(jié)構(gòu)模式”。DMZ通常是一個過濾的子網(wǎng)，DMZ在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造了一個安全地帶。

　　DMZ提供的服務(wù)是經(jīng)過了網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和受安全規(guī)則限制的，以達(dá)到隱蔽真實地址、控制訪問的功能。首先要根據(jù)將要提供的服務(wù)和安全策略建立一個清晰的網(wǎng)絡(luò)拓?fù)?，確定DMZ區(qū)應(yīng)用服務(wù)器的IP和端口號以及數(shù)據(jù)流向。通常網(wǎng)絡(luò)通信流向為禁止外網(wǎng)區(qū)與內(nèi)網(wǎng)區(qū)直接通信，DMZ區(qū)既可與外網(wǎng)區(qū)進(jìn)行通信，也可以與內(nèi)網(wǎng)區(qū)進(jìn)行通信，受安全規(guī)則限制。

　　1.地址轉(zhuǎn)換

　　DMZ區(qū)服務(wù)器與內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)的通信是經(jīng)過網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)實現(xiàn)的。網(wǎng)絡(luò)地址轉(zhuǎn)換用于將一個地址域(如專用Intranet)映射到另一個地址域(如Internet)，以達(dá)到隱藏專用網(wǎng)絡(luò)的目的。DMZ區(qū)服務(wù)器對內(nèi)服務(wù)時映射成內(nèi)網(wǎng)地址，對外服務(wù)時映射成外網(wǎng)地址。采用靜態(tài)映射配置網(wǎng)絡(luò)地址轉(zhuǎn)換時，服務(wù)用IP和真實IP要一一映射，源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換都必須要有。

　　2.DMZ安全規(guī)則制定

　　安全規(guī)則集是安全策略的技術(shù)實現(xiàn)，一個可靠、高效的安全規(guī)則集是實現(xiàn)一個成功、安全的防火墻的非常關(guān)鍵的一步。如果防火墻規(guī)則集配置錯誤，再好的防火墻也只是擺設(shè)。在建立規(guī)則集時必須注意規(guī)則次序，因為防火墻大多以順序方式檢查信息包，同樣的規(guī)則，以不同的次序放置，可能會完全改變防火墻的運轉(zhuǎn)情況。如果信息包經(jīng)過每一條規(guī)則而沒有發(fā)現(xiàn)匹配，這個信息包便會被拒絕。一般來說，通常的順序是，較特殊的規(guī)則在前，較普通的規(guī)則在后，防止在找到一個特殊規(guī)則之前一個普通規(guī)則便被匹配，避免防火墻被配置錯誤。

　　DMZ安全規(guī)則指定了非軍事區(qū)內(nèi)的某一主機(IP地址)對應(yīng)的安全策略。由于DMZ區(qū)內(nèi)放置的服務(wù)器主機將提供公共服務(wù)，其地址是公開的，可以被外部網(wǎng)的用戶訪問，所以正確設(shè)置DMZ區(qū)安全規(guī)則對保證網(wǎng)絡(luò)安全是十分重要的。

　　FireWall可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問控制。它將每個連接作為一個數(shù)據(jù)流，通過規(guī)則表與連接表共同配合，對網(wǎng)絡(luò)連接和會話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。其用于過濾和監(jiān)控的IP包信息主要有：源IP地址、目的IP地址、協(xié)議類型(IP、ICMP、TCP、UDP)、源TCP/UDP端口、目的TCP/UDP端口、ICMP報文類型域和代碼域、碎片包和其他標(biāo)志位(如SYN、ACK位)等。

　　為了讓DMZ區(qū)的應(yīng)用服務(wù)器能與內(nèi)網(wǎng)中DB服務(wù)器(服務(wù)端口4004、使用TCP協(xié)議)通信，需增加DMZ區(qū)安全規(guī)則， 這樣一個基于DMZ的安全應(yīng)用服務(wù)便配置好了。其他的應(yīng)用服務(wù)可根據(jù)安全策略逐個配置。

　　配置步驟（以dlink-504路由器為例）

注意：

　　一、DMZ只能設(shè)定一臺電腦，無法設(shè)定多臺電腦

　　二、同一個IP地址，在“進(jìn)階設(shè)定”項目里的“虛擬服務(wù)器”與“DMZ”功能只能二選一。亦即啟動“虛擬服務(wù)器”功能必須關(guān)閉“DMZ”功能，啟動“DMZ”功能則必須關(guān)閉所有“虛擬服務(wù)器”功能

　　三、設(shè)定至DMZ表示該臺電腦將會暴露在Internet上，會有安全性的風(fēng)險。

　　dlink-504路由器設(shè)定DMZ具體步驟如下：

　　一、先把內(nèi)部需要設(shè)定DMZ的電腦設(shè)定成指定IP，這樣就可以避免IP地址變動，如果需要動態(tài)IP的話，可以通過各靜態(tài)的DHCP將所分配到的IP地址給予保留。

　　1、設(shè)置成指定IP地址操作步驟：

　　“網(wǎng)上鄰居”右鍵 →“屬性”，打開網(wǎng)絡(luò)連接窗口之后，“本地連接”按右鍵“屬性”→ “Internet 協(xié)議 (TCP/IP)”點擊屬性

　　IP地址：192.168.0.2~254 中的任意一個皆可

　　2、使用靜態(tài)DHCP將分配到的IP地址給予保留方法：

　　首先進(jìn)入到dlink-504路由器配置界面，在進(jìn)入到dlink-504路由器配置界面以后，點擊配置界面中的點擊左側(cè)的DHCP

　　默認(rèn)狀態(tài)下，DHCP服務(wù)器處于激活的狀態(tài)，且可選的IP地址范圍192.168.0.100-192.168.0.199，您可以修改所需的IP地址范圍，但請在2-254之間進(jìn)行選擇。

　　下面還會有固定DHCP的設(shè)置，以及相應(yīng)的靜態(tài)DHCP用戶列表和動態(tài)DHCP用戶列表。在沒有設(shè)置固定IP之前，只會顯示連接到DI-504并且得到路由器為其分配IP地址的主機信息。

　　dlink-504路由器固定DHCP設(shè)置方法：

　　首先要激活該項，激活該項可以將現(xiàn)有DHCP指派的IP地址制定到您特定的MAC地址(即DI-504下面連接的一臺計算機上面)。然后下拉DHCP用戶端，里面可以選擇相應(yīng)需要設(shè)置固定DHCP的主機名及MAC地址。

　　選好之后，點擊clone復(fù)制到，即可以將該主機的信息(包括主機名/IP地址/MAC地址)復(fù)制到上面的選項中，當(dāng)然也可以自己手動添加。然后點擊執(zhí)行。

　　點擊繼續(xù)，回到剛才的配置界面。

　　經(jīng)過以上設(shè)置以后我們就可以在靜態(tài)DHCP用戶列表中看到，系統(tǒng)已經(jīng)將該IP地址(192.168.0.100)和相應(yīng)MAC地址為00140B0AF42D的計算機綁定在一起了。

　　二、設(shè)置DMZ

　　在dlink-504路由器的配置界面，選擇“進(jìn)階設(shè)定”→“DMZ”：勾選“激活”→輸入電腦的IP地址→“執(zhí)行”

　　在設(shè)置保存以后，點擊“繼續(xù)”

　　到此dlink-504路由器的DMZ就設(shè)定完成。

　　如果在設(shè)置完成以后還是無法使用的話，就需要檢查電腦是否安裝了殺毒軟件，如果安裝了，就先把其關(guān)閉，并同時關(guān)閉系統(tǒng)自帶防火墻。

　　DMZ無疑是網(wǎng)絡(luò)安全防御體系中重要組成部分，再加上入侵檢測和基于主機的其他安全措施，將極大地提高公共服務(wù)及整個系統(tǒng)的安全性。