资源描述
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化 区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一 个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等
DMZ是非军事化区域的意思,是不安全的区域,因为这个区域是绕过防火墙直接连接内网和外网的。
DMZ是用防火墙实现的,不需要其他设备。
这就好像你家的房子,有客厅,客卧,主卧,儿童房的区别...正常来说,自己家里的人进出这几个房间都不受限制,而客人来了,一般只允许访问客厅和客卧...这个客厅客卧不就是DMZ么
一切入侵操作就会转到DMZ主机上,你就代替其他机器被入侵拉
访问控制策略:
1.内网可以访问外网 内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2.内网可以访问DMZ 此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网 很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4.外网可以访问DMZ DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网 很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
6.DMZ不能访问外网 此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。
以上策略均由NAT地址转化完成:
NAT: 什么是NAT NAT——网络地址转换,是通过将专用网络地址(如企业内部网Intranet)转换为公用地址(如互联网Internet),从而对外隐藏了内部管理的 IP 地址.
NAT分为三种类型:静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)。
静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址
NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络
端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
DMZ区服务器与内网区、外网区的通信是经过网络地址转换(NAT)实现的。网络地址转换用于将一个地址域(如专用Intranet)映射到另一个地址域(如Internet),以达到隐藏专用网络的目的。DMZ区服务器对内服务时映射成内网地址,对外服务时映射成外网地址。采用静态映射配置网络地址转换时,服务用IP和真实IP要一一映射,源地址转换和目的地址转换都必须要有。
一、确定服务器以下网络参数(后面会用到)
[本机地址]、[网关地址]、[子网掩码]、[寝室IP地址]
1、打开开始菜单,选择运行,输入cmd并回车;
2、在打开的命令行窗口里输入 ipconfig /all 并回车,可以看到类似下图的结果:
3、按上图所示记下[本机地址]、[网关地址]和[子网掩码]。
你机子上的以上三个参数或许和上图有所不同,不过一般[本机地址]类似
192.168.x.y ,[网关地址]类似 192.168.x.1 ,[子网掩码]一般都是
255.255.255.0
4、为了设置DMZ主机,我们不能使用路由器的DHCP功能,需要手动指定[本机地址]。
在控制面板的网络连接项中,在本地连接上点右键选择属性,可以得到下图:
选中Internet协议(TCP/IP),点击属性,得到如下对话框:
按上图所示填写参数,其中IP地址填192.168.x.y,子网掩码填3中获得的[子网
掩码],默认网关填3中获得的[网关地址],其他按图中填写即可。
5、至于][寝室IP地址],可以在bbs上发一帖,然后看看帖子最下面显示的IP地址就
是你们寝室的][寝室IP地址] ^_^
二、设置DMZ主机
以下设置以TP-LINK R402路由器为例,其他路由器的设置大同小异,最多是DMZ这个
说法不同,如TENDA的就是通透区菜单项。
1、打开浏览器,输入[网关地址]并回车,会看到下图:
2、按上图输入用户名和密码登录(注意大小写),进入路由器设置界面如下:
3、按上图在左边菜单找到DMZ主机项,填写参数并点击保存;
三、ftp服务器端设置
以下仅以Serv-U为例,一是因为它比较容易获取(comic上就有),二是因为它比较
简单,大多数新手都用的这个。
此处仅讲解和DMZ有关的设置,其他设置请参考精华区其他教程。
1、如下图所示,选中左边域菜单下面的某个域,在右边填写相关参数并保存;其中
ftp端口地址建议大家填写非21且较大的端口号,比如2121、8021等等。
2、如下图所示,在域下面选中Settings,并在右边选中Advanced页,填写相关参数
并保存。
至此,你的ftp应该可以被大家访问了,地址格式如下:
ftp://user:password@[寝室IP地址]:[ftp端口]
(user和password是Serv-U中你自己设置的帐号的用户名和密码,[寝室Ip地址]在一、5
中获得,[ftp端口]为三、1中设置的端口号)
下面是系统常用的端口:
7 TCP Echo 简单 TCP/IP 服务
7 UDP Echo 简单 TCP/IP 服务
9 TCP Discard 简单 TCP/IP 服务
9 UDP Discard 简单 TCP/IP 服务
13 TCP Daytime 简单 TCP/IP 服务
13 UDP Daytime 简单 TCP/IP 服务
17 TCP Quotd 简单 TCP/IP 服务
17 UDP Quotd 简单 TCP/IP 服务
19 TCP Chargen 简单 TCP/IP 服务
19 UDP Chargen 简单 TCP/IP 服务
20 TCP FTP 默认数据 FTP 发布服务
21 TCP FTP 控制 FTP 发布服务
21 TCP FTP 控制 应用层网关服务
23 TCP Telnet Telnet
25 TCP SMTP 简单邮件传输协议
25 UDP SMTP 简单邮件传输协议
25 TCP SMTP Exchange Server
25 UDP SMTP Exchange Server
42 TCP WINS 复制 Windows Internet 名称服务
42 UDP WINS 复制 Windows Internet 名称服务
53 TCP DNS DNS 服务器
53 UDP DNS DNS 服务器
53 TCP DNS Internet 连接防火墙/Internet 连接共享
53 UDP DNS Internet 连接防火墙/Internet 连接共享
67 UDP DHCP 服务器 DHCP 服务器
67 UDP DHCP 服务器 Internet 连接防火墙/Internet 连接共享
69 UDP TFTP 普通 FTP 后台程序服务
80 TCP HTTP Windows 媒体服务
80 TCP HTTP 万维网发布服务
80 TCP HTTP SharePoint Portal Server
88 TCP Kerberos Kerberos 密钥分发中心
88 UDP Kerberos Kerberos 密钥分发中心
102 TCP X.400 Microsoft Exchange MTA 堆栈
110 TCP POP3 Microsoft POP3 服务
110 TCP POP3 Exchange Server
119 TCP NNTP 网络新闻传输协议
123 UDP NTP Windows Time
123 UDP SNTP Windows Time
135 TCP RPC 消息队列
135 TCP RPC 远程过程调用
135 TCP RPC Exchange Server
137 TCP NetBIOS 名称解析 计算机浏览器
137 UDP NetBIOS 名称解析 计算机浏览器
137 TCP NetBIOS 名称解析 Server
137 UDP NetBIOS 名称解析 Server
137 TCP NetBIOS 名称解析 Windows Internet 名称服务
137 UDP NetBIOS 名称解析 Windows Internet 名称服务
137 TCP NetBIOS 名称解析 Net Logon
137 UDP NetBIOS 名称解析 Net Logon
137 TCP NetBIOS 名称解析 Systems Management Server 2.0
137 UDP NetBIOS 名称解析 Systems Management Server 2.0
138 UDP NetBIOS 数据报服务 计算机浏览器
138 UDP NetBIOS 数据报服务 信使
138 UDP NetBIOS 数据报服务 服务器
138 UDP NetBIOS 数据报服务 Net Logon
138 UDP NetBIOS 数据报服务 分布式文件系统
138 UDP NetBIOS 数据报服务 Systems Management Server 2.0
138 UDP NetBIOS 数据报服务 许可证记录服务
139 TCP NetBIOS 会话服务 计算机浏览器
139 TCP NetBIOS 会话服务 传真服务
139 TCP NetBIOS 会话服务 性能日志和警报
139 TCP NetBIOS 会话服务 后台打印程序
139 TCP NetBIOS 会话服务 服务器
139 TCP NetBIOS 会话服务 Net Logon
139 TCP NetBIOS 会话服务 远程过程调用定位器
139 TCP NetBIOS 会话服务 分布式文件系统
139 TCP NetBIOS 会话服务 Systems Management Server 2.0
139 TCP NetBIOS 会话服务 许可证记录服务
143 TCP IMAP Exchange Server
161 UDP SNMP SNMP 服务
162 UDP SNMP 陷阱出站 SNMP 陷阱服务
389 TCP LDAP 服务器 本地安全机构
389 UDP LDAP 服务器 本地安全机构
389 TCP LDAP 服务器 分布式文件系统
389 UDP LDAP 服务器 分布式文件系统
443 TCP HTTPS HTTP SSL
443 TCP HTTPS 万维网发布服务
443 TCP HTTPS SharePoint Portal Server
445 TCP SMB 传真服务
445 UDP SMB 传真服务
445 TCP SMB 后台打印程序
445 UDP SMB 后台打印程序
445 TCP SMB 服务器
445 UDP SMB 服务器
445 TCP SMB 远程过程调用定位器
445 UDP SMB 远程过程调用定位器
445 TCP SMB 分布式文件系统
445 UDP SMB 分布式文件系统
445 TCP SMB 许可证记录服务
445 UDP SMB 许可证记录服务
500 UDP IPSec ISAKMP IPSec 服务
515 TCP LPD TCP/IP 打印服务器
548 TCP Macintosh 文件服务器 Macintosh 文件服务器
554 TCP RTSP Windows 媒体服务
563 TCP NNTP over SSL 网络新闻传输协议
593 TCP RPC over HTTP 远程过程调用
593 TCP RPC over HTTP Exchange Server
636 TCP LDAP SSL 本地安全机构
636 UDP LDAP SSL 本地安全机构
993 TCP IMAP over SSL Exchange Server
995 TCP POP3 over SSL Exchange Server
1270 TCP MOM-Encrypted Microsoft Operations Manager 2000
1433 TCP SQL over TCP Microsoft SQL Server
1433 TCP SQL over TCP MSSQL$UDDI
1434 UDP SQL Probe Microsoft SQL Server
1434 UDP SQL Probe MSSQL$UDDI
1645 UDP 旧式 RADIUS Internet 身份验证服务
1646 UDP 旧式 RADIUS Internet 身份验证服务
1701 UDP L2TP 路由和远程访问
1723 TCP PPTP 路由和远程访问
1755 TCP MMS Windows 媒体服务
1755 UDP MMS Windows 媒体服务
1801 TCP MSMQ 消息队列
1801 UDP MSMQ 消息队列
1812 UDP RADIUS 身份验证 Internet 身份验证服务
1813 UDP RADIUS 计帐 Internet 身份验证服务
1900 UDP SSDP SSDP 发现服务
2101 TCP MSMQ-DC 消息队列
2103 TCP MSMQ-RPC 消息队列
2105 TCP MSMQ-RPC 消息队列
2107 TCP MSMQ-Mgmt 消息队列
2393 TCP OLAP Services 7.0 SQL Server:下层 OLAP 客户端支持
2394 TCP OLAP Services 7.0 SQL Server:下层 OLAP 客户端支持
2460 UDP MS Theater Windows 媒体服务
2535 UDP MADCAP DHCP 服务器
2701 TCP SMS 远程控制(控件) SMS 远程控制代理
2701 UDP SMS 远程控制(控件) SMS 远程控制代理
2702 TCP SMS 远程控制(数据) SMS 远程控制代理
2702 UDP SMS 远程控制(数据) SMS 远程控制代理
2703 TCP SMS 远程聊天 SMS 远程控制代理
2703 UPD SMS 远程聊天 SMS 远程控制代理
2704 TCP SMS 远程文件传输 SMS 远程控制代理
2704 UDP SMS 远程文件传输 SMS 远程控制代理
2725 TCP SQL 分析服务 SQL 分析服务器
2869 TCP UPNP 通用即插即用设备主机
2869 TCP SSDP 事件通知 SSDP 发现服务
3268 TCP 全局编录服务器 本地安全机构
3269 TCP 全局编录服务器 本地安全机构
3343 UDP 集群服务 集群服务
3389 TCP 终端服务 NetMeeting 远程桌面共享
3389 TCP 终端服务 终端服务
3527 UDP MSMQ-Ping 消息队列
4011 UDP BINL 远程安装
4500 UDP NAT-T 路由和远程访问
5000 TCP SSDP 旧事件通知 SSDP 发现服务
5004 UDP RTP Windows 媒体服务
5005 UDP RTCP Windows 媒体服务
42424 TCP ASP.Net 会话状态 ASP.NET 状态服务
51515 TCP MOM-Clear Microsoft Operations Manager 2000
这防火墙你就用了俩口,你意思是就两个安全区域,一个untrust 一个DMZ区域了,首先划分区域如图
把G1 设置为untrust G0为DMZ
然后设置安全策略如图
DMZ 到untrust 设成permit
然后添加映射如图
继续
第一行DMZ
第二行untrust
第三行192.168.0.16/32
第四行60.10.10.10/32
基本就ok了
你试试
展开阅读全文