防火墙设置DMZ.docx

1、DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化 区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一 个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等DMZ是非军事化区域的意思，是不安全的区域，因为这个区域是绕过防火墙直接连接内网和外网的。DMZ是用防火墙实现的，不需要其他设备。这就好像你家的房子，有客厅，客卧，主卧，儿童房的区别.正常来说，自己家里的人进出这几个房间都不受限制，而客人

2、来了，一般只允许访问客厅和客卧.这个客厅客卧不就是DMZ么一切入侵操作就会转到DMZ主机上，你就代替其他机器被入侵拉访问控制策略： 1.内网可以访问外网 内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。 2.内网可以访问DMZ 此策略是为了方便内网用户使用和管理DMZ中的服务器。 3.外网不能访问内网 很显然，内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问。 4.外网可以访问DMZ DMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。 5.DMZ不能访问内网 很明显，

3、如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。 6.DMZ不能访问外网 此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。 以上策略均由NAT地址转化完成： NAT: 什么是NAT NAT网络地址转换，是通过将专用网络地址（如企业内部网Intranet）转换为公用地址（如互联网Internet），从而对外隐藏了内部管理的 IP 地址.NAT分为三种类型：静态NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址NAT池则是在外部网络

4、中定义了一系列的合法地址，采用动态分配的方法映射到内部网络端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。DMZ区服务器与内网区、外网区的通信是经过网络地址转换（NAT）实现的。网络地址转换用于将一个地址域（如专用Intranet）映射到另一个地址域（如Internet），以达到隐藏专用网络的目的。DMZ区服务器对内服务时映射成内网地址，对外服务时映射成外网地址。采用静态映射配置网络地址转换时，服务用IP和真实IP要一一映射，源地址转换和目的地址转换都必须要有。一、确定服务器以下网络参数（后面会用到） 本机地址、网关地址、子网掩码、寝室IP地址 1、打开开始菜单，选择运行，输

5、入cmd并回车； 2、在打开的命令行窗口里输入 ipconfig /all 并回车，可以看到类似下图的结果：3、按上图所示记下本机地址、网关地址和子网掩码。 你机子上的以上三个参数或许和上图有所不同，不过一般本机地址类似 192.168.x.y ，网关地址类似 192.168.x.1 ,子网掩码一般都是 255.255.255.0 4、为了设置DMZ主机，我们不能使用路由器的DHCP功能，需要手动指定本机地址。 在控制面板的网络连接项中，在本地连接上点右键选择属性，可以得到下图：选中Internet协议(TCP/IP)，点击属性，得到如下对话框：按上图所示填写参数，其中IP地址填192.168

6、.x.y，子网掩码填3中获得的子网 掩码，默认网关填3中获得的网关地址，其他按图中填写即可。 5、至于寝室IP地址，可以在bbs上发一帖，然后看看帖子最下面显示的IP地址就 是你们寝室的寝室IP地址 _二、设置DMZ主机 以下设置以TP-LINK R402路由器为例，其他路由器的设置大同小异，最多是DMZ这个 说法不同，如TENDA的就是通透区菜单项。 1、打开浏览器，输入网关地址并回车，会看到下图：2、按上图输入用户名和密码登录（注意大小写），进入路由器设置界面如下：3、按上图在左边菜单找到DMZ主机项，填写参数并点击保存；三、ftp服务器端设置 以下仅以Serv-U为例，一是因为它比较容易

7、获取（comic上就有），二是因为它比较 简单，大多数新手都用的这个。 此处仅讲解和DMZ有关的设置，其他设置请参考精华区其他教程。 1、如下图所示，选中左边域菜单下面的某个域，在右边填写相关参数并保存；其中 ftp端口地址建议大家填写非21且较大的端口号，比如2121、8021等等。2、如下图所示，在域下面选中Settings，并在右边选中Advanced页，填写相关参数 并保存。至此，你的ftp应该可以被大家访问了，地址格式如下：ftp:/user:password寝室IP地址:ftp端口(user和password是Serv-U中你自己设置的帐号的用户名和密码，寝室Ip地址在一、5中获得

8、，ftp端口为三、1中设置的端口号)下面是系统常用的端口：7 TCP Echo 简单 TCP/IP 服务 7 UDP Echo 简单 TCP/IP 服务 9 TCP Discard 简单 TCP/IP 服务 9 UDP Discard 简单 TCP/IP 服务 13 TCP Daytime 简单 TCP/IP 服务 13 UDP Daytime 简单 TCP/IP 服务 17 TCP Quotd 简单 TCP/IP 服务 17 UDP Quotd 简单 TCP/IP 服务 19 TCP Chargen 简单 TCP/IP 服务 19 UDP Chargen 简单 TCP/IP 服务 20 TC

9、P FTP 默认数据 FTP 发布服务 21 TCP FTP 控制 FTP 发布服务 21 TCP FTP 控制 应用层网关服务 23 TCP Telnet Telnet 25 TCP SMTP 简单邮件传输协议 25 UDP SMTP 简单邮件传输协议 25 TCP SMTP Exchange Server 25 UDP SMTP Exchange Server 42 TCP WINS 复制 Windows Internet 名称服务 42 UDP WINS 复制 Windows Internet 名称服务 53 TCP DNS DNS 服务器 53 UDP DNS DNS 服务器 53 T

10、CP DNS Internet 连接防火墙/Internet 连接共享 53 UDP DNS Internet 连接防火墙/Internet 连接共享 67 UDP DHCP 服务器 DHCP 服务器 67 UDP DHCP 服务器 Internet 连接防火墙/Internet 连接共享 69 UDP TFTP 普通 FTP 后台程序服务 80 TCP HTTP Windows 媒体服务 80 TCP HTTP 万维网发布服务 80 TCP HTTP SharePoint Portal Server 88 TCP Kerberos Kerberos 密钥分发中心 88 UDP Kerbero

11、s Kerberos 密钥分发中心 102 TCP X.400 Microsoft Exchange MTA 堆栈 110 TCP POP3 Microsoft POP3 服务 110 TCP POP3 Exchange Server 119 TCP NNTP 网络新闻传输协议 123 UDP NTP Windows Time 123 UDP SNTP Windows Time 135 TCP RPC 消息队列 135 TCP RPC 远程过程调用 135 TCP RPC Exchange Server 137 TCP NetBIOS 名称解析 计算机浏览器 137 UDP NetBIOS 名

12、称解析 计算机浏览器 137 TCP NetBIOS 名称解析 Server 137 UDP NetBIOS 名称解析 Server 137 TCP NetBIOS 名称解析 Windows Internet 名称服务 137 UDP NetBIOS 名称解析 Windows Internet 名称服务 137 TCP NetBIOS 名称解析 Net Logon 137 UDP NetBIOS 名称解析 Net Logon 137 TCP NetBIOS 名称解析 Systems Management Server 2.0 137 UDP NetBIOS 名称解析 Systems Manag

13、ement Server 2.0 138 UDP NetBIOS 数据报服务 计算机浏览器 138 UDP NetBIOS 数据报服务 信使 138 UDP NetBIOS 数据报服务 服务器 138 UDP NetBIOS 数据报服务 Net Logon 138 UDP NetBIOS 数据报服务 分布式文件系统 138 UDP NetBIOS 数据报服务 Systems Management Server 2.0 138 UDP NetBIOS 数据报服务 许可证记录服务 139 TCP NetBIOS 会话服务 计算机浏览器 139 TCP NetBIOS 会话服务 传真服务 139 T

14、CP NetBIOS 会话服务 性能日志和警报 139 TCP NetBIOS 会话服务 后台打印程序 139 TCP NetBIOS 会话服务 服务器 139 TCP NetBIOS 会话服务 Net Logon 139 TCP NetBIOS 会话服务 远程过程调用定位器 139 TCP NetBIOS 会话服务 分布式文件系统 139 TCP NetBIOS 会话服务 Systems Management Server 2.0 139 TCP NetBIOS 会话服务 许可证记录服务 143 TCP IMAP Exchange Server 161 UDP SNMP SNMP 服务 16

15、2 UDP SNMP 陷阱出站 SNMP 陷阱服务 389 TCP LDAP 服务器 本地安全机构 389 UDP LDAP 服务器 本地安全机构 389 TCP LDAP 服务器 分布式文件系统 389 UDP LDAP 服务器 分布式文件系统 443 TCP HTTPS HTTP SSL 443 TCP HTTPS 万维网发布服务 443 TCP HTTPS SharePoint Portal Server 445 TCP SMB 传真服务 445 UDP SMB 传真服务 445 TCP SMB 后台打印程序 445 UDP SMB 后台打印程序 445 TCP SMB 服务器 445

16、UDP SMB 服务器 445 TCP SMB 远程过程调用定位器 445 UDP SMB 远程过程调用定位器 445 TCP SMB 分布式文件系统 445 UDP SMB 分布式文件系统 445 TCP SMB 许可证记录服务 445 UDP SMB 许可证记录服务 500 UDP IPSec ISAKMP IPSec 服务 515 TCP LPD TCP/IP 打印服务器 548 TCP Macintosh 文件服务器 Macintosh 文件服务器 554 TCP RTSP Windows 媒体服务 563 TCP NNTP over SSL 网络新闻传输协议 593 TCP RPC

17、over HTTP 远程过程调用 593 TCP RPC over HTTP Exchange Server 636 TCP LDAP SSL 本地安全机构 636 UDP LDAP SSL 本地安全机构 993 TCP IMAP over SSL Exchange Server 995 TCP POP3 over SSL Exchange Server 1270 TCP MOM-Encrypted Microsoft Operations Manager 2000 1433 TCP SQL over TCP Microsoft SQL Server 1433 TCP SQL over TCP

18、 MSSQL$UDDI 1434 UDP SQL Probe Microsoft SQL Server 1434 UDP SQL Probe MSSQL$UDDI 1645 UDP 旧式 RADIUS Internet 身份验证服务 1646 UDP 旧式 RADIUS Internet 身份验证服务 1701 UDP L2TP 路由和远程访问 1723 TCP PPTP 路由和远程访问 1755 TCP MMS Windows 媒体服务 1755 UDP MMS Windows 媒体服务 1801 TCP MSMQ 消息队列 1801 UDP MSMQ 消息队列 1812 UDP RADIU

19、S 身份验证 Internet 身份验证服务 1813 UDP RADIUS 计帐 Internet 身份验证服务 1900 UDP SSDP SSDP 发现服务 2101 TCP MSMQ-DC 消息队列 2103 TCP MSMQ-RPC 消息队列 2105 TCP MSMQ-RPC 消息队列 2107 TCP MSMQ-Mgmt 消息队列 2393 TCP OLAP Services 7.0 SQL Server：下层 OLAP 客户端支持 2394 TCP OLAP Services 7.0 SQL Server：下层 OLAP 客户端支持 2460 UDP MS Theater Wi

20、ndows 媒体服务 2535 UDP MADCAP DHCP 服务器 2701 TCP SMS 远程控制（控件） SMS 远程控制代理 2701 UDP SMS 远程控制（控件） SMS 远程控制代理 2702 TCP SMS 远程控制（数据） SMS 远程控制代理 2702 UDP SMS 远程控制（数据） SMS 远程控制代理 2703 TCP SMS 远程聊天 SMS 远程控制代理 2703 UPD SMS 远程聊天 SMS 远程控制代理 2704 TCP SMS 远程文件传输 SMS 远程控制代理 2704 UDP SMS 远程文件传输 SMS 远程控制代理 2725 TCP SQL

21、 分析服务 SQL 分析服务器 2869 TCP UPNP 通用即插即用设备主机 2869 TCP SSDP 事件通知 SSDP 发现服务 3268 TCP 全局编录服务器 本地安全机构 3269 TCP 全局编录服务器 本地安全机构 3343 UDP 集群服务 集群服务 3389 TCP 终端服务 NetMeeting 远程桌面共享 3389 TCP 终端服务 终端服务 3527 UDP MSMQ-Ping 消息队列 4011 UDP BINL 远程安装 4500 UDP NAT-T 路由和远程访问 5000 TCP SSDP 旧事件通知 SSDP 发现服务 5004 UDP RTP Windows 媒体服务 5005 UDP RTCP Windows 媒体服务 42424 TCP ASP.Net 会话状态 ASP.NET 状态服务 51515 TCP MOM-Clear Microsoft Operations Manager 2000这防火墙你就用了俩口，你意思是就两个安全区域，一个untrust 一个DMZ区域了，首先划分区域如图把G1 设置为untrust G0为DMZ然后设置安全策略如图DMZ 到untrust 设成permit然后添加映射如图继续第一行DMZ第二行untrust第三行192.168.0.16/32第四行60.10.10.10/32基本就ok了你试试