dmz主机虚拟服务器(dmz 虚拟主机)
208
2022-11-15
本文目录一览:
DMZ主机,又叫军事区,可以被外网直接访问,不受路中器/防火墙保护,路由器对访问DMZ的数据包全部转发。或者说,对所有端口做一一映射,而一般的端口映射只做需的端口(如HTTP80,HTTPS:443,FTP:20,21等,RDTP:3389,游戏服务的其它端口:????)建议你先不要从外网用域名访问DMZ主机,先用外网IP地址试试。OK了再用花生壳,一步一步解决问题。外网的地址在路由器中查看。
配置步骤
1、WEB服务器
1) 内网搭建好服务器,保证内网pc可以正常访问,以及该服务器可以正常访问互联网;
2) 登陆路由器的管理界面,选择“转发规则”-“虚拟服务器”,进行对应的端口映射设置。如在外部使用8080端口访问内部80端口的WEB服务器。
◆服务名称:填入该虚拟服务器规则的名称,最多支持28个字符。
◆外部端口:填入路由器提供给广域网访问时使用的端口,如本例中使用8080端口。
◆内部端口:填入局域网中服务器的端口,如本例中是80端口。
◆服务协议:可以选择TCP,UDP协议,或者可以都选(根据内网服务器而定)。
◆内部服务器IP:填入局域网中WEB服务器的IP地址,如本例中是192.168.1.100。
◆启用/禁用规则:“启用”表示此规则生效,“禁用”表示此规则不生效。
填入所有的信息后,点击“新增”按钮,即可添加完成。添加后的规则信息如下:
3) 设置完成后,外网pc可以使用路由器的WAN口IP加外部端口号来访问内网的WEB服务器(假设本例WAN口IP为1.1.1.1,访问方式为http://1.1.1.1:8080)。
4) 如果WAN口IP是通过PPPOE拨号或者动态获取的,用户可以通过申请花生壳动态域名,实现通过域名来访问内部服务器。
注意:若服务器对外开放端口是80端口,在实施端口映射前需要将路由器的管理端口更改,更改方法为:管理界面-系统服务-WEB服务器-服务端口-WEB服务端口,将默认的80端口修改为88或其他端口。修改后登陆路由器管理界面的方法为:口IP地址:新端口。
DMZ主机
但在在某些特殊情况下,用户希望让局域网中的一台计算机完全暴露给广域网,以实现双向通信,此时可以把该计算机设置为DMZ主机。当外网用户访问路由器的外网地址时,其实访问的就是局域网中的计算机。
局域网中设置DMZ(Demilitarized Zone,非军事区)主机后,该主机将完全暴露给广域网,可以实现双向无限制通信。
DMZ主机实际上就是一个开放了所有端口的虚拟服务器,当需要设置的虚拟服务器的开放端口不确定时,可以把它设置成DMZ主机。
选择菜单转发规则→DMZ主机,可以在图 5-28所示界面中设置DMZ主机。
▲ DMZ主机
DMZ状态: 选择是否启用DMZ主机功能。
DMZ主机IP地址: 输入要设置为DMZ主机的局域网计算机的静态IP地址。
完成设置后,点击保存按钮。
实例:把局域网中IP地址为192.168.0.10的计算机设置为DMZ主机,以实现它与Internet上另一台主机的双向通信。
设置方法:
当把主机设置成DMZ主机后,该计算机完全暴露于外网,防火墙对该主机不再起作用。外网用户访问路由器外网地址时,访问的就是192.168.0.10这台计算机。
注意:
1. 添加DMZ主机可能会给该主机带来不安全因素,因此不要轻易使用这一选项。
2. DMZ主机的优先级低于虚拟服务器,因特网用户对路由器同一端口的访问将优先转发到虚拟服务器所对应的局域网服务器上。
DMZ主机是为了实现网络隔离,2个网络之间的缓冲区域。其访问权限比较特别。比如一个校园网和Internet互联,可以设置一个DMZ,让校园网和Internet不可以直接互相访问,而只能通过DMZ。而DMZ不能访问校园网。
而虚拟服务器是指使用内网私有IP的PC不能作为服务器,而路由器提供端口映射功能,可以把使用私有IP的PC的某个进程的端口映射到网关的的某个端口,从外部来看,与这个PC进程的通讯的IP就是一个ISP提供的Internet中的IP。所以称为虚拟服务器。
dmz主机是路由器把所有端口都指向dmz主机,虚拟服务器只是把你设定的端口指向内网的虚拟服务器地址
DMZ主机
针对不同资源提供不同安全级别的保护,可以考虑构建一个叫做“Demilitarized Zone”(DMZ)的区域。DMZ可以理解为一个不同于外网或内网的特殊网络区域。DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。
当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。
1.内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2.内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网
很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4.外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网
很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
6.DMZ不能访问外网
此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。
什么是“DMZ”?
即内网和外网均不能直接访问的区域,多用于连接WWW服务器等公用服务器
就是为外部用户访问内部网络设置的一个特殊的网络
发表评论
暂时没有评论,来抢沙发吧~