防火墙设置DM.docxVIP

DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化 区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一 个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等DMZ是非军事化区域的意思，是不安全的区域，因为这个区域是绕过防火墙直接连接内网和外网的。DMZ是用防火墙实现的，不需要其他设备。这就好像你家的房子，有客厅，客卧，主卧，儿童房的区别...正常来说，自己家里的人进出这几个房间都不受限制，而客人来了，一般只允许访问客厅和客卧...这个客厅客卧不就是DMZ么一切入侵操作就会转到DMZ主机上，你就代替其他机器被入侵拉访问控制策略： 1.内网可以访问外网 内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。2.内网可以访问DMZ 此策略是为了方便内网用户使用和管理DMZ中的服务器。 3.外网不能访问内网 很显然，内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问。 4.外网可以访问DMZ DMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。 5.DMZ不能访问内网 很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。 6.DMZ不能访问外网 此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。以上策略均由NAT地址转化完成： NAT:什么是NAT NAT——网络地址转换，是通过将专用网络地址（如企业内部网Intranet）转换为公用地址（如互联网Internet），从而对外隐藏了内部管理的 IP 地址.NAT分为三种类型：静态NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。DMZ区服务器与内网区、外网区的通信是经过网络地址转换（NAT）实现的。网络地址转换用于将一个地址域（如专用Intranet）映射到另一个地址域（如Internet），以达到隐藏专用网络的目的。DMZ区服务器对内服务时映射成内网地址，对外服务时映射成外网地址。采用静态映射配置网络地址转换时，服务用IP和真实IP要一一映射，源地址转换和目的地址转换都必须要有。一、确定服务器以下网络参数（后面会用到）???? [本机地址]、[网关地址]、[子网掩码]、[寝室IP地址]???? 1、打开开始菜单，选择运行，输入cmd并回车；???? 2、在打开的命令行窗口里输入ipconfig /all 并回车，可以看到类似下图的结果：?3、按上图所示记下[本机地址]、[网关地址]和[子网掩码]。??????? 你机子上的以上三个参数或许和上图有所不同，不过一般[本机地址]类似??????? 192.168.x.y ，[网关地址]类似 192.168.x.1 ,[子网掩码]一般都是??????? ???? 4、为了设置DMZ主机，我们不能使用路由器的DHCP功能，需要手动指定[本机地址]。??????? 在控制面板的网络连接项中，在本地连接上点右键选择属性，可以得到下图：?选中Internet协议(TCP/IP)，点击属性，得到如下对话框：?按上图所示填写参数，其中IP地址填192.168.x.y，子网掩码填3中获得的[子网??????? 掩码]，默认网关填3中获得的[网关地址]，其他按图中填写即可。???? 5、至于][寝室IP地址]，可以在bbs上发一帖，然后看看帖子最下面显示的IP地址就??????? 是你们寝室的][寝室IP地址] ^_^?二、设置DMZ主机???? 以下设置以TP-LINK R402路由器为例，其他路由器的设置大同小异，最多是DMZ这个???? 说法不同，如TENDA的就是通透区菜单项。???? 1、打开浏览器，输入[网关地址]并回车，会看到下图：?2、按上图输入用户名和密码登录（注意大小写），进入路由器设置界面如下：?3、按上图在左边菜单找到DMZ主机项，填写参数并点击保存；?三、ftp服务器端设置???? 以下仅以Serv-U为例，一是因为它比较容易获取（comic上就有），二是因为它比较???? 简单，大多数新手都用的这个。???? 此处仅讲解和DMZ有关的设置，其他设置请参考精华区其他教程。????