如何在FVX538上启用DMZ服务区：.DOC

NETGEAR防火墙动手操作实验（六） VPN防火墙的DMZ端口功能的实现与安装配置 2008年10月 目 录 1. 实验目的 2 2. 理解DMZ(非军事区) 2 3. 实验环境 4 4. 实验操作 4 4.1启用DMZ服务区 4 4.2 建立DMZ服务区到WAN区的规则 5 4.2.1创建DMZ区到WAN的规则 6 4.2.2创建WAN到DMZ区的规则 7 4.3建立LAN区到DMZ区的规则 9 实验目的 本实验将以FVX538 Version 2.0.0-139为例详细描述Netgear系列防火墙的DMZ区的配置方法，主要包括以下内容： 启用FVX538 DMZ服务区 建立DMZ服务区到WAN区的规则 建立LAN区到DMZ区的规则 通过以上实验操作，实验者具备针对FVX538/FVS338防火墙的DMZ区进行安装与调试能力。 理解DMZ(非军事区) DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。就是在一般的防火墙系统内定义一个区域，在该区域内通常放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可以接触到存放在内网中的公司机密或私人信息等。 如下图，是一个典型的DMZ区的应用图，用户将Web、Mail、FTP等需要为内部和外部网络提供服务的服务器放置到防火墙的DMZ区内。通过合理的策略规划，使DMZ中服务器既免受到来自外网络的入侵和破坏，也不会对内网中的机密信息造成影响。DMZ服务区好比一道屏障，在其中放置外网服务器，在为外网用户提供服务的同时也有效地保障了内部网络的安全。  图1：DMZ应用图例 在上图中，我们可以看到用户将其网络划分为三个区域：安全级别最高的LAN Area（内网）,安全级别中等的DMZ区域和安全级别最低的Internet区域（外网）。三个区域因担负不同的任务而拥有不同的访问策略。我们在配置一个拥有DMZ区的网络的时候通常定义以下的访问控制策略以实现DMZ区的屏障功能。 1．内网可以访问外网　　内网的用户需要自由地访问外网。在这一策略中，防火墙需要执行NAT。 2．内网可以访问DMZ　　此策略使内网用户可以使用或者管理DMZ中的服务器。3．外网不能访问内网　 这是防火墙的基本策略了，内网中存放的是公司内部数据，显然这些数据是不允许外网的用户进行访问的。 如果要访问，就要通过VPN方式来进行。4．外网可以访问DMZ　　DMZ中的服务器需要为外界提供服务，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。 5．DMZ不能访问内网如果不执行此策略，则当入侵者攻陷DMZ时，内部网络将不会受保护。 6．DMZ不能访问外网　　此条策略也有例外，比如我们的例子中，在DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。 在没有DMZ的技术之前，需要使用外网服务器的用户必须在其防火墙上面开放端口(就是Port Forwarding技术)使互联网的用户访问其外网服务器，显然，这种做法会因为防火墙对互联网开放了一些必要的端口降低了需要受严密保护的内网区域的安全性，黑客们只需要攻陷外网服务器，那么整个内部网络就完全崩溃了。DMZ区的诞生恰恰为需用架设外网服务器的用户解决了内部网络的安全性问题。 FVX538的DMZ端口 Netgear的FVX538上定义第八个交换端口为固定的硬件DMZ端口，但在默认状态下，该端口被软件设定为普通的交换端口，可以通过软件的设定，将其设置成DMZ专用端口。如下图： 图2：设备面板图 实验环境 测试环境：FVX538的通过 10兆光纤连接运营商，两个固定的公网IP地址。WAN1端口IP设置为30，WAN2端口IP设置为31，一个局域网内部的用户上网，另外一个用于收发邮件和FTP文件资源共享。 内部网络： /24 网关：/24 DMZ服务区：/24 网关：/24 Internet端口：30/31 邮件服务器：00 FTP服务器：00 参照下图网络配置： 图3：DMZ实例拓扑图 实验操作 4.1启用DMZ服务区 该步骤的主要目的是将内网的端口8设置为DMZ端口，设置完成后，连接到端口8的服务器应该能够PING通DMZ的地址。具体配置如下图： 图4：DMZ服务区的起用 在Network Configuration管理菜单里选择DMZ Setup 在DMZ Setup页面里的Do you want to enable DMZ Port?中选择YES 在IP Address上添如DMZ服务区的地址。（注意该地址不能和LAN/WAN端口的地址在同一个网段上） 在IP Subnet Mask上填入DM