无线路由大讲堂:端口映射触发与DMZ主机
关于DMZ主机解析 总结
什么是DMZ主机?
DMZ英文全称是Demilitarized Zone,中文名称为“隔离区”,也称“非军事化区”。在计算机网络中,DMZ主机的设定是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,进而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
所以除了设置端口映射/触发,在不明了连接失败的原因或无法确定应用所使用的端口时,解决外网不能访问内网的另一方法就是,可以将使用某应用或提供某服务的电脑设置为DMZ主机。
在NETGEAR宽带路由器中,只能将一台电脑设置成DMZ主机。
在一些家用路由器中,DMZ特指专门一部所有端口都暴露在外部网络的内部网络主机,除此以外的端口都被转发。这不是严格的DMZ定义,因为该主机仍能访问内部网络的,并非独立于内部网络之外的。但严格的DMZ是不允许访问内部网络的,DMZ和内部网络是分开的。这种DMZ主机并没有真正DMZ所拥有的子网划分的安全优势,其常常以一种简单的方法将所有端口转发到另外的防火墙或NAT设备上。
值得注意的是:
·设置为DMZ主机的电脑,其所有端口都会向internet开放,将承担很大的安全风险,所以应当在有必要使用时才使用。
·当设置了DMZ主机后,所有端口的映射都将指向DMZ主机,指向其他电脑的端口映射将无效。
设置DMZ主机的步骤:
1. 登录路由器管理页面,找到并点击左边功能菜单中的WAN设置。
找到并点击左边功能菜单中的WAN设置(见红框)
2. 在WAN设置页面中的”缺省DMZ服务器”前打勾,然后将欲作为DMZ主机的电脑的IP地址填入,所以电脑的IP地址须是固定(手工设置)的,而不是自动获得。
打勾然后将作为DMZ主机的电脑IP地址填入(见红框)
总结:设置简单,但有一定的安全风险。
通过上面的详细介绍,相信大家已经了解了如何处置外网不能访问有路由器内网的一些网络情况。现在我们再来回顾一下这堂课的内容,对于端口映射/触发只要知道了所设置应用程序的端口,那么把它添加到路由器设定界面的端口映射表中即可;而对于设置DMZ主机,把作为DMZ主机的电脑IP地址填入到“WAN设置”界面即可。怎么样,很简单吧?但要提醒同学们的是,设置端口映射和设置为DMZ主机的电脑,都将会有一定的安全风险,建议在有必要时再使用或用后删除设置端口映射和DMZ主机状态。
好了今天就到这里了,同学们下课!下次还请继续关注我们的无线大讲堂哟。