如何配置和使用 FVX538 上的 DMZ 区

· 什么是DMZ

DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。

· FVX538 的 DMZ

Netgear的FVX538上定义第八个交换端口为固定的硬件DMZ端口,但在默认状态下,该端口被软件设定为普通的交换端口,可以通过软件的设定,将其设置成DMZ专用端口。如下图:

1:设备面板图

· DMZ 的设置步骤

我们将以下图的应用位例子,详细描述DMZ工作区的实现和配置方法。


2:应用案例

上图为一个典型的DMZ配置方案,FVX538通过宽带接入Internet,局域网络端口被分成两个部分,一部分(1-7端口)被定义为内网隔离区(Lan),此区间用于防止内部的计算机,其安全级别为最高,另一部分(8端口)被定义为DMZ服务区,该区间用于防止需要为Internet提供服务的服务器,在本例子中在该区别放置了一台邮件服务器,要求邮件服务器可以同时为Internet用户和Lan用户提供服务。以下以FVX538(F/W verion:1.6.38)为例子介绍DMZ服务区的配置过程。

一、启用 DMZ 服务区

该步骤的主要目的是将内网的端口8设置为DMZ端口,设置完成后,连接到端口8的服务器应该能够PING通DMZ的地址。具体配置如下图:

3DMZ服务区的起用

  • 在管理菜单里选择DMZ Setup
  • DMZ Setup页面里的Enable DMZ Port前面的复选框上打钩
  • IP Address上添如DMZ服务区的地址。(注意该地址不能和LAN/WAN端口的地址在同一个网段上)
  • IP Subnet Mask上填入DMZ服务区IP地址的子网掩码。
  • DHCP是否启用视用户的需要要而定。

二、建立 DMZ 服务区到 WAN 区的规则

该步骤目的是设置DMZ服务区和WAN服务区(Internet接口)之间的访问规则,在默认的情况下,FVX538的WAN服务区和DMZ服务区是不能互相通讯的,也就是说放在DMZ里面的主机不能被Internet的用户连接,同时DMZ里面的主机也不能访问Internet。只有完成DM服务区到WAN服务区的策略配置之后,DMZ区的主机才可以按照策略访问Internet或者被Internet的主机访问。

3DMZ服务区到WAN区规则的启用

如上图,点击管理菜单的Security上的Rules项目,我们可以看到Rules设置页面,选择DMZ-WAN我们便可以进入DMZ-WAN的策略设置页面,在该页面里,我们可以看到Outbound Service和Inbound Service选项。所谓Outbound Service就是指从DMZ服务区到WAN服务区的策略,同样Inbound Service就是知从WAN服务区到DMZ服务区的访问策略。

  1. 建立Outbound Service
    • 在管理菜单上选择Security上的Rules项目
    • Rules面里选择DMZ-WAN
    • Outbound Service里面选择添加便进入Outbound Service的配置页面。如下图:

4Outbound Servicee的配置页面

     

    Outbound Services里面必须进行以下设置:

    • Service里面选择需要规划的服务类型
    • Action里面选择策略的处理办法
    • LAN Users里选择源地址
    • WAN Users里选择目标地址
 

2. 建立 Inbound Services

    • 在管理菜单上选择Security上的Rules项目
    • 在Rules页面里选择DMZ-WAN
    • Outbound Service里面选择添加便进入Outbound Service的配置页面。如下图:

5Inbound Servicee的配置页面

 

Intbound Services里面必须进行以下设置:

  • Service里面选择需要规划的服务类型
  • Action里面选择策略的处理办法
  • Send to LAN Server里输入需要为外网提供服务的主机的IP地址
  • WAN Users里选择源地址的范围,一般是选择Any
  • Pubulc Destination IP Address里面选择Other Public IP Address并且输入和DMZ服务区里面的服务器对应的公网IP地址。

设置完毕后,DMZ服务区里的主机应该能够根据策略访问Internet或者被Internet的用户访问。

三、建立DMZ服务区到WAN的路由规则

在进行完上述两个步骤的配置以后,DMZ里面的主机已经可以根据策略访问Internet或者被Internet的用户访问,但LAN里面的用户仍然无法访问DMZ服务区内的主机,在FVX538里,需要增加一条静态路由,才能实现LAN里面的用户根据步骤2里面设定的策略访问DMZ服务区内的主机。具体配置办法如下图:

6Static Router的配置页面

在系统管理菜单的advaned里面选择Static Routes,然后在出现的Static Router管理页面里面点击添加,出现如下图的路由添加页面:

7Static Router 的配置页面

Static Routes里面必须进行以下设置:

  • Router Name里面输入路由名称
  • 选择Active选项
  • Destination IP Address里输入为DMZ服务器规划的公网IP地址
  • IP Subnet Mask里输入为DMZ服务器规划的公网IP地址的掩码
  • Interface里面选择DMZ
  • Gateway IP Address里面DMZ服务区的IP地址
  • Metric里输入2

至此,整个DMZ服务区配置完毕。

返回