我的网络上有一个 IP 地址,该地址被定义为我的 DMZ 服务器,但那里没有服务器。我的路由器日志中不断收到对 DMZ 服务器的连接请求。这是好事还是坏事?
答案1
应该还不错。
什么是 DMZ 服务器
当您拥有本地网络时,您的路由器将使用 NAT 来实现本地网络上的计算机(每台计算机都有本地 IP 地址)与外部 Internet(将整个本地网络视为仅一个 IP 地址)之间的通信。
仅当某台计算机已经与该端口上的该地址建立了传出 TCP 连接,或者已经发送了一些传出 UDP 数据包时,NAT 代理才知道将传入数据包发送到哪台计算机。
对于无法与现有传出 TCP 连接或最近的 UDP 通信匹配的任何传入流量,NAT 服务器通常情况下丢弃它。这有一个额外的好处,就是可以充当防火墙。
现在,NAT路由器可能有一个非军事区功能。这允许将来自网络外部的所有传入数据包(如果尚未与来自另一台主机的开放连接匹配)定向到该 DMZ 服务器,而不是像平常一样丢弃它们。本质上,DMZ 服务器成为您本地网络在更广阔的互联网上的“代表”。如果您想要拥有一台外部主机可以直接连接的面向外部的服务器,那么这可能是件好事。但是,此 DMZ 服务器实际上不会从 NAT 的任何安全性中受益,并且必须加强对传入网络攻击的防御(例如,它应该运行自己的防火墙,就像它是互联网上的服务器一样)。
在通常情况下,如果您不想让服务器暴露在外,则不应使用路由器的 DMZ 功能。您应该将其禁用。
有些人建议启用它,但将其指向不存在的 IP 地址,这样数据包就不会被返回。
在我看来,这不会提高安全性,只是意味着不必要的流量会占用本地网络的资源。这也意味着,任何碰巧被映射到与 DMZ 地址相同的地址的计算机,都很容易受到互联网攻击。
收到不需要的传入流量是否正常
至于从互联网接收不需要的传入流量是否正常?是的,这是正常的(可悲的是)。脚本小子、垃圾邮件机器人或任何试图寻找弱点的随机机器人都会产生大量流量,只是希望它们会随机找到一个可以接受或转发垃圾邮件的邮件服务器或一个易受攻击的服务器软件。正常情况是,这些流量只是从防火墙反弹,因为它们是不受欢迎的,而且没有任何东西在监听它们。如果您关闭了 DMZ,它们就会这样做。在启用 DMZ 但映射到不存在的 IP 的情况下,只要该 IP 地址未使用,它们仍然不会去任何地方,但流量至少会由您的本地交换机处理。