在小型办公室/家庭办公室 (SOHO) 场景中,我想配置 ADSL 路由器以安装小型 http 服务器 - 实际上是使用 Raspberry Pi 作为 http 服务器进行实验。我有点担心 LAN 上的计算机的安全隐患,以防此 http 服务器受到攻击。
为了使小型服务器能够从外部互联网访问,我相信有两个选项可以用来配置 ADSL 路由器:
- 转发端口
- 非军事区
如果是转发端口,我只需要将端口 80,443 从 Internet/WAN 转发到 http 服务器上的相同端口,在这种情况下,该端口将保留在本地网络 LAN 内。
如果是非军事区保护/强化 http 服务器盒变得极其重要,例如:更改 ssh 端口等,但至少 http 服务器不再位于本地网络 LAN 上;但仍然以某种方式直接与 ADSL 路由器连接。
请问,如果 http 服务器受到攻击,哪个选项可以提供最安全的保障?
我认为在端口转发的情况下,攻击只能通过 http 端口进行,但如果盒子被攻破,盒子就在 LAN 上。而在 DMZ 的情况下,盒子理论上不在 LAN 上,但我想知道这是否会使路由器更容易受到攻击,而且我也不太确定如何检查它是否是“网络分区”或“通配符端口转发”的适当 DMZ。无论如何,我验证了路由器是否设置为“远程管理(来自 Internet/WAN)”已禁用,它是 Netgear DGND3300v2。
我想运行这个 http 服务器实验,但不损害家庭办公室计算机的安全。
答案1
无论如何,使用 DMZ 都是一个非常糟糕的想法。
基本上,DMZ 的作用是完全禁用任何 IP 地址的路由器协议并将所有端口从外部转发到内部。
而且服务器仍位于您的网络内,因此可以访问。因此,任何端口都对您的服务器开放,任何不必要的攻击都是可能的。
端口转发始终是最佳选择。DMZ 通常用于路由器不支持此类流量,或者后面有第二个路由器且路由器无法桥接,或者您需要快速测试路由器是否导致任何问题的情况。
但请记住,如果您使用 VLAN 正确设置网络(如果您的路由器支持此功能),则可以始终将服务器置于其他网络之外。