路由器:华硕 RT AC-66U
设置:
Router, IP 10.0.0.1
Apache2 server, IP 10.0.0.2
Clients etc., IP 10.0.0.X
Virtual servers:
All traffic on port 80 forwarded to 10.0.0.2, port 80.
相当简单的设置。
但是 - 路由器还具有虚拟 DMZ 功能。我对 DMZ 知之甚少,它适用于 Web 服务器和其他可从 Internet 访问的服务器,这些服务器位于 DMZ 中,与 LAN 隔离,因此入侵这些服务器会使访问 LAN 比它们不在 DMZ 中更困难。这完全正确吗?
我想知道的是:正如我现在所做的那样,与 DMZ 服务器和 LAN 的外部连接之间的隔离是否是与仅转发/虚拟服务器的“唯一”区别?和:即使它位于 DMZ 中,我是否仍然需要将端口 80 流量转发/虚拟服务器到 apache2 服务器?
答案1
如果你将服务器放入 DMZ,基本上与启用端口转发相同,但对于所有端口在您的路由器上。对于不知道需要转发哪些端口的问题,这是一个相当简单的“修复”,或者当您知道要独立管理此设备的防火墙时很有用。
它有时是局域网的一部分(通常不是,但请参阅下面的注释),并且可以访问,但是您需要在此设备上设置独立的防火墙,因为现在每个端口都可以访问。
一些路由设备可能会将其设置为使设备无法从局域网访问,有些可能允许分配一个单独的公共 IP,所有流量都会指向该 IP(而不是路由器本身的 IP),但这是特定于设备的。
在仅处理一个 IP 的设备上,设置 DMZ 有时意味着您在局域网端只能拥有“一台”服务器,因为虽然端口转发允许您将端口转发到不同的服务器,但出于显而易见的原因,您只能让公共 IP 指向一个内部设备。
答案2
您对 DMZ 的理解是正确的。通常,不允许任何流量从 DMZ 返回 LAN(除非需要打开特定端口,但应小心谨慎),以防其中一个 DMZ 服务器被劫持。
正如我现在所做的那样,与 DMZ 服务器和 LAN 的外部连接之间的隔离是否是与仅转发/虚拟服务器的“唯一”区别?
如果我理解正确的话,是的,确实如此。
即使它位于 DMZ 中,我是否仍然需要将端口 80 流量转发/虚拟服务器到 apache2 服务器?
视情况而定。通常在家用路由器上,您会将机器的 IP 地址分配到 DMZ 中,然后所有传入端口都会路由到该框。您可能可以选择仅启用特定端口,但这取决于路由器的品牌/型号。