即使是由 LAN 内的另一台计算机发起的流量,DMZ 是否会将流量引导至其目标?

即使是由 LAN 内的另一台计算机发起的流量,DMZ 是否会将流量引导至其目标?

假设我的设置如下:

  1. 路由器 1 连接到互联网(即调制解调器)。
  2. 路由器 2 的 WAN 端口连接到路由器 1 的 LAN 端口。(即路由器 2 是具有自己的子网和 DHCP 的“路由器后面的路由器”。)
  3. WILD(一台计算机)连接到路由器 1 的 LAN 端口。
  4. GOOD、MILD 和 TAME(所有计算机)连接到路由器 2 的 LAN 端口。
  5. 路由器 1 将发往路由器 2 的所有传入流量隔离 (DMZ)。
  6. 路由器 2 端口根据需要转发至 GOOD、MILD 和 TAME。

问题

元素 5(即 DMZ)会阻止 WILD 接收来自互联网的‘答案’吗?

抱歉,我不知道‘答案’的专业术语。

我想到的是,例如:

  • WILD 请求来自 CNN.com 的网页。路由器 1 的 DMZ 会将该网页发送给路由器 2 而不是 WILD 吗?

  • WILD 中的 FTP 客户端发起 FTP 会话。当 FTP 服务器打开数据通道时,DMZ 会将其发送给路由器 2 而不是 WILD 吗?

背景

顾名思义,我将使用 WILD 访问网站并运行可能包含恶意软件的可执行文件。我将路由器 2 用作 WILD 与其他计算机之间的屏障(防火墙)。

我不知道这是否重要,但 WILD 实际上是一台虚拟机。假设 WILD 托管在 TAME 中,TAME 将拥有两个 NIC。NIC 1(连接到路由器 1)将在 TAME 中被禁用并专用于 WILD。NIC 2(连接到路由器 2)将在 TAME 中启用并由其自身使用。

路由器 1 和路由器 2 都没有 vLAN 功能。

整个问题都假设我想不出任何更好的方法来保护 GOOD 等免受 WILD 的侵害。

我唯一想到的另一个想法是将所有计算机放在同一个 LAN 中,但使用软件防火墙隔离 WILD。但这似乎要求其他每台计算机(包括其他虚拟机)都必须获得必要的防火墙设置,这比我建议的设置要多得多。

答案1

元素 5(即 DMZ)会阻止 WILD 接收来自互联网的‘答案’吗?

不。

听起来你误解了 DMZ 的工作原理。将设备放置在 DMZ 中不会导致路由器 1 将所有流量重定向到该节点。相反,你只是将节点放在不同的安全区域中,路由器的正常行为在该区域中以不同的方式工作仅适用于该设备

例如,DMZ 区域内的设备的流量被排除在路由器的防火墙检查之外。

路由器 1 的 LAN 接口后面的其他设备将继续正常运行。当 WILD 请求网页时,路由器会跟踪出站连接,以便在收到响应时知道需要将其发送回 WILD。

一些路由器(通常是消费级型号)也使用 DMZ 区域,就像一个巨大的“将所有端口转发到这里”设置。与所有端口转发一样,这只会影响未经请求的入站连接。因此,即使存在这样的 DMZ,由路由器 LAN 上的另一台主机先前建立的连接的一部分的入站流量也将被发送到该节点,而不是 DMZ 中的主机。


对于您的目的而言,您的设置似乎合理。我做过类似的双路由器设置,但通过这样的配置正确转发端口可能具有挑战性,通常是因为路由器不喜欢位于另一个 NAT 设备后面。如果它适合您,那就更好了!

相关内容