如果我在家庭网络上托管一个网站,那么即使我使用不同的机器来托管该网站,黑客也有可能访问我的网络。
我见过一些模糊讨论过的解决此问题的方法:
- 设置 VLAN
- 设置子网
- 在路由器上设置访客账户
- 使用 OpenVPN 或类似的 VPN 服务
现在,有了这些……
- 我不相信我的路由器能够添加 VLAN。
- 我不是 100% 确定如何设置子网...
- 我尝试设置一个带密码的访客 WiFi 网络,但无论我做什么,它总是告诉我它未处于活动状态。
- OpenVPN 是否实际上可以完成类似的事情,从而将某些东西与我的主网络隔离开来?
我还能做些什么来确保特定机器(在本例中托管 Web 服务器)不能与我的网络上的其他设备通信?
答案1
是的可能的黑客可以利用您网络服务器上的漏洞来访问您的网络。但是,如果您使用安全补丁及时更新软件,那么您面临的风险是极其低的。
话虽如此,大多数现代路由器/防火墙都应该能够通过访问控制列表限制访问。您可以向您的 ISP 咨询如何做到这一点。如果由于某种原因,您的路由器无法做到这一点,您可以用不同的路由器/防火墙替换它,或者简单地在 ISP 和 Web 服务器之间放置一个新的。
此外,您应该能够配置 Web 服务器和其他机器上的软件防火墙来阻止访问。
答案2
许多家用路由器不支持 VPN。您需要更高网段的路由器/交换机才能支持 VPN。
在家中增加网络安全的最简单方法是使用两个家用路由器之间的 DMZ 和一台小型计算机(例如我最喜欢的 Pi)作为网络服务器。
这样的设置看起来是这样的:
______
_( )_ a +---------------+ b c +----------------+ d +--+
(_Internet_)-------|router provider|------------|internal router |-------|pc|
(______) +---------------+ lan1 +----------------+ lan2 +--+
| e
+------------+
| web server |
+------------+
a 是将您连接到提供商的路由器的 WAN 接口。该接口应该已经连接。b 和 e 是提供商路由器上的 LAN 接口。
在提供商的路由器上,您可能会为 LAN 启用 DHCP,否则您将不得不分配静态 IP 地址。对于 Web 服务器,您可能会使用静态 IP 地址(不在提供商路由器的 DHCP 范围内,但在同一子网中)您还将启用端口 80 和 443 到 Web 服务器的端口转发。
c 是内部路由器的 WAN 接口。如果您已在提供商路由器上启用了 DHCP,请确保此路由器的 WAN 接口使用 DHCP,或者为 lan1(提供商路由器的 lan 端)子网中的 WAN 接口分配静态 IP。
在 labn2 上的内部路由器上,您可能会启用 DHCP。确保您在此处使用的子网与 lan1 不同。
这对于子网和 IP 地址意味着什么的示例:
Provider router
WAN: 83.163.211.192 (as the provider gave me)
LAN: 192.168.178.1, mask 255.255.255.0
portforward: 80 and 443 to 192.168.178.10
Web server
IP address: 192.168.178.10
netmask: 255.255.255.0
def. gw: 192.168.178.1
Internal router:
WAN IP: 192.168.178.254
WAN mask: 255.255.255.0
WAN GW: 192.168.178.1
LAN iIP: 192.168.1.1
LAN mask 255.255.255.0
dhcp-enabled
但请注意,为您的网络服务器创建 DMZ 仍然需要您及时更新网络服务器上的 (security0) 补丁,并对您在暴露的服务器上所做的每件事保持严格的安全态度。虽然此设置可以保护您的内部家庭网络,但它无法完全保护您免受攻击和破坏企图。