我的路由器设置不起作用。它有一个内置防火墙,可以阻止我在本地网络上托管的网站,我尝试通过端口转发在互联网上为它们提供访问权限。为了让我的网站正常工作,我必须禁用路由器的整个防火墙!甚至连它的 DMZ 设置都不起作用!
因此,如果我完全禁用路由器防火墙,并在 VirtualBox VM 中设置整个网站应用程序,所有流量都会通过 Endian 防火墙(https://www.endian.com/community/features/),我的主机操作系统 (运行 VirtualBox 和 Endian 防火墙 VM) 是否容易受到远程网络攻击?如果是 (我认为是这样的),我可以做些什么来解决这个问题 (最好不要购买新硬件)?
我的网络中需要这个路由器,因为它提供 VOIP 服务,因此更换新路由器可能不太可行。我想也许我可以买一个新的路由器,并将旧的 VOIP 路由器插到新路由器上,希望新路由器的防火墙正常工作,并且我的 VOIP 继续在新配置(新路由器后面)下运行。那么也许我根本不需要防火墙 VM。我只需将我的网站直接挂在新路由器上并信任其防火墙即可。但我不知道这是否可行。
因此,问题是:
- 使用没有防火墙的旧路由器,我的主机操作系统是否存在风险(即使主机操作系统有自己的软件防火墙)?
- 如果是,我能做些什么来解决/改善这种情况?
- 在安装新的、更好的路由器(带有可运行且可配置的防火墙)之后再安装旧路由器,这样我的 VOIP 路由器还能正常工作吗?我是否必须为此解除某些端口的阻塞,以允许来自互联网的入站流量到达我的内部路由器?
- 如果上述选项可行,我猜最好使用 Endian 防火墙增加一层额外的保护,而不要完全信任路由器保护,对吗?
- 使用裸机虚拟机管理程序(如 VMware ESXi)是否比使用托管 VirtualBox 的主机操作系统更安全?
- 上一个问题的答案是否会根据我在托管虚拟机的服务器之前是否使用防火墙(例如路由器防火墙)而改变?
我在 Server Fault 网站上被别人批评后,在这里重新发布我的问题: https://serverfault.com/questions/975172/trying-to-setup-a-somewhat-secure-server-network-with-buggy-and-cheap-hardware
更新:
我对主机操作系统非常灵活。目前它是一台运行大量软件的 Windows 机器,但我可以轻松将其更改为更安全的机器(例如,仅安装 VirtualBox 的 Windows 机器或仅安装 VirtualBox 的 Linux 机器)。
我的路由器确实提供了 DHCP 和 DNS(尽管它的 DNS 总是感觉有点问题),只是我的本地网络中大多数计算机都使用静态 IP。
我的 Endian 防火墙 VM 以桥接模式连接,所有其他 VM 都通过该防火墙连接到路由器和互联网。
我已经为我的网站设置了端口转发,但根据我的经验,为主机 PC 启用 DMZ 没有任何区别。只有完全禁用防火墙才能使其工作。现在,我有一台物理 PC(不是 VM)作为我的应用程序的主机,只是为了测试目的并排除我的网站无法正常工作的其他原因。但如果不禁用 rooter 防火墙,它仍然无法工作。
我的路由器是ADB P.RG A4201G。管理 UI 似乎有缺陷,所以我认为它不是优质产品。最重要的是,我的 ISP 似乎已经“盖上他们的印章”,因为他们在管理 UI 上放置了他们的徽标,而我没有选择自己升级固件。
根据我的 ISP 的说法,我的路由器没有固件更新,但我不能说我非常信任他们。我甚至无法查看当前固件版本来验证这一点。