我正在尝试在我的家庭网络上托管一个小型服务器,并且正在尝试提出一个令人信服的安全解决方案。
首先,我的路由器有一个与 ISP 的 DSL 连接,但它也有一个 WAN 端口。有人告诉我,如果使用光纤连接,将使用此 WAN 端口。我的理解是,所谓的“路由器”实际上是一个调制解调器+路由器系统,所以我在想,可以通过 WAN 端口将我的小服务器直接连接到调制解调器和万维网,而无需端口转发。这样,在我看来,如果服务器受到攻击,它将与我的 LAN 隔离。这有意义吗?
如果上述方法不起作用,我该如何安全地进行端口转发?我的意思是,如果服务器受到攻击,黑客将无法访问我的 LAN 上的其他设备(因此不会有病毒通过 LAN 传输)或无法访问管理员登录界面。
总而言之,如果有人完全控制了我的服务器,那么我不希望攻击者能够更改我的路由器系统或连接到其 LAN 的设备。
谢谢!
答案1
仅通过 DSL 调制解调器将服务器直接连接到 ISP 肯定是可行的。(以前人们就是通过这种方式将 PC 连接到 DSL 的。)
但是您的 ISP 很可能只为每个客户提供一个“公共”IP 地址,因此如果您的服务器占用了该 IP 地址,那么您剩余的 LAN 路由器将无法再访问互联网。
(除非服务器变成LAN 的路由器——这也是可能的,但这里的观点完全不合逻辑,因为它将再次直接连接到 LAN。)
此外,路由器的以太网 WAN 端口可能无法以这种方式工作 - 与 LAN 端不同,两个 WAN 接口可能不是直接桥接在一起的;它们更有可能被设置为独立的“WAN1”和“WAN2”接口,因此将设备连接到 WAN2 不会使其以任何方式直接访问 WAN1。(并非所有 DSL 连接类型能进行桥接,例如 PPPoE 或 PPPoA 连接不能进行桥接。
不过,这种设置已经非常接近你的目标了。你应该尝试设置两个独立的局域网接口(例如,如果路由器支持,则使用 VLAN),这样“LAN1”将成为您的主网络,而“LAN2”将仅包含您的服务器。然后路由器的防火墙将能够控制 LAN2 和 LAN1 之间的流量,允许您连接到服务器,但不能反过来。