我们有一个 TL-ER6020,我们正在将其设置为“非 NAT”模式(WAN 端位于 /30 网络上并路由 /29 网络)。
我希望能够“远程管理”路由器,但想阻止它从 WAN 端通过 HTTP 访问。
在 Cisco RV042 上,我已配置好,以便通过 PPTP 进入路由器,然后能够通过其内部 IP 访问路由器。但是,此路由器已配置 NAT。
解决这个问题的正确方法是什么?
答案1
如果您可以访问路由器内部的防火墙,我会拒绝来自 WAN 接口的 HTTP 数据包。
如果从内部接受 HTTP,那么使用 vpn 只需连接到 vpn,然后连接到远程访问即可。
答案2
根据您的陈述,我的理解是内部和 WAN 网络都使用公共 IP 寻址(因为从内部到 WAN 没有 NAT)。
现在,因为您正在谈论内部网络作为安全网络,我假设 TL-ER6020 拒绝/阻止从 WAN 到内部的所有流量,并且如果连接是在内部网络中发起的,它可能允许通过 WAN 进行连接。
话虽如此,这些是一些常用的方法:
安全地实现直接远程管理:为了有效地做到这一点,您应该:
- 仅使用安全协议(HTTP、SSH 等)
- 阻止从 WAN 到 TL-ER6020 的所有连接(安全管理协议除外)
- 限制允许连接的源 IP
- 使用非常强大的身份验证机制(例如,使用 SSH,您应该使用 RSA 身份验证密钥而不是密码/密码短语)
如果您从具有静态 IP 的网络连接到远程设备,并且您的设备支持这些功能,则这是一个可行的解决方案。不幸的是,TL-ER6020 似乎无法做到这一点。
通过将远程连接限制为仅 VPN 服务来减少攻击面。值得注意的是,即使锁定设备(例如,SSH 除外)也可以减少攻击面。VPN 方法的主要优点是:
- VPN 服务器/守护程序/服务被认为比大多数其他远程访问服务更安全、更灵活(Telnet 就是一个明显的例子)。无论如何,良好的 SSH 或 SSL 实现也同样强大。
- 当您允许多项服务时,您实际上可以减少攻击面:例如,如果您允许通过 VPN 使用 FTP、HTTP 和 SSH,那么您只会将 VPN 服务暴露给互联网,从而有效地减少您需要大量维护的组件。
回到您的现实世界情况,鉴于选项 1 似乎不适合您的设备,您可以选择 VPN。
参照“在 Cisco RV042 上,我已配置了一些东西,以便我可以通过 PPTP 进入路由器,然后能够通过其内部 IP 访问路由器。但是,此路由器已配置 NAT”,如果关于您的设计的假设是正确的,您只需启动 VPN 连接,然后访问路由器本身的内部公共 IP。换句话说,没有 NAT 只意味着您必须处理分配给内部网络的真实(可能是公共)IP。