假设我的拓扑中有三个网络:内部网络、DMZ、互联网。我的 DMZ 区域包含很多服务器,但在此示例中,假设它仅包含一个 DNS 服务器和一个 Web 服务器。
那么我应该使用公有 IP地址或私有地址对于位于 DMZ 网络上的服务器?
如果答案是公共 IP 地址:是不是有点不切实际?(因为我猜这样,DMZ 上的每个服务器都应该有一个公共 IP)
如果答案是私有 IP 地址:那么如何知道 DNS 服务器将使用私有地址来回答请求 Web 服务器 IP 的人呢?
我不知道我的问题是否清楚,如果不清楚,请在评论中告诉我,我会尽力改进。
编辑 :如果我说了些无意义的话请原谅,这是我第一次配置 DMZ,我感到很困惑。
答案1
有多种方法可行:
使用公共 IP 地址
DMZ 中的所有内容都有公共地址。你不希望从互联网访问的所有内容都有公共地址。不是属于您的 DMZ 并将获得一个私人地址。
使用私有 IP 地址
DMZ 中的所有内容都有私有地址。对于每个需要从互联网访问的系统,您都有一个公共 IP,防火墙上有相应的 NAT 规则。
使用这种变体,您将很难确保您的内部系统与外部系统一样获得与 DMZ 相同的连接。您要么需要让内部系统与公共地址通信(并对这些请求进行 NAT),要么需要所谓的拆分 DNS 设置,其中您的 DNS 区域根据请求者的不同而不同(即,外部查询返回公共 IP,内部查询返回私有 IP)。
我个人更喜欢第一种方法,直接使用公共地址,因为这样可以使管理变得不那么复杂。
答案2
不确定这个线程的年龄,但如果路由器支持,你可以做几件事:
更改 VLAN(我的小型企业/家庭路由器允许分配端口和 VLAN。如果设置正确,将端口设置为单独的 VLAN 可能会分离您的流量
使用我的路由器,我可以进入访问控制>>访问规则并设置规则
- 来源:
- 所有服务
- 界面
- 目的地:
- 日期(周日-周一-周二-等等)
- 时间 0.00-24.00
然后通过 Ping 进行测试。
额外配置:打开具有不同 IP 范围的单独 DMZ、dmz 的静态 IP(或分配 IP 范围以提供 1 个 IP 输出)等。
在设置访问规则之前,DMZ IP 可以 ping 个人网络上的所有 IP 和 8.8.8.8(google)设置后:ping 8.8.8.8,dmz ip 主机,私有局域网 IP(仅路由器 IP)而不是我的 nas,其他路由器等。
答案3
答案4
您不希望内部系统连接到 DMZ。这就是 DMZ 的目的,即在互联网上托管某些内容,但将其与网络的其余部分分开,以防某些内容受到损害。因此,使用私有 IP 地址是可以的。在大多数情况下,使用私有 IP 地址更好,因为这样您就不必在防火墙上桥接接口。