输入您的问题查找答案
   
 
相关文库文档
更多相关文库文档 >>
联系客服
在线技术支持
客户服务热线:

电话销售热线:

服务时间(法定节假日除外):
家庭产品:
周一至周六:9:00-18:00
商用产品:
周一至周五:9:00-18:00
商用网络动态

与 NETGEAR 监控专用交换机亲密接触

选择德才兼备的 PoE 交换机

NETGEAR 交换机助力聊城第二人民医院智能监控建设

更多动态 >>

网件文库 » VPN 及安全产品  »  FR538G 如何启用 DMZ 功能
FR538G 如何启用 DMZ 功能

编号:40064       来自:NetGear       更新日期:2012-03-07       访问数量:6797

本文将以FR538G V2.1.14为例详细描述Netgear系列防火墙的DMZ区的配置方法,主要包括以下内容:

  • 启用FR538GDMZ服务区
  • 建立DMZ服务区到WAN区的规则
  • 建立LAN区到DMZ区的规则

测试环境:

测试环境:FR538G的通过 10兆光纤连接运营商,两个固定的公网IP地址。WAN1端口IP设置为58.62.221.130,WAN2端口IP设置为58.62.221.131,一个局域网内部的用户上网,另外一个用于收发邮件和FTP文件资源共享。

  • 内部网络:192.168.1.0/24网关:192.168.1.0/24
  • DMZ服务区:192.168.10.0/24 网关:192.168.10.1/24
  • Internet端口:58.62.221.130/58.62.221.131
  • 邮件服务器:192.168.10.100
  • FTP服务器:192.168.10.200

参照下图网络配置:

图1:DMZ实例拓朴图

 

一、启用DMZ服务区

该步骤的主要目的是将内网的端口第4端口设置为DMZ端口,设置完成后,连接到端口4的服务器应该能够PING通DMZ的地址。具体配置如下图:

图2:DMZ服务区的起用

  • 在Network Configuration管理菜单里选择DMZ Setup
  • 在DMZ Setup页面里的Do you want to enable DMZ Port?中选择YES
  • 在IP Address上添如DMZ服务区的地址。(注意该地址不能和LAN/WAN端口的地址在同一个网段上)
  • 在IP Subnet Mask上填入DMZ服务区IP地址的子网掩码。
  • DHCP是否启用视用户的需要而定。
    设置完成后点 Apply完成即可。

二、建立DMZ服务区到WAN区的规则

该步骤目的是设置DMZ服务区和WAN服务区(Internet接口)之间的访问规则,在默认的情况下,FR538G的WAN服务区和DMZ服务区是不能互相通讯的,也就是说放在DMZ里面的主机不能被Internet的用户连接,同时DMZ里面的主机也不能访问Internet。只有完成DM服务区到WAN服务区的策略配置之后,DMZ区的主机才可以按照策略访问Internet或者被Internet的主机访问。

图3:DMZ服务区到WAN区规则的启用

如上图,点击管理菜单的Security上的Rules项目,我们可以看到Rules设置页面,选择DMZ-WAN Rules我们便可以进入DMZ-WAN的策略设置页面,在该页面里,我们可以看到Outbound Service和Inbound Service选项。所谓Outbound Service就是指从DMZ服务区到WAN服务区的策略,同样Inbound Service就是知从WAN服务区到DMZ服务区的访问策略。

1.创建DMZ区到WAN的规则

创建DMZ区到WAN的规则只需在Outbound Services选项中添加相应的规则:

1、在管理菜单上选择Security上的Rules项目

2、在Rules面里选择DMZ-WAN

Outbound Service里面点击add选择添加便进入Outbound Service的配置页面。

在Outbound Services里面必须进行以下设置:

  • Service里面选择需要规划的服务类型
  • Action里面选择策略的处理办法
  • LAN Users里选择源地址
  • WAN Users里选择目标地址

    设置完成后点击Apply应用即可。
    在本实例中我们是允许DMZ区的服务器访问Internet的,所以设置如下:
  • Service:ANY
  • Action:ALLOW always
  • DMZ Users:Any
  • WAN Users:Any

如下图所示:

图4:DMZ-WAN Outbound规则设置

2.创建WAN到DMZ区的规则

创建WAN到DMZ区的规则只需在Inbound Services选项中添加相应的规则:

1、在Network Configuration管理菜单上选择Security上的Rules项目

2、在Rules页面里选择DMZ-WAN

3、在Inbound Service里面选择添加便进入Inbound Service的配置页面。

      在Intbound Services里面必须进行以下设置:

  • Service里面选择需要规划的服务类型
  • Action里面选择策略的处理办法
  • Send to LAN Server里输入需要为外网提供服务的主机的IP地址
  • WAN Users里选择源地址的范围,一般是选择Any
  • WAN Destination IP Address里面选择WAN1、WAN2或Other Public IP Address并且输入和DMZ服务区里面的服务器对应的公网IP地址。

设置完毕后,DMZ服务区里的主机应该能够根据策略访问Internet或者被Internet的用户访问。

本实例中我们需添加FTP、SMTP、POP3的服务,并通过WAN2端口提供服务。

1) 添加FTP规则

添加FTP规则

  • Server:选择FTP服务
  • Action:ALLOW always
  • Send to DMZ Server:输入FTP服务器的IP地址,即192.168.10.200
  • Translate to Port Number:默认不选
  • WAN Destination IP Address:选择WAN2
  • DMZ Users:Any
  • WAN Users;Any

5DMZ-WAN Inbound规则设置

2) 添加SMTP POP3规则

添加SMTP和POP3规则

  • Server:选择SMTP和POP3服务
  • Action:ALLOW always
  • Send to DMZ Server:输入FTP服务器的IP地址,即192.168.10.100
  • Translate to Port Number:默认不选
  • WAN Destination IP Address:选择WAN2
  • DMZ Users:Any
  • WAN Users;Any

如下图所示:

6DMZ-WAN Inbound规则设置

7DMZ-WAN Inbound规则设置

三、建立LAN区到DMZ区的规则

在默认的情况下,FR538G版本开始,从LAN区到DMZ区的允许的,不需要增加一条静态路由即可对DMZ区的服务器进行访问。

OutBound Servers规则

在默认的情况下,FR538G不需要添加任何规则,即可对DMZ区进行访问,然而,我们也可以通过添加规则限制LAN区到DMZ区的限制。本例中我们均允许LAN区的用户访问DMZ区的服务器,因此,不需要任何配置,如下图所示:

8LAN-DMZ Outbound规则设置

InBound Servers规则

为了确保LAN区的计算机用户的计算机安全性,在默认的情况下,FR538G不需要添加任何规则的情况下是不允许从DMZ区至LAN区的,因此,若DMZ区的服务器需要访问LAN用户的,需要添加规则才能访问LAN内的计算机用户,如下图所示:

9LAN-DMZ Inbound规则设置

若如上图添加允许访问LAN用户的规则,当入侵者攻陷DMZ时,内部网络将不会受保护。因此,我们建议在一般情况下,不要在Inound Services添加任何规则,以确保LAN内计算机用户的安全。在本例中,DMZ区的用户是不可以访问到LAN内的计算机用户,因此,我们在LAN-DMZ的规则中不需要添加任何规则。

序号 no.

日期 date

作者 author

摘要 summary

1

2010-10-21

Netgear

文档创建

2

2010-10-26

NETGEAR

定义V1.2,upgrade NETGEAR logo

  
 
以上内容是否为您所需要的答案?
以上内容是否清晰、简明和易于理解的?
您是如何知道网件社区的?