《dmz站点的设立【精华实例】》由会员分享,可在线阅读,更多相关《dmz站点的设立【精华实例】(5页珍藏版)》请在金锄头文库上搜索。
1、下面将下面将说说明怎么明怎么样样在网在网络络中配置一台中配置一台 DMZ 站点站点DMZ 是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业 Web 服务器、FTP 服务器和论坛等。另一方面,通过这样一个 DMZ 区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。网络结构如下图所示
2、。1.前期工作,在虚拟机中安装 router os 路由一个。路由器有 3 块网卡如上图所示。代码如下:admingateway interface printFlags: X - disabled, D - dynamic, R - running# NAME TYPE RX-RATE TX-RATE MTU0 R wan ether 0 0 15001 R lan ether 0 0 15002 R DMZ ether 0 0 1500效果图:2.给网卡添加所有需要的 ip 地址代码如下:admingateway ip address printFlags: X - disabled, I
3、 - invalid, D - dynamic# ADDRESS NETWORK BROADCAST INTERFACE0 10.16.200.7/24 10.16.200.0 10.16.200.255 wan1 192.168.7.1/24 192.168.7.0. 192.168.7.255 lan2 10.0.1.1/30 10.0.1.0 10.0.1.3 DMZ 效果图如下:3.给路由器添加默认静态路由代码如下:adminMikroTik ip route printFlags: X - disabled, I - invalid, D - dynamic, J - rejecte
4、d,C - connect, S - static, r - rip, o - ospf, b - bgp# DST-ADDRESS G GATEWAY DISTANCE INTERFACE0 S 0.0.0.0/0 r 10.16.200.1 1 wan1 DC 192.168.7.0/24 r 0.0.0.0 0 lan2 DC 10.0.1.0/30 r 0.0.0.0 0 DMZ3 DC 10.16.200.0/24 r 0.0.0.0 0 wan4.给 DMZ 服务器添加 ip 地址 10.0.1.2 ,网关地址 10.0.1.15.端口映射。配置 dst-nat 规则,使 DMZ
5、服务器能通过 10.16.200.7 这个互联网地址访问代码如下admingateway ip firewall dst-nat add action=nat . dst-address=10.16.200.7/32 to-dst-address=10.0.1.2admingateway ip firewall dst-nat printFlags: X - disabled, I - invalid, D - dynamic0 dst-address=10.16.200.7/32 action=nat to-dst-address=10.0.1.2admingateway ip firewall dst-nat 效果图如下:
