Cisco認證:安全與效率並重讓內網外網連接更順暢

 

安全與效率並重,一直以來都是LAN應用的主流。對於局域網內部分沒有保存重要資料和數據的電腦想更流暢的進行Internet應用,可考慮採用

DMZ主機、虛擬服務器、啟用UPnP功能等方案來達到。這樣即保證了網內部分電腦與Internet暢通無阻,也在一定程度上可保障網內其它電腦免

受來自Internet的病毒木馬威脅。
一、非軍事區的選擇
DMZ(Demilitarized Zone)即俗稱的非軍事區,與軍事區和信任區相對應,作用是把WEB、e-mail等允許外部訪問的服務器單獨接在該區端口

,使整個需要保護的內部網絡接在信任區端口後,不允許任何訪問,實現內外網分離,達到用戶需求。
DMZ可以理解為一個不同於外網或內網的特殊網絡區域,DMZ內通常放置一些不含機密信息的公用服務器,比如Web、Mail、FTP等。這樣來自外

網的訪問者可以訪問DMZ中的服務,但不可能接觸到存放在內網中的公司機密或私人信息等,即使DMZ中服務器受到破壞,也不會對內網中的機

密信息造成影響。
而在P2P下載(BT等)、遊戲中也要經常使用DMZ功能,因為P2P和遊戲應用常常要求不受限制的雙向通訊,通過把一台電腦開放為DMZ主機而輕

鬆的實現了LAN網內的那一台電腦與WAN的全方位連接。
DMZ功能可讓安全和非安全電腦劃分開來
每個DMZ電腦都需要一個不同的廣域網IP地址,多數無線路由器只支持1台DMZ主機,少數中高檔無線路由器支持多台DMZ主機,但需要需要有多

個廣域網IP地址。
各種無線路由器的DMZ主機設置都很簡單,只需在無線路由的WEB頁面中找到DMZ選項,在DMZ主機的IP地址欄中輸入你想設為DMZ主機的那台LAN

內電腦的IP地址,然後選中啟用並點擊保存即可。
需要注意的是,DMZ主機後,該主機將完全暴露給廣域網,可以實現雙向無限制通信。但通過DMZ添加客戶機可能會給本地網絡帶來不安全因素

,因此對於有較高安全性需求的用戶,不要輕易使用這一選項。
二、虛擬服務器應用
虛擬服務器(Virtual Server):對外它是單一的入口,對內有很多台計算機為它服務。對使用它的人來說,它是一台機器,有單一的入口點


具體的實現技術包括兩種——應用層的虛擬服務器,網絡層的虛擬服務器。應用層的虛擬服務器是利用應用層的轉發實現的,相當於一台代理

服務器,這正是經常提到的虛擬服務器。
以寬帶路由器來說,操作系統或寬帶路由器一般都集成了防火牆功能,這樣WAN(廣域網)中的計算機要想通過路由器訪問LAN(局域網)中的

某些服務器,在默認情況下無法通過防火牆的保護。
這就出現了矛盾,防火牆或路由器即要保護LAN網絡不被侵擾,又要方便WAN合法的訪問,而虛擬服務器正可以解決這種矛盾,虛擬服務器可定

義一個服務端口,所有對此端口的廣域網服務請求都將被重新定位給通過IP指定的LAN中的服務器。這樣外網的用戶便能成功訪問局域網中的服

務器,而不影響局域網內部的網絡安全。
在LAN中虛擬服務器功能可應用範疇廣泛
  
比如,如果希望廣域網用戶通過端口21訪問您的FTP服務器(皆以國內市場上佔有量最大的TP-LINK路由器為例),FTP服務器在局域網中的IP地

址為192.168.1.168,協議選擇為TCP,則您可以按照如下步驟設置,點擊添加新條目按鈕,點擊“常用服務端口號”下拉菜單,查找FTP服務,

選中“FTP”服務。
在“常用服務端口號”中,列出了常用協議的端口,您可以直接從中選擇一個,系統則會將該服務的端口號、協議類型,自動添加到對應序列

的“服務端口號”和“協議”項中,您只需要再為其指定服務器IP地址並啟用即可。對於常用服務端口中沒有列出的端口,如果需要,也可以

在服務端口處手動添加。輸入IP地址為“192.168.1.168”,設置條目狀態為“生效”,單擊保存按鈕。
、好用的發現設備
UPnP通用即插即用(Universal Plug and Play)是基於TCP/IP協議和針對設備彼此間通訊而製訂的新的Internet協議。它是一種用於PC機和智

能設備或儀器的常見對等網絡連接的體系結構,尤其是在個人和辦公應用中頗為實用。 UPnP以Internet標準和技術(例如TCP/IP、HTTP和XML

)為基礎,使相關的設備和軟件通過自動端口映射彼此可自動連接和更好的協同工作,從而使LAN網絡在使用時更方便更便捷。
UPnP以Internet標準和技術(例如TCP/IP、HTTP和XML)為基礎,不依賴於特定的系統、編程語言或物理媒體,使這樣的設備彼此可自動連接和

協同工作,從而使網絡(尤其是家庭網絡)對更多的人成為可能。
其可以和任何網絡媒體技術(有線或無線)協同使用。在網絡控制設備的管理下,它支持任何兩個設備之間的數據通訊。並且UPnP支持零配置

網絡及自動查找功能,設備可動態加入網絡,獲取IP地址,根據需要提供功能。
如BT等P2P軟件支持UPnP自動端口映射,便可以在本機上自動完成網關端口映射的操作,可以在不作任何配置的情況下自動在網關上打開對外端

口,速度自然就可得到提升。
例如,Windows XP和Windows ME系統上安裝的MSN Messenger,在使用音頻和視頻通話時就可以利用UPnP協議,這樣原本受限於NAT的功能便可

以恢復正常使用。
三、UPnP可讓P2P應用暢通無阻
其具體設置方法為,先在路由器的WEB設置頁面中點擊啟用UPnP按鈕,開啟UPnP功能。當MSN Messenger等程序在運行中使用本功能時,按刷新

按鈕可以看到端口轉換信息。端口轉換信息由應用程序發出請求時提供。如果需要將某條目手工刪除,請在刪除欄選中該條目,再點擊右側的

刪除按鈕,此時被選中的條目將被刪除;如果希望將表中所有條目刪除,請點擊刪除所有按鈕,並確認即可。不使用時可點擊關閉UPnP按鈕關

閉UPnP功能。
最新的操作系統Windows Vista中將UPnP改名為了“網絡發現”——網絡發現是一種網絡設置,該設置會影響您的計算機是否可以查看(找到)

網絡上的其他計算機和設置,以及網絡上的其他計算機是否可以查看您的計算機。
啟用“網絡發現”將允許您的計算機查看其他網絡計算機和設備,並允許其他網絡計算機上的人可以查看您的計算機,這使共享文件和打印機

變得更加容易。 Vista默認情況下,Windows防火牆阻止了網絡發現功能,要啟用該功能,可單擊“開始→控制面板→網絡和Internet”選項,

單擊“網絡和共享中心”,單擊“啟用網絡發現”,然後單擊“應用”即可。
四、打開特殊應用程序
防火牆可以被安裝在一個單獨的路由器中,用來過濾不想要的信息包,也可以被安裝主機中,發揮更直接的網絡安全保護作用。但某些應用需

要多條連接,如Internet網絡遊戲、視頻會議、網絡電話等。由於防火牆的存在,這些程序無法在簡單的NAT路由器下工作。
而通過對特殊應用程序的設置可使得某些這樣的應用程序能夠在NAT路由器下工作。當一個應用程序向觸發端口上發起連接時,對應的所有開放

端口將會打開,以備後續連接並提供服務。
寬帶路由器一般都具備特殊應用程序功能
在具體設置時,在觸發協議上可以選擇ALL、UDP或TCP。若不清楚採用哪種協議,可以選用ALL。
在開放端口上,當向觸發端口上成功發起連接後,對應的開放端口會打開,應用程序便可以向該開放端口發起後續的連接。此處可以輸入一個

或者多個端口或端口段,端口段輸入格式為“開始端口-結束端口”,中間用“-”隔開,不同的端口段用“,”隔開。
在“常用應用程序”中,列出了常用的應用程序,您可以直接從中選擇一個,系統則會自動將該常用應用程序的觸發端口號和開放端口號添加

到對應的“觸發端口”和“開放端口”項中,並且會啟用該條目。對於常用應用程序中沒有列出的程序,您可以手動添加。完成設置後,點擊

保存按鈕。

This entry was posted in Cisco.

发表评论

邮箱地址不会被公开。 必填项已用*标注


*

在线客服系统