Nebula 防火牆 DMZ 介面設定教學

Zyxel小編 Corey
文章數: 209
Zyxel Employee





DMZ 是什麼?
DMZ(非軍事區)是一種在網路中建立公共區域的概念,允許將公共伺服器放置於此區域,以供外部網路存取。典型的 DMZ 規則是:
- 允許來自 WAN 和 LAN 的流量進入 DMZ。
- 禁止 DMZ 到 LAN 的流量傳輸,以避免 DMZ 被外部攻擊者用作跳板,威脅內部設備的資訊安全。
此外,DMZ 也可視為訪客網路區域,因為同樣不希望訪客網路能連接到 LAN。
備註 : 本篇文章截圖畫面使用 Nebula 19.00 版本。
DMZ 流量規則摘要
- WAN 到 DMZ:允許
- 需手動設定 NAT 規則 (如 Port Forwarding),將指定的外部請求轉發至 DMZ 伺服器。
- LAN 到 DMZ:允許
- 大部分防火牆的預設規則,高信任層級 (LAN) 可存取中信任層級 (DMZ),無須額外設定。
- DMZ 到 LAN:拒絕
- 安全策略下的阻擋規則,用以保護內部網路安全,防止潛在威脅從 DMZ 擴散至內部。
設定步驟
步驟1 - 新增 DMZ LAN Group
前往【設定 > 防火牆 > 埠】,點擊「+新增」創建 LAN Group 3,並將 P6 加入新建的群組(可自訂要加入群組的 Port )。
步驟2 - 新增 DNZ 介面
前往【設定 > 防火牆 > 介面】,點擊「+ 新增」創建 DMZ 介面。
DMZ 介面配置參數說明 :
- 啟用 : 打開啟用選項
- 介面名稱 : DMZ
- 埠群組 : LAN Group 3
- IP 位址分配 : 192.168.13.1/255.255.255.0 (自行定義,請勿與現有網段衝突)
- DHCP 設定 : DHCP 伺服器
- IP pool 起始位址 : 自訂 IP 發放範圍
- 租約時間 : 建議不要設定無限,否則可能導致 IP 耗盡。若為訪客網路使用,建議設定 8 小時。
步驟3 - 啟用訪客限制
如下圖,請為您建立的 DMZ 介面勾選「訪客」屬性。
- 啟用此選項後,系統會自動套用隔離規則,確保此介面下的設備只能連接外部網路,無法存取公司內部任何其他的 LAN 介面,這正是 DMZ 最重要的安全目的。
步驟4 - 設定 NAT 以允許外網存取 DMZ 伺服器
前往【設定 > 防火牆 > NAT】新增規則,透過此規則,將來自外部網路 (WAN) 特定連接埠的請求,轉發至您 DMZ 區的伺服器。
如果您有多個服務埠需要開放:
- 獨立規則:您可以為每個連接埠分別建立一筆規則。
- 使用範圍:如果連接埠號碼是連續的,您可以直接將起訖範圍分別填入「公共埠 (Public Port)」與「本機連接埠 (Private Port)」的欄位中。
詳細 Nebula NAT 設定教學可以參考此篇文章 : 如何在Nebula設定NAT 虛擬伺服器?。
功能驗證
為驗證 DMZ 介面設定,測試環境架設如下:
- 客戶端 (Client):
192.168.11.33
(位於 LAN 介面) - 伺服器 (Server):
192.168.13.11
(位於 DMZ 介面)
測試確認 LAN 介面底下的客戶端可以 PING 到 DMZ 介面底下的伺服器
DMZ 介面底下的伺服器則無法 PING 到 LAN 介面底下的客戶端
1