Nebula 防火牆 DMZ 介面設定教學

Zyxel小編 Corey
Zyxel小編 Corey 文章數: 197  Zyxel Employee
First Answer First Comment Friend Collector Fifth Anniversary

DMZ 是一種在您的網絡中建立一個公共區域的概念,以便您可以將公共伺服器放在該區域中,以供外部網路存取。它的典型規則是允許來自 WAN 和 LAN 的流量,但不允許從 DMZ 到 LAN 的傳輸。避免被作為外部攻擊者的跳板,影響內部重要設備資訊安全。

當然我們也可以把 DMZ 看作是訪客網路的區域,因為我們一樣不希望訪客網路可以連接到 LAN 。

雖然目前您在 Nebula 雲端平台上找不到“DMZ”選項,但您仍然可以通過結合自定義訪客界面和 NAT 設置來實現它。


DMZ 的傳輸規則 :

1.     WAN 到 DMZ 的流量:允許,可以通過NAT規則達成

2.     LAN 到 DMZ 的流量:允許,預設安全規則即是如此,無須額外設定。

3.     從 DMZ 到 LAN 的流量:拒絕,可以通過訪客接口達成


設定步驟 :

1. 前往 防火牆 > 設定 > , 點擊 "+新增" 創建 LAN Group 3,並將 P6 加入新建的群組(可自訂要加入群組的 Port )。


2. 前往 防火牆 > 設定 > 介面,然後點擊 “+ 新增” 以創建新的 DMZ 介面。

LAN 介面配置

啟用 : 打開啟用選項

介面名稱 : DMZ

埠群組 : LAN Group 3

IP 位址分配 : 192.168.13.1/255.255.255.0 (可自行定義,不能與現有網段衝突)

DHCP 設定 : DHCP 伺服器

IP pool 起始位址 : 自訂 IP 發放範圍

租約時間 : 建議不要設定無限,否則可能遇到 IP 耗盡問題。若為訪客網路使用,建議設定 8 小時。

DMZ 介面新增完成後,接下來還需要透過訪客介面按鈕和 NAT 規則使其表現得像一個真正的 DMZ 介面。

前往 防火牆 > 設定 > 介面,並啟用 DMZ 介面上的訪客按鈕。 勾選訪客功能的介面,即可限制該介面底下的裝置只能連接外部網路,不能連接其他 LAN 介面。


前往 防火牆 > 設定 > NAT,新增 NAT 規則,將 WAN IP 地址對應到服務器 IP 地址。如果您有多個服務 Port 需要對應到 DMZ 的服務器,您需要為每個每個服務 Port 新增規則,或者將服務 Port 範圍輸入"公共埠/本機連接埠"。

詳細 Nebula NAT 設定教學可參考此篇文章 - 如何在Nebula設定NAT 虛擬伺服器?

驗證 DMZ 介面設定成果

Client: 192.168.11.33 ( LAN 介面 )

Server: 192.168.13.11 ( DMZ 介面 )

  • LAN 介面底下的客戶端可以 PING 到 DMZ 介面底下的伺服器

  • DMZ 介面底下的伺服器則無法 PING 到 LAN 介面底下的客戶端