Nebula 防火牆 DMZ 介面設定教學

Zyxel小編 Corey
Zyxel小編 Corey 文章數: 209  Zyxel Employee
First Answer First Comment Friend Collector Sixth Anniversary
已編輯 Jun 6 日 Nebula 常見問題

DMZ 是什麼?

DMZ(非軍事區)是一種在網路中建立公共區域的概念,允許將公共伺服器放置於此區域,以供外部網路存取。典型的 DMZ 規則是:

  • 允許來自 WANLAN 的流量進入 DMZ。
  • 禁止 DMZ 到 LAN 的流量傳輸,以避免 DMZ 被外部攻擊者用作跳板,威脅內部設備的資訊安全。

此外,DMZ 也可視為訪客網路區域,因為同樣不希望訪客網路能連接到 LAN。

備註 : 本篇文章截圖畫面使用 Nebula 19.00 版本。

image.png

DMZ 流量規則摘要

  • WAN 到 DMZ:允許
    • 需手動設定 NAT 規則 (如 Port Forwarding),將指定的外部請求轉發至 DMZ 伺服器。
  • LAN 到 DMZ:允許
    • 大部分防火牆的預設規則,高信任層級 (LAN) 可存取中信任層級 (DMZ),無須額外設定。
  • DMZ 到 LAN:拒絕
    • 安全策略下的阻擋規則,用以保護內部網路安全,防止潛在威脅從 DMZ 擴散至內部。

設定步驟

步驟1 - 新增 DMZ LAN Group

前往【設定 > 防火牆 > 埠】,點擊「+新增」創建 LAN Group 3,並將 P6 加入新建的群組(可自訂要加入群組的 Port )。

image.png

步驟2 - 新增 DNZ 介面

前往【設定 > 防火牆 > 介面】,點擊「+ 新增」創建 DMZ 介面。

image.png

DMZ 介面配置參數說明 :

  • 啟用 : 打開啟用選項
  • 介面名稱 : DMZ
  • 埠群組 : LAN Group 3
  • IP 位址分配 : 192.168.13.1/255.255.255.0 (自行定義,請勿與現有網段衝突)
  • DHCP 設定 : DHCP 伺服器
  • IP pool 起始位址 : 自訂 IP 發放範圍
  • 租約時間 : 建議不要設定無限,否則可能導致 IP 耗盡。若為訪客網路使用,建議設定 8 小時。
image.png

步驟3 - 啟用訪客限制

如下圖,請為您建立的 DMZ 介面勾選「訪客」屬性。

  • 啟用此選項後,系統會自動套用隔離規則,確保此介面下的設備只能連接外部網路,無法存取公司內部任何其他的 LAN 介面,這正是 DMZ 最重要的安全目的。
image.png

步驟4 - 設定 NAT 以允許外網存取 DMZ 伺服器

前往【設定 > 防火牆 > NAT】新增規則,透過此規則,將來自外部網路 (WAN) 特定連接埠的請求,轉發至您 DMZ 區的伺服器。

如果您有多個服務埠需要開放:

  • 獨立規則:您可以為每個連接埠分別建立一筆規則。
  • 使用範圍:如果連接埠號碼是連續的,您可以直接將起訖範圍分別填入「公共埠 (Public Port)」與「本機連接埠 (Private Port)」的欄位中。

詳細 Nebula NAT 設定教學可以參考此篇文章 : 如何在Nebula設定NAT 虛擬伺服器?

image.png

功能驗證

為驗證 DMZ 介面設定,測試環境架設如下:

  • 客戶端 (Client)192.168.11.33 (位於 LAN 介面)
  • 伺服器 (Server)192.168.13.11 (位於 DMZ 介面)

測試確認 LAN 介面底下的客戶端可以 PING 到 DMZ 介面底下的伺服器

image.png

DMZ 介面底下的伺服器則無法 PING 到 LAN 介面底下的客戶端

image.png