Nebula 防火牆 DMZ 介面設定教學

Zyxel小編 Corey

DMZ 是什麼？

DMZ（非軍事區）是一種在網路中建立公共區域的概念，允許將公共伺服器放置於此區域，以供外部網路存取。典型的 DMZ 規則是：

• 允許來自 WAN 和 LAN 的流量進入 DMZ。
• 禁止 DMZ 到 LAN 的流量傳輸，以避免 DMZ 被外部攻擊者用作跳板，威脅內部設備的資訊安全。

此外，DMZ 也可視為訪客網路區域，因為同樣不希望訪客網路能連接到 LAN。

DMZ 的傳輸規則 :

1. WAN 到 DMZ 的流量：允許，可透過 NAT 規則達成。
2. LAN 到 DMZ 的流量：允許，預設安全規則已符合，無須額外設定。
3. DMZ 到 LAN 的流量：拒絕，可透過訪客介面設定達成。

設定步驟 :

1. 前往 防火牆 > 設定 > 埠, 點擊 "+新增" 創建 LAN Group 3，並將 P6 加入新建的群組(可自訂要加入群組的 Port )。

2. 前往 防火牆 > 設定 > 介面，然後點擊 “+ 新增” 以創建新的 DMZ 介面。

LAN 介面配置

啟用 : 打開啟用選項

介面名稱 : DMZ

埠群組 : LAN Group 3

IP 位址分配 : 192.168.13.1/255.255.255.0 (可自行定義，不能與現有網段衝突)

DHCP 設定 : DHCP 伺服器

IP pool 起始位址 : 自訂 IP 發放範圍

租約時間 : 建議不要設定無限，否則可能遇到 IP 耗盡問題。若為訪客網路使用，建議設定 8 小時。

DMZ 介面新增完成後，接下來還需要透過訪客介面按鈕和 NAT 規則使其表現得像一個真正的 DMZ 介面。

前往 防火牆 > 設定 > 介面，並啟用 DMZ 介面上的訪客按鈕。 勾選訪客功能的介面，即可限制該介面底下的裝置只能連接外部網路，不能連接其他 LAN 介面。

前往 防火牆 > 設定 > NAT，新增 NAT 規則，將 WAN IP 地址對應到服務器 IP 地址。如果您有多個服務 Port 需要對應到 DMZ 的服務器，您需要為每個每個服務 Port 新增規則，或者將服務 Port 範圍輸入"公共埠/本機連接埠"。

詳細 Nebula NAT 設定教學可參考此篇文章 - 如何在Nebula設定NAT 虛擬伺服器?。

驗證 DMZ 介面設定成果

Client: 192.168.11.33 ( LAN 介面 )

Server: 192.168.13.11 ( DMZ 介面 )

• LAN 介面底下的客戶端可以 PING 到 DMZ 介面底下的伺服器

• DMZ 介面底下的伺服器則無法 PING 到 LAN 介面底下的客戶端