Nebula 防火牆 DMZ 介面設定教學
DMZ 是一種在您的網絡中建立一個公共區域的概念,以便您可以將公共伺服器放在該區域中,以供外部網路存取。它的典型規則是允許來自 WAN 和 LAN 的流量,但不允許從 DMZ 到 LAN 的傳輸。避免被作為外部攻擊者的跳板,影響內部重要設備資訊安全。
當然我們也可以把 DMZ 看作是訪客網路的區域,因為我們一樣不希望訪客網路可以連接到 LAN 。
雖然目前您在 Nebula 雲端平台上找不到“DMZ”選項,但您仍然可以通過結合自定義訪客界面和 NAT 設置來實現它。
DMZ 的傳輸規則 :
1. WAN 到 DMZ 的流量:允許,可以通過NAT規則達成
2. LAN 到 DMZ 的流量:允許,預設安全規則即是如此,無須額外設定。
3. 從 DMZ 到 LAN 的流量:拒絕,可以通過訪客接口達成
設定步驟 :
1. 前往 防火牆 > 設定 > 埠, 點擊 "+新增" 創建 LAN Group 3,並將 P6 加入新建的群組(可自訂要加入群組的 Port )。
2. 前往 防火牆 > 設定 > 介面,然後點擊 “+ 新增” 以創建新的 DMZ 介面。
LAN 介面配置
啟用 : 打開啟用選項
介面名稱 : DMZ
埠群組 : LAN Group 3
IP 位址分配 : 192.168.13.1/255.255.255.0 (可自行定義,不能與現有網段衝突)
DHCP 設定 : DHCP 伺服器
IP pool 起始位址 : 自訂 IP 發放範圍
租約時間 : 建議不要設定無限,否則可能遇到 IP 耗盡問題。若為訪客網路使用,建議設定 8 小時。
DMZ 介面新增完成後,接下來還需要透過訪客介面按鈕和 NAT 規則使其表現得像一個真正的 DMZ 介面。
前往 防火牆 > 設定 > 介面,並啟用 DMZ 介面上的訪客按鈕。 勾選訪客功能的介面,即可限制該介面底下的裝置只能連接外部網路,不能連接其他 LAN 介面。
前往 防火牆 > 設定 > NAT,新增 NAT 規則,將 WAN IP 地址對應到服務器 IP 地址。如果您有多個服務 Port 需要對應到 DMZ 的服務器,您需要為每個每個服務 Port 新增規則,或者將服務 Port 範圍輸入"公共埠/本機連接埠"。
詳細 Nebula NAT 設定教學可參考此篇文章 - 如何在Nebula設定NAT 虛擬伺服器?。
驗證 DMZ 介面設定成果
Client: 192.168.11.33 ( LAN 介面 )
Server: 192.168.13.11 ( DMZ 介面 )
- LAN 介面底下的客戶端可以 PING 到 DMZ 介面底下的伺服器
- DMZ 介面底下的伺服器則無法 PING 到 LAN 介面底下的客戶端