O objetivo deste original é mostrar-lhe como configurar o host da zona desmilitarizada (DMZ) e o hardware DMZ no Roteadores do RV34x Series.
Um DMZ é um lugar em uma rede que esteja aberta ao Internet ao fixar sua rede de área local (LAN) atrás de um Firewall. Separar a rede principal de um host único ou de uma sub-rede inteira, ou a “sub-rede” assegura-se de que os povos que visitam seu serviço tal como jogos de Internet, vídeo conferência, Web, ou server do email através do DMZ, não tenham o acesso a seu LAN. Cisco oferece dois métodos de usar DMZ que é o host DMZ e o hardware DMZ. O host DMZ permite que um host no LAN esteja exposto ao Internet quando o hardware DMZ (sub-rede/escala) for uma sub-rede que esteja aberta ao público.
Em planejar seu DMZ você pode considerar usar qualquer um um IP address privado ou público. Um endereço IP privado será original a você, somente em seu LAN. Um endereço IP público será original a sua organização e é atribuído por seu provedor de serviço do Internet (ISP). Para obter um endereço IP público que você precisará de contactar seu ISP.
A maioria de usuários usariam o hardware DMZ porque se ajusta automaticamente - acima de um VLAN e de seu próprio segmento de rede. Para o “hardware DMZ” nós estamos usando a opção da sub-rede ou da escala. O host DMZ é mais simples configurar porque você não tem que configurar regras do acesso, mas é menos seguro.
O WAN-à-DMZ é o exemplo o mais popular do uso, assim como LAN-à-DMZ. DMZ-à-WAN é permitido igualmente, como as máquinas DMZ puderam precisar correções de programa ou atualizações do sistema operacional, mas o DMZ-à-LAN deve ser obstruído porque poderia ser um furo de segurança potencial. Por exemplo, os hacker no Internet usam o DMZ como o server da ligação em ponte.
A diferença entre o host DMZ e o hardware DMZ em termos do caso do uso é:
Se você quer expor algo ao Internet, mas você tem um server completo, ou você não tem endereços IP públicos de reposição, você deve usar o host DMZ. Coloque o server em um de seus VLAN e configure-o como o host DMZ. Então o usuário externo pode alcançar o server pelo IP de WAN do roteador.
Se você quer expor algo ao Internet, e você tem diversos server (cada um com um serviço específico) e o mesmo valor dos endereços IP públicos, você se usar o hardware DMZ. Conecte estes server à porta especificada DMZ (isto é LAN4 para RV340) e configurar-lo com os mesmos endereços IP públicos que você configura no roteador ou na sub-rede). Então o usuário externo pode alcançar cada um dos server por aqueles IP address.
DMZ | Compare | Contraste |
---|---|---|
Host | Tráfego dos Segregates | O host único, abre inteiramente ao Internet |
Sub-rede/escala | Tráfego dos Segregates | Os dispositivos múltiplos e os tipos, abrem inteiramente ao Internet. |
Nota: Neste exemplo, nós teremos um interruptor obstruído na porta DMZ do roteador ao configurar a sub-rede DMZ.
Para aprender como permitir o SSH em um interruptor, refira por favor este artigo: Permitindo o serviço SSH no Switches controlado 300/500 Series.
Para aprender como configurar o DMZ no RV160/RV260, veja por favor este artigo: Opções DMZ para o Roteadores RV160/RV260.
Nota: Quando usar um host DMZ, se o host é comprometido por um ruim-ator sua LAN interna pode ser sujeita a uma intrusão mais adicional da Segurança.
RV34x
1.0.02.16
Etapa 1. Entre à página de configuração da Web de seu roteador.
Etapa 2. Navegue ao Firewall > ao host DMZ.
Etapa 3. No campo do host DMZ, verifique a caixa de seleção da possibilidade para permitir o host DMZ.
Etapa 4. Incorpore o IP address do host ao IP address do host DMZ que será exposto ao Internet para usar serviços tais como jogos de Internet, vídeo conferência, Web, ou server do email.
Nota: As necessidades do host LAN DMZ de ser dado um fixo ou um endereço IP estático para que a característica do host DMZ trabalhe corretamente. Certifique-se que está na mesma rede que seu roteador. Você pode igualmente configurar este quando o DMZ está em um outro VLAN.
Etapa 5. O clique aplica a salvaguarda sua configuração.
Você deve agora com sucesso ter permitido o host DMZ.
Etapa 6. (opcional) nas próximas etapas, nós estaremos mostrando-lhe uma maneira de verificar o host DMZ. Navegue ao Firewall > às configurações básicas.
Etapa 7. (opcional) neste exemplo, gerenciamento de web remoto é permitida com o HTTPS selecionado. Este é entrar remotamente à página de configuração da Web através do endereço IP de WAN. Nesta etapa, nós estaremos ajustando o número de porta a 6000. A escala é de 1025-65535.
Nota: Se você configurou este ao alcançar a página do gerenciamento de web remotamente, sua página pode pendurar na tela da carga. Isto significa que a porta mudou ao que você ajustou.
Etapa 8. Verifique que você pode alcançar a página de configuração da Web de seu roteador pelo [WANIPaddress] de datilografia de https://: mova, onde o endereço IP de WAN é seu endereço IP de WAN real do roteador e então: mova para o número de porta que você ajustou na etapa 5 para esta seção. Neste exemplo, nós entramos em https://24.220.x.x:6000, mas você incluiria os números e não o X. reais. O x é esconder nosso endereço IP de WAN público.
Nota: Certifique-se você está fora do VPN, às vezes estando no VPN não permitirá que você alcance a página de configuração da Web.
Etapa 9. Você deve agora poder alcançar a página de configuração da Web de seu dispositivo que está na porta DMZ usando o endereço IP de WAN sem adicionar o número de porta.
https://24.220.x.x:6000 – indicará a página de configuração da Web do roteador.
https://24.220.x.x – indicará a página de configuração da Web do interruptor.
Etapa 10. Nós estaremos usando a massa de vidraceiro ao SSH no interruptor. Incorpore o endereço IP público de seu dispositivo sob o campo do nome de host (ou o IP address). Assegure-se de que a porta 22 esteja entrada e o SSH esteja selecionado. Clique aberto para começar sua conexão.
Nota: Se você quer ao SSH no interruptor, recorde permitir primeiramente o SSH no interruptor. Na maioria de Switches, você pode navegar à Segurança > aos serviços TCP/UDP para permitir o serviço SSH. Ao SSH usando Windows, você pode transferir a massa de vidraceiro. Verifique este original para obter mais informações sobre de: Como alcançar um interruptor CLI SMB usando o SSH ou o telnet. O SSH está recomendado e o telnet não é porque o SSH é mais seguro.
Etapa 11. Uma alerta de segurança da massa de vidraceiro pode aparecer. Clique sim para continuar a conectar.
Etapa 12. Se sua conexão é bem sucedida, você estará alertado entrar com suas credenciais.
Etapa1. Se você quer configurar o hardware DMZ em vez do host DMZ, navegue a WAN > ao hardware DMZ.
Etapa 2. A verificação permite a caixa de seleção de mudar o LAN4 à porta DMZ.
Etapa 3. Um mensagem de advertência aparecerá. Clique sim para aceitar as mudanças que o roteador faria à porta DMZ (LAN4) ou não para negar as mudanças.
Quando o DMZ é ajustado em permita, a configuração da porta DMZ (LAN4) estará mudado automaticamente como segue:
Remova da porta da RETARDAÇÃO (seção “LAN > configurações de porta ")
Desabilitará a função do espelho da porta, se o destino do espelho da porta é porta DMZ (seção “LAN > configurações de porta ")
Remova da porta de monitoramento do espelho da porta (seção “LAN > configurações de porta ")
Status administrativo “a forçar autorizado” (seção “LAN > 802.1X ")
O valor da porta DMZ na tabela “VLAN à tabela de porta” mudará “exclui” (seção “LAN > sociedade de VLAN ")
Neste exemplo, nós estaremos clicando sim.
Etapa 4. Selecione a sub-rede ou a escala (DMZ & WAN dentro da mesma sub-rede). Neste exemplo, nós estaremos selecionando a sub-rede.
Etapa 5. Entre no IP address e na máscara de sub-rede DMZ. Qualquer coisa que é obstruído no segmento LAN4 deve estar nesta rede.
Nota: Certifique-se de que o dispositivo conectado à porta DMZ tem esse endereço IP estático. Este IP address pode precisar de ser fora de sua sub-rede MACILENTO.
Neste exemplo, nós estaremos usando um endereço IP público para o DMZ.
Nota: Se você pretende usar o método da escala, a seguir você precisará de clicar o botão de rádio da escala, a seguir incorpora a escala dos IP address atribuídos por seu ISP. Isto é usado geralmente quando você tem o endereço IP público múltiplo de seu ISP para os dispositivos múltiplos que estão em sua rede do DMZ.
Se você tem um único endereço IP público e a sub-rede não trabalha para você, incorpore o único endereço IP público a ambos os campos sob o campo da escala IP. O IP address precisa de ser um IP livre diferente da sub-rede IP de WAN, ele não pode usar o endereço IP de WAN. Por exemplo, se você é dado um único endereço IP público de 24.100.50.1 que esteja dentro da mesma sub-rede enquanto seu endereço IP de WAN a seguir entra em 24.100.50.1 a 24.100.50.1 no campo da escala IP.
Etapa 6. O clique aplica-se no canto superior do assistente para aceitar os ajustes DMZ.
Você deve com sucesso ter permitido o hardware DMZ.
Etapa 7. (opcional) para verificar isto, o alerta de comando open em seu PC navegando à barra da busca na esquerda inferior e datilografando no comando prompt. Clique o aplicativo do comando prompt quando aparece.
Nota: Nós estamos usando Windows 10 para este exemplo.
A janela imediata (opcional) do comando A de etapa 8. abrirá. Nós estaremos executando um comando ping ao IP address DMZ ver se há alguma Conectividade. Use o comando de DMZ_IP_Address do sibilo. Bata a tecla ENTER quando você quer começar o sibilo. Se você obteve respostas desse IP address, significa que você tem a Conectividade entre você e o DMZ. Se você recebeu meio mensagens como o “pedido cronometrado para fora” ou de “inacessível host de destino” então você deve verificar suas configuração e conexões.
Neste exemplo, nós estaremos datilografando no sibilo 64.x.x.x.x 64.x.x.x somos nosso endereço IP público para o DMZ.
Nota: Verifique para fora este grande original: Troubleshooting no Roteadores RV160 e RV260. Este documento de Troubleshooting cobrirá algumas das áreas para analisar ao pesquisar defeitos a Conectividade. Mesmo que este original seja para o RV160 e o RV260, você pode poder usar dentro alguns passos de Troubleshooting similares lá.
Etapa 9. nós (opcionais) podemos igualmente executar um comando traceroute ver o trajeto que os pacotes tomam para obter ao destino. Use o comando de DMZ_IP_Address do tracert e bata a tecla ENTER para começar o processo. Neste exemplo, nós podemos ver que o traço está completo quando bate o IP address DMZ na extremidade. Igualmente indicará o “traço completo” uma vez que bate o destino.
Etapa 10. (opcional) neste exemplo, nós temos um interruptor conectado à porta DMZ com o endereço IP estático de 64.x.x.x (endereço IP público). Nós podemos tentar e alcançar a interface gráfica de usuário (GUI) do interruptor incorporando o endereço IP público ao navegador na parte superior.
Nós entramos em https://64.x.x.x que nos traz à página GUI do interruptor.
Você deve agora conhecer maneiras de um par de verificar que seu DMZ está trabalhando corretamente.
Se você configurou um endereço IP público ou uma escala do IP address para o hardware DMZ, esta seção mostrar-lhe-á um exemplo de como configurar regras do acesso para seu DMZ. O DMZ deve trabalhar corretamente sem ter que configurar regras do acesso. Configurando regras do acesso seja opcional mas recomenda-se ser configurado para fornecer o nível de segurança básico para alcançar sua rede. Por exemplo, se nós não configuramos regras do acesso à revelia, todos os pacotes que passam através do roteador poderiam ser permitidos a todas as partes de nossa rede. As regras do acesso podem permitir um host, a escala dos IP address, ou uma rede, ao impedir que um outro host, a escala dos IP address, ou uma rede alcancem a mesma área (host ou rede). Usando o acesso ordena, nós podemos decidir que tipos de tráfego nós enviamos ou obstruímos nas interfaces do roteador.
Etapa 1. Navegue às regras do Firewall > do acesso.
Etapa 2. No IPv4 alcance a tabela das regras, clicam o ícone positivo para adicionar uma regra nova do acesso IPv4.
Etapa 3. Assegure-se de que a caixa de seleção da possibilidade esteja verificada. Isto permitirá a regra.
Etapa 4. No campo de ação, seleto permita na lista de drop-down.
Etapa 5. Selecione um serviço no campo dos serviços. Nós estaremos deixando-o como todo o tráfego.
Etapa 6. Selecione nunca ou retifique da lista de drop-down
Retifique – Combina as regras.
Nunca – Nenhum log exigido.
Neste exemplo, nós estaremos deixando-o como verdadeiro.
Etapa 7. Selecione a interface de origem e o endereço de origem da lista de drop-down.
Neste exemplo, o DMZ e algum foram selecionados.
Etapa 8. Selecione a interface de destino e o endereço de destino da lista de drop-down.
Neste exemplo, o DMZ e algum foram selecionados.
Etapa 9. Na seção da programação, selecione um momento da lista de drop-down de aplicar a regra do Firewall. Se você quer configurar sua própria programação, clique aqui a relação.
Neste exemplo, nós estaremos usando-nos A QUALQUER MOMENTO como nossa programação.
Etapa 10. O clique aplica-se para adicionar a regra nova. Esta regra diz que todo o tráfego DMZ que vai a qualquer DMZ estará permitido.
Está aqui um exemplo que seja criado. Você pode ver que nós adicionamos em uma regra sobre o DMZ que não pode se comunicar com todo o destino no VLAN1. Isto é porque nós não queremos o DMZ poder alcançar qualquer coisa do VLAN1.
Etapa1. Para verificar seu dispositivo é conectada na porta DMZ no roteador, navega ao estado & as estatísticas, a página carregarão a página de sumário do sistema automaticamente. A porta 4 ou LAN4 alistará o estado do DMZ como “ACIMA DE”.
Sibilar o IP do dispositivo deixar-nos-á conhecer o estado do reachability do dispositivo. Será bom verificar a configuração DMZ para toda a /porta específica do serviço usando o endereço IP público usado.
Etapa 2. Navegue à administração > ao diagnóstico.
Etapa 3. Incorpore o IP address do DMZ e clique o botão do sibilo.
Neste exemplo, nós estaremos usando o IP address do DMZ que foi configurado na seção do host DMZ.
Nota: Se o sibilo é bem sucedido você verá uma mensagem como mostrado abaixo. Se o sibilo falha, significa que o DMZ é incapaz de ser alcançado. Verifique seus ajustes DMZ para assegurar-se de que estejam configurados apropriadamente.
Agora que você terminou a instalação do DMZ, você deve poder alcançar os serviços fora do LAN.