Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Configurando o DMZ no roteador do RV34x Series

Opções de download

  • PDF     (2.7 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.8 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (2.7 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:31 de Maio de 2019
ID do documento:1559321732325249
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Objetivo

O objetivo deste original é mostrar-lhe como configurar o host da zona desmilitarizada (DMZ) e o hardware DMZ no Roteadores do RV34x Series.

Introdução

Um DMZ é um lugar em uma rede que esteja aberta ao Internet ao fixar sua rede de área local (LAN) atrás de um Firewall. Separar a rede principal de um host único ou de uma sub-rede inteira, ou a “sub-rede” assegura-se de que os povos que visitam seu serviço tal como jogos de Internet, vídeo conferência, Web, ou server do email através do DMZ, não tenham o acesso a seu LAN. Cisco oferece dois métodos de usar DMZ que é o host DMZ e o hardware DMZ. O host DMZ permite que um host no LAN esteja exposto ao Internet quando o hardware DMZ (sub-rede/escala) for uma sub-rede que esteja aberta ao público.

Em planejar seu DMZ você pode considerar usar qualquer um um IP address privado ou público. Um endereço IP privado será original a você, somente em seu LAN. Um endereço IP público será original a sua organização e é atribuído por seu provedor de serviço do Internet (ISP). Para obter um endereço IP público que você precisará de contactar seu ISP.

A maioria de usuários usariam o hardware DMZ porque se ajusta automaticamente - acima de um VLAN e de seu próprio segmento de rede. Para o “hardware DMZ” nós estamos usando a opção da sub-rede ou da escala. O host DMZ é mais simples configurar porque você não tem que configurar regras do acesso, mas é menos seguro.

O WAN-à-DMZ é o exemplo o mais popular do uso, assim como LAN-à-DMZ. DMZ-à-WAN é permitido igualmente, como as máquinas DMZ puderam precisar correções de programa ou atualizações do sistema operacional, mas o DMZ-à-LAN deve ser obstruído porque poderia ser um furo de segurança potencial. Por exemplo, os hacker no Internet usam o DMZ como o server da ligação em ponte.

A diferença entre o host DMZ e o hardware DMZ em termos do caso do uso é:

  • Se você quer expor algo ao Internet, mas você tem um server completo, ou você não tem endereços IP públicos de reposição, você deve usar o host DMZ. Coloque o server em um de seus VLAN e configure-o como o host DMZ. Então o usuário externo pode alcançar o server pelo IP de WAN do roteador.

  • Se você quer expor algo ao Internet, e você tem diversos server (cada um com um serviço específico) e o mesmo valor dos endereços IP públicos, você se usar o hardware DMZ. Conecte estes server à porta especificada DMZ (isto é LAN4 para RV340) e configurar-lo com os mesmos endereços IP públicos que você configura no roteador ou na sub-rede). Então o usuário externo pode alcançar cada um dos server por aqueles IP address.

DMZ Compare Contraste
Host Tráfego dos Segregates O host único, abre inteiramente ao Internet
Sub-rede/escala Tráfego dos Segregates Os dispositivos múltiplos e os tipos, abrem inteiramente ao Internet.

Nota: Neste exemplo, nós teremos um interruptor obstruído na porta DMZ do roteador ao configurar a sub-rede DMZ.

Para aprender como permitir o SSH em um interruptor, refira por favor este artigo: Permitindo o serviço SSH no Switches controlado 300/500 Series.

Para aprender como configurar o DMZ no RV160/RV260, veja por favor este artigo: Opções DMZ para o Roteadores RV160/RV260.

Topologia do host DMZ

Nota: Quando usar um host DMZ, se o host é comprometido por um ruim-ator sua LAN interna pode ser sujeita a uma intrusão mais adicional da Segurança.

Topologia da sub-rede DMZ

Dispositivos aplicáveis

  • RV34x

Versão de software

  • 1.0.02.16

Configurando o host DMZ

Etapa 1. Entre à página de configuração da Web de seu roteador.

Etapa 2. Navegue ao Firewall > ao host DMZ.

Etapa 3. No campo do host DMZ, verifique a caixa de seleção da possibilidade para permitir o host DMZ.

Etapa 4. Incorpore o IP address do host ao IP address do host DMZ que será exposto ao Internet para usar serviços tais como jogos de Internet, vídeo conferência, Web, ou server do email.

Nota: As necessidades do host LAN DMZ de ser dado um fixo ou um endereço IP estático para que a característica do host DMZ trabalhe corretamente. Certifique-se que está na mesma rede que seu roteador. Você pode igualmente configurar este quando o DMZ está em um outro VLAN.

Etapa 5. O clique aplica a salvaguarda sua configuração.

Você deve agora com sucesso ter permitido o host DMZ.

Etapa 6. (opcional) nas próximas etapas, nós estaremos mostrando-lhe uma maneira de verificar o host DMZ. Navegue ao Firewall > às configurações básicas.

Etapa 7. (opcional) neste exemplo, gerenciamento de web remoto é permitida com o HTTPS selecionado. Este é entrar remotamente à página de configuração da Web através do endereço IP de WAN. Nesta etapa, nós estaremos ajustando o número de porta a 6000. A escala é de 1025-65535.

Nota: Se você configurou este ao alcançar a página do gerenciamento de web remotamente, sua página pode pendurar na tela da carga. Isto significa que a porta mudou ao que você ajustou.

Etapa 8. Verifique que você pode alcançar a página de configuração da Web de seu roteador pelo [WANIPaddress] de datilografia de https://: mova, onde o endereço IP de WAN é seu endereço IP de WAN real do roteador e então: mova para o número de porta que você ajustou na etapa 5 para esta seção. Neste exemplo, nós entramos em https://24.220.x.x:6000, mas você incluiria os números e não o X. reais. O x é esconder nosso endereço IP de WAN público.

Nota: Certifique-se você está fora do VPN, às vezes estando no VPN não permitirá que você alcance a página de configuração da Web.

Etapa 9. Você deve agora poder alcançar a página de configuração da Web de seu dispositivo que está na porta DMZ usando o endereço IP de WAN sem adicionar o número de porta.

https://24.220.x.x:6000 – indicará a página de configuração da Web do roteador.

https://24.220.x.x – indicará a página de configuração da Web do interruptor.

Etapa 10. Nós estaremos usando a massa de vidraceiro ao SSH no interruptor. Incorpore o endereço IP público de seu dispositivo sob o campo do nome de host (ou o IP address). Assegure-se de que a porta 22 esteja entrada e o SSH esteja selecionado. Clique aberto para começar sua conexão.

Nota: Se você quer ao SSH no interruptor, recorde permitir primeiramente o SSH no interruptor. Na maioria de Switches, você pode navegar à Segurança > aos serviços TCP/UDP para permitir o serviço SSH. Ao SSH usando Windows, você pode transferir a massa de vidraceiro. Verifique este original para obter mais informações sobre de: Como alcançar um interruptor CLI SMB usando o SSH ou o telnet. O SSH está recomendado e o telnet não é porque o SSH é mais seguro.

Etapa 11. Uma alerta de segurança da massa de vidraceiro pode aparecer. Clique sim para continuar a conectar.

Etapa 12. Se sua conexão é bem sucedida, você estará alertado entrar com suas credenciais.

Configurando o hardware DMZ

Etapa1. Se você quer configurar o hardware DMZ em vez do host DMZ, navegue a WAN > ao hardware DMZ.

Etapa 2. A verificação permite a caixa de seleção de mudar o LAN4 à porta DMZ.

Etapa 3. Um mensagem de advertência aparecerá. Clique sim para aceitar as mudanças que o roteador faria à porta DMZ (LAN4) ou não para negar as mudanças.

Quando o DMZ é ajustado em permita, a configuração da porta DMZ (LAN4) estará mudado automaticamente como segue:

  • Remova da porta da RETARDAÇÃO (seção “LAN > configurações de porta ")

  • Desabilitará a função do espelho da porta, se o destino do espelho da porta é porta DMZ (seção “LAN > configurações de porta ")

  • Remova da porta de monitoramento do espelho da porta (seção “LAN > configurações de porta ")

  • Status administrativo “a forçar autorizado” (seção “LAN > 802.1X ")

  • O valor da porta DMZ na tabela “VLAN à tabela de porta” mudará “exclui” (seção “LAN > sociedade de VLAN ")

Neste exemplo, nós estaremos clicando sim.

Etapa 4. Selecione a sub-rede ou a escala (DMZ & WAN dentro da mesma sub-rede). Neste exemplo, nós estaremos selecionando a sub-rede.

Etapa 5. Entre no IP address e na máscara de sub-rede DMZ. Qualquer coisa que é obstruído no segmento LAN4 deve estar nesta rede.

Nota: Certifique-se de que o dispositivo conectado à porta DMZ tem esse endereço IP estático. Este IP address pode precisar de ser fora de sua sub-rede MACILENTO.

Neste exemplo, nós estaremos usando um endereço IP público para o DMZ.

Nota: Se você pretende usar o método da escala, a seguir você precisará de clicar o botão de rádio da escala, a seguir incorpora a escala dos IP address atribuídos por seu ISP. Isto é usado geralmente quando você tem o endereço IP público múltiplo de seu ISP para os dispositivos múltiplos que estão em sua rede do DMZ.

Se você tem um único endereço IP público e a sub-rede não trabalha para você, incorpore o único endereço IP público a ambos os campos sob o campo da escala IP. O IP address precisa de ser um IP livre diferente da sub-rede IP de WAN, ele não pode usar o endereço IP de WAN. Por exemplo, se você é dado um único endereço IP público de 24.100.50.1 que esteja dentro da mesma sub-rede enquanto seu endereço IP de WAN a seguir entra em 24.100.50.1 a 24.100.50.1 no campo da escala IP.

Etapa 6. O clique aplica-se no canto superior do assistente para aceitar os ajustes DMZ.

Você deve com sucesso ter permitido o hardware DMZ.

Etapa 7. (opcional) para verificar isto, o alerta de comando open em seu PC navegando à barra da busca na esquerda inferior e datilografando no comando prompt. Clique o aplicativo do comando prompt quando aparece.

Nota: Nós estamos usando Windows 10 para este exemplo.

A janela imediata (opcional) do comando A de etapa 8. abrirá. Nós estaremos executando um comando ping ao IP address DMZ ver se há alguma Conectividade. Use o comando de DMZ_IP_Address do sibilo. Bata a tecla ENTER quando você quer começar o sibilo. Se você obteve respostas desse IP address, significa que você tem a Conectividade entre você e o DMZ. Se você recebeu meio mensagens como o “pedido cronometrado para fora” ou de “inacessível host de destino” então você deve verificar suas configuração e conexões.

Neste exemplo, nós estaremos datilografando no sibilo 64.x.x.x.x 64.x.x.x somos nosso endereço IP público para o DMZ.

Nota: Verifique para fora este grande original: Troubleshooting no Roteadores RV160 e RV260. Este documento de Troubleshooting cobrirá algumas das áreas para analisar ao pesquisar defeitos a Conectividade. Mesmo que este original seja para o RV160 e o RV260, você pode poder usar dentro alguns passos de Troubleshooting similares lá.

Etapa 9. nós (opcionais) podemos igualmente executar um comando traceroute ver o trajeto que os pacotes tomam para obter ao destino. Use o comando de DMZ_IP_Address do tracert e bata a tecla ENTER para começar o processo. Neste exemplo, nós podemos ver que o traço está completo quando bate o IP address DMZ na extremidade. Igualmente indicará o “traço completo” uma vez que bate o destino.

Etapa 10. (opcional) neste exemplo, nós temos um interruptor conectado à porta DMZ com o endereço IP estático de 64.x.x.x (endereço IP público). Nós podemos tentar e alcançar a interface gráfica de usuário (GUI) do interruptor incorporando o endereço IP público ao navegador na parte superior.

Nós entramos em https://64.x.x.x que nos traz à página GUI do interruptor.

Você deve agora conhecer maneiras de um par de verificar que seu DMZ está trabalhando corretamente.

Configurando o acesso ordena (opcional)

Se você configurou um endereço IP público ou uma escala do IP address para o hardware DMZ, esta seção mostrar-lhe-á um exemplo de como configurar regras do acesso para seu DMZ. O DMZ deve trabalhar corretamente sem ter que configurar regras do acesso. Configurando regras do acesso seja opcional mas recomenda-se ser configurado para fornecer o nível de segurança básico para alcançar sua rede. Por exemplo, se nós não configuramos regras do acesso à revelia, todos os pacotes que passam através do roteador poderiam ser permitidos a todas as partes de nossa rede. As regras do acesso podem permitir um host, a escala dos IP address, ou uma rede, ao impedir que um outro host, a escala dos IP address, ou uma rede alcancem a mesma área (host ou rede). Usando o acesso ordena, nós podemos decidir que tipos de tráfego nós enviamos ou obstruímos nas interfaces do roteador.

Etapa 1. Navegue às regras do Firewall > do acesso.

Etapa 2. No IPv4 alcance a tabela das regras, clicam o ícone positivo para adicionar uma regra nova do acesso IPv4.

Etapa 3. Assegure-se de que a caixa de seleção da possibilidade esteja verificada. Isto permitirá a regra.

Etapa 4. No campo de ação, seleto permita na lista de drop-down.

Etapa 5. Selecione um serviço no campo dos serviços. Nós estaremos deixando-o como todo o tráfego.

Etapa 6. Selecione nunca ou retifique da lista de drop-down

  • Retifique – Combina as regras.

  • Nunca – Nenhum log exigido.

Neste exemplo, nós estaremos deixando-o como verdadeiro.

Etapa 7. Selecione a interface de origem e o endereço de origem da lista de drop-down.

Neste exemplo, o DMZ e algum foram selecionados.

Etapa 8. Selecione a interface de destino e o endereço de destino da lista de drop-down.

Neste exemplo, o DMZ e algum foram selecionados.

Etapa 9. Na seção da programação, selecione um momento da lista de drop-down de aplicar a regra do Firewall. Se você quer configurar sua própria programação, clique aqui a relação.

Neste exemplo, nós estaremos usando-nos A QUALQUER MOMENTO como nossa programação.

Etapa 10. O clique aplica-se para adicionar a regra nova. Esta regra diz que todo o tráfego DMZ que vai a qualquer DMZ estará permitido.

Está aqui um exemplo que seja criado. Você pode ver que nós adicionamos em uma regra sobre o DMZ que não pode se comunicar com todo o destino no VLAN1. Isto é porque nós não queremos o DMZ poder alcançar qualquer coisa do VLAN1.

Verificação usando o roteador

Etapa1. Para verificar seu dispositivo é conectada na porta DMZ no roteador, navega ao estado & as estatísticas, a página carregarão a página de sumário do sistema automaticamente. A porta 4 ou LAN4 alistará o estado do DMZ como “ACIMA DE”.

Sibilar o IP do dispositivo deixar-nos-á conhecer o estado do reachability do dispositivo. Será bom verificar a configuração DMZ para toda a /porta específica do serviço usando o endereço IP público usado.

Etapa 2. Navegue à administração > ao diagnóstico.

Etapa 3. Incorpore o IP address do DMZ e clique o botão do sibilo.

Neste exemplo, nós estaremos usando o IP address do DMZ que foi configurado na seção do host DMZ.

Nota: Se o sibilo é bem sucedido você verá uma mensagem como mostrado abaixo. Se o sibilo falha, significa que o DMZ é incapaz de ser alcançado. Verifique seus ajustes DMZ para assegurar-se de que estejam configurados apropriadamente.

Conclusão

Agora que você terminou a instalação do DMZ, você deve poder alcançar os serviços fora do LAN.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Discussões relacionadas com comunidade da Cisco

Este documento se refere a estes produtos

Sobre a Cisco
Fale Conosco
Trabalhe Conosco