非敏感区域(DMZ)是组织的一个内部网络的部分安排可用一个不信任的网络例如互联网。DMZ帮助改进在组织的内部网络的安全。而不是所有的内部资源可得到从互联网,仅某些主机例如Web服务器是可用的。
当访问控制表(ACL)一定对接口时,访问控制元素(ACE)规则被运用于到达该接口的信息包。不匹配其中任一在ACL的ACE的信息包被匹配对动作是丢弃不匹配信息包的默认规则。此条款显示如何配置DMZ端口和和允许从DMZ的数据流到特定目的地IP地址。
•RV016
•RV042
•RV042G
•RV082
•v4.2.2.08
步骤1.日志到路由器配置实用工具页里和选择设置>网络。网络页打开:
Step 2.要配置在IPv4或IPv6地址的DMZ请点击对应的选项位于setting字段的LAN。
Note:如果要配置IPv6, Dual-Stack IP在IP模式地区一定是启用的。
步骤3.移下来到setting字段的DMZ并且点击Enable (event) DMZ单选按钮对enable (event) DMZ。
步骤4.点击非军事区配置图标配置子网。配置可以为IPv4和IPv6接下来被执行:
步骤5.比那点击子网单选按钮配置DMZ到另一个子网广域网。对于子网IP应该配置下列
•指定DMZ IP地址—输入DMZ IP地址在IP Address字段的指定DMZ。
•子网掩码—输入子网掩码在子网掩码字段。
警告:主机用在DMZ的一个IP地址不是一样安全象主机在的您的内部LAN里面。
步骤6.点击范围配置DMZ在相同子网作为广域网。IP地址的范围将被输入在Port字段的DMZ的IP范围。
Note:IPv6配置可以使用以下选项: :
步骤7.指定DMZ IPv6地址—输入IPv6地址。
步骤8.前缀长度—以上提到的DMZ IP地址域的前缀长度将被输入。
步骤9.点击“Save”保存配置。
此配置被执行定义在多个子网掩码配置的IP的访问列表。
步骤1.日志到路由器配置实用工具页里和选择防火墙>Access规则。访问规则页打开:
Note:默认访问规则不可能被编辑。
步骤2.点击Add按钮增加一个新的访问规则。访问规定页更改显示服务和安排地区。
Note:此配置可以为IPv4和IPv6被执行通过选择在访问规则页的那些各自选项。配置步骤特定对IPv4和IPv6在以下步骤被提及。
步骤3.选择从动作下拉列表允许允许服务。
步骤4.从服务下拉列表选择所有数据流[TCP&UDP/1~65535]到enable (event) DMZ的所有服务。
步骤5.选择匹配从日志下拉列表的此规则选择仅日志匹配访问规则的日志信息包。
步骤6.从是访问规则的来源的源接口下拉列表选择DMZ。
步骤7.从来源IP下拉列表选择其中任一。
步骤8.从目的地IP下拉列表选择以下可用的选项中的任一个。
•单一请选择单个运用此规则于单个IP地址。
•范围—选择范围运用此规则于IP地址的范围。输入范围的第一个和最后IP地址。此选项是仅可用的在IPv4。
•子网—选择子网适用此规定对子网络。输入使用分配IP地址和路由子网的互联网协议信息包的IP地址和CIDR表示编号。此选项是仅可用的在IPv6。
•其中任一—选择其中任一运用规则于任何IP地址。
节时:如果配置IPv6访问规则,请跳到第10步。
步骤9.,当规则从时间下拉列表时,是活跃的请选择方法定义。他们是:
• 总是—如果从时间丢弃下来列表总是选择,访问规则永远将被运用于数据流。
• 间隔—您能选择访问规则是活跃的特定时间时间间隔,如果选择间隔从时间丢弃下来列表。在您指定时间间隔后,请选择日,当您希望访问规则是活跃的从有效在复选框时。
步骤10.点击“Save”保存您的设置。
步骤11.点击Edit图标编辑被创建的访问规则。
步骤12。点击Delete图标删除被创建的访问规则。