在RV016、RV042、RV042G和RV082 VPN路由器上配置带子网掩码的非军事化区域端口

目标

非军事化区(DMZ)是组织内部网络的一部分，组织内部网络可用于不受信任的网络（如Internet）。DMZ有助于提高组织内部网络的安全性。只有某些主机（如Web服务器）可用，而不是所有内部资源都可从Internet访问。

当访问控制列表(ACL)绑定到接口时，访问控制元素(ACE)规则将应用于到达该接口的数据包。与ACL中任何ACE不匹配的数据包与默认规则匹配，其操作是丢弃不匹配的数据包。本文介绍如何配置DMZ端口以及如何允许流量从DMZ传输到特定目的IP地址。

适用设备

· RV016
· RV042
· RV042G
· RV082

软件版本

•v4.2.2.08

带子网的DMZ配置

步骤1.登录Router Configuration Utility页，然后选择Setup > Network。“网络”页面打开：

 

步骤2.要在IPv4或IPv6地址上配置DMZ，请点击LAN Setting（LAN设置）字段中的相应选项卡。

注意：如果要配置IPv6，则必须启用IP模式区域中的双堆栈IP。

步骤3.向下滚动到DMZ Setting字段，然后单击Enable DMZ单选按钮以启用DMZ。

步骤4.单击DMZ配置图标配置子网。可以通过以下方式为IPv4和IPv6进行配置：

IPv4配置

步骤5.单击Subnet单选按钮将DMZ配置到除WAN之外的其他子网。对于子网IP，应配置以下

·指定DMZ IP地址 — 在“指定DMZ IP地址”字段中输入DMZ IP地址。

·子网掩码 — 在子网掩码字段中输入子网掩码。

警告：DMZ中具有IP地址的主机不如内部LAN中的主机安全。

步骤6.单击Range将DMZ配置为与WAN位于同一子网。IP地址范围将在DMZ端口的IP范围字段。

IPv6配置

注意：对于IPv6配置，以下选项可用：

步骤7.指定DMZ IPv6地址 — 输入IPv6地址。

步骤8. Prefix Length — 将输入上述DMZ IP地址域的Prefix length。

步骤9.单击Save保存配置。

访问规则配置

此配置用于定义在多个子网掩码上配置的IP的访问列表。

步骤1.登录Router Configuration Utility页，然后选择Firewall > Access Rules。“访问规则”页打开：

 

注意：无法编辑默认访问规则。 

步骤2.单击“添加”按钮添加新的访问规则。“访问规则”页面将更改为显示“服务”和“计划”区域。

注意：通过选择Access Rules页面上的相应选项卡，可以为IPv4和IPv6执行此配置。以下步骤中介绍了特定于IPv4和IPv6的配置步骤。

 

步骤3.从“操作”下拉列表中选择“允许”以允许服务。

步骤4.从“服务”下拉列表中选择“所有流量[TCP&UDP/1~65535]”，以启用DMZ的所有服务。

步骤5.从Log下拉列表中选择Log packets that match this rule，以仅选择与访问规则匹配的日志。

步骤6.从Source Interface（源接口）下拉列表中选择DMZ(DMZ)，该下拉列表是访问规则的源。

步骤7.从Source IP下拉列表中选择Any。

步骤8.从Destination IP下拉列表中选择以下任何可用选项。

·单个 — 选择单个，将此规则应用到单个IP地址。

·范围 — 选择范围以将此规则应用于IP地址范围。输入范围的第一个和最后一个IP地址。此选项仅在IPv4中可用。

·子网 — 选择子网(Subnet)，将此规则应用于子网。输入IP地址和CIDR表示法编号，用于为子网分配IP地址和路由Internet协议数据包。此选项仅在IPv6中可用。

·任意(Any) — 选择任意(Any)，将规则应用于任何IP地址。

节省时间：如果要配置IPv6访问规则，请跳至步骤10。

步骤9.从“时间”下拉列表中选择定义规则何时处于活动状态的方法。它们是：

·始终 — 如果从“时间”下拉列表中选择“始终”，则访问规则将始终应用于流量。

· Interval — 如果从Time下拉列表中选择Interval，则可以选择访问规则处于活动状态的特定时间间隔。指定时间间隔后，从Effective on（生效时间）复选框中选择希望访问规则处于活动状态的天数。

步骤10.单击“保存”以保存设置。

步骤11.单击编辑图标以编辑已创建的访问规则。

步骤12.单击“删除”图标以删除已创建的访问规则。