非军事化区(DMZ)是组织内部网络的一部分,组织内部网络可用于不受信任的网络(如Internet)。DMZ有助于提高组织内部网络的安全性。只有某些主机(如Web服务器)可用,而不是所有内部资源都可从Internet访问。
当访问控制列表(ACL)绑定到接口时,访问控制元素(ACE)规则将应用于到达该接口的数据包。与ACL中任何ACE不匹配的数据包与默认规则匹配,其操作是丢弃不匹配的数据包。本文介绍如何配置DMZ端口以及如何允许流量从DMZ传输到特定目的IP地址。
· RV016
· RV042
· RV042G
· RV082
•v4.2.2.08
步骤1.登录Router Configuration Utility页,然后选择Setup > Network。“网络”页面打开:
步骤2.要在IPv4或IPv6地址上配置DMZ,请点击LAN Setting(LAN设置)字段中的相应选项卡。
注意:如果要配置IPv6,则必须启用IP模式区域中的双堆栈IP。
步骤3.向下滚动到DMZ Setting字段,然后单击Enable DMZ单选按钮以启用DMZ。
步骤4.单击DMZ配置图标配置子网。可以通过以下方式为IPv4和IPv6进行配置:
步骤5.单击Subnet单选按钮将DMZ配置到除WAN之外的其他子网。对于子网IP,应配置以下
·指定DMZ IP地址 — 在“指定DMZ IP地址”字段中输入DMZ IP地址。
·子网掩码 — 在子网掩码字段中输入子网掩码。
警告:DMZ中具有IP地址的主机不如内部LAN中的主机安全。
步骤6.单击Range将DMZ配置为与WAN位于同一子网。IP地址范围将在DMZ端口的IP范围字段。
注意:对于IPv6配置,以下选项可用:
步骤7.指定DMZ IPv6地址 — 输入IPv6地址。
步骤8. Prefix Length — 将输入上述DMZ IP地址域的Prefix length。
步骤9.单击Save保存配置。
此配置用于定义在多个子网掩码上配置的IP的访问列表。
步骤1.登录Router Configuration Utility页,然后选择Firewall > Access Rules。“访问规则”页打开:
注意:无法编辑默认访问规则。
步骤2.单击“添加”按钮添加新的访问规则。“访问规则”页面将更改为显示“服务”和“计划”区域。
注意:通过选择Access Rules页面上的相应选项卡,可以为IPv4和IPv6执行此配置。以下步骤中介绍了特定于IPv4和IPv6的配置步骤。
步骤3.从“操作”下拉列表中选择“允许”以允许服务。
步骤4.从“服务”下拉列表中选择“所有流量[TCP&UDP/1~65535]”,以启用DMZ的所有服务。
步骤5.从Log下拉列表中选择Log packets that match this rule,以仅选择与访问规则匹配的日志。
步骤6.从Source Interface(源接口)下拉列表中选择DMZ(DMZ),该下拉列表是访问规则的源。
步骤7.从Source IP下拉列表中选择Any。
步骤8.从Destination IP下拉列表中选择以下任何可用选项。
·单个 — 选择单个,将此规则应用到单个IP地址。
·范围 — 选择范围以将此规则应用于IP地址范围。输入范围的第一个和最后一个IP地址。此选项仅在IPv4中可用。
·子网 — 选择子网(Subnet),将此规则应用于子网。输入IP地址和CIDR表示法编号,用于为子网分配IP地址和路由Internet协议数据包。此选项仅在IPv6中可用。
·任意(Any) — 选择任意(Any),将规则应用于任何IP地址。
节省时间:如果要配置IPv6访问规则,请跳至步骤10。
步骤9.从“时间”下拉列表中选择定义规则何时处于活动状态的方法。它们是:
·始终 — 如果从“时间”下拉列表中选择“始终”,则访问规则将始终应用于流量。
· Interval — 如果从Time下拉列表中选择Interval,则可以选择访问规则处于活动状态的特定时间间隔。指定时间间隔后,从Effective on(生效时间)复选框中选择希望访问规则处于活动状态的天数。
步骤10.单击“保存”以保存设置。
步骤11.单击编辑图标以编辑已创建的访问规则。
步骤12.单击“删除”图标以删除已创建的访问规则。