首頁 > 客戶服務 > FAQ >企業防護資安產品相關問題

何謂dmz透通模式(Transparent Mode)

2012/12/20

MH350/MH1000 支援DMZ透通模式(Transparent Mode):不需更動網路實體環境,便可輕鬆更改網路組態設定。
請問什麼是dmz 透通模式(可否舉例說明)

 

實體 DMZ Port 主要是放置 Server 及想使用實體 IP 的設備(如 Voip Gateway ....),放在 DMZ Port 有幾個考量:


1.除了可以管制外面用戶,同時也可以管制內部用戶任意連接 Server .


2.使用實體 IP 對 Server 的設定可以免除修改(如果使用 NAT 要改 IP).


3.實體連線較易區分,減少與內部相同網段的 Broacast 封包影響.

 

至於安全性應該比放在 Internal Port 更安全的.另外別忘了 MH1000 還有頻寬管理的功能喔,特別是多用戶單位,這個功能特別重要的,以避免不當的下載將整個網路速度拉下來.

 

DMZ透通模式(Transparent Mode) 表示 DMZ Port 與 WAN Port 之間是相同網段,DMZ 用戶直接使用 WAN Port 網段 IP 溝通, 而非一般的路由或 NAT 方式必須使用不同 IP 網段.

 


舉例說明:
如果我申請的 IP 是 61.1.1.2 ~ 61.1.1.6 ,原本只有一台分享器(61.1.1.6) 給大家使用 NAT 方式上網, Web Server 使用實體 IP 61.1.1.2 完全沒有防火牆保護 .在此環境下,我想改用 MH1000 做 Firewall ,並多申請一條 PPPoE ADSL .

 

此例的做法將 MH1000 的 WAN1 IP 設成 61.1.1.6 ,WAN2 接 PPPoE 撥接 ADSL ,然後將 DMZ Port 設成透通模式(Transparent),直接將 WEB Server(61.1.1.2) 放在 DMZ Port 完全不必更改 Server IP 就完成整個網路整合了,而且 61.1.1.3~5 的 IP 還可以讓其他需要實體 IP 的電腦直接接於 DMZ 端來使用(接一 HUB 或 Switch 於 DMZ Port).

 

請留意 Server 還是使用實體 IP 喔,你也許會懷疑是否有防火牆保護,當然是有啦,因為你還是要到管制條例去設定你想開放給 Server 使用的 Port .

 


Q2:同上例, 若目前 Server 的規劃如下,


Web & DNS Server : 61.1.1.2 /255.255.255.248 ,Gateway 61.1.1.1
Mail Server :61.1.1.3/255.255.255.248 ,Gateway 61.1.1.1 ,請問管制條例如何設定? (2006-05-08 )

 

請依照以下步驟:


1.設定 Server 的位址表
管制條例選項 > 位址表 > 非軍事區網路 ,以建立每一用戶的基本資料:

名稱:web
IP : 61.1.1.2
子網路遮罩:255.255.255.255 (單一台電腦要使用 4 個 255)
MAC 位址 :填入使用電腦的網卡卡號,或省略
從防火牆取得固定IP位址 ->不勾選

名稱:mail
IP : 61.1.1.3
子網路遮罩:255.255.255.255 (單一台電腦要使用 4 個 255)
MAC 位址 :填入使用電腦的網卡卡號,或省略
從防火牆取得固定IP位址 ->不勾選

 

2.設定管制條例規則 ,管制條例 > 外部至非軍事區

第一條

來源網路位址 Outside_Any
目的網路位址 web
服務名稱 HTTP(80)
管制動作 允許

 

第二條

來源網路位址 Outside_Any
目的網路位址 web
服務名稱 DNS(53)
管制動作 允許

 

第三條

來源網路位址 Outside_Any
目的網路位址 mail
服務名稱 SMTP(25)
管制動作 允許

 

第四條

來源網路位址 Outside_Any
目的網路位址 mail
服務名稱 POP3(110)
管制動作 允許

 

經過這樣的動作就完成 Server 對外服務.

 

其他管制條例:
管制條例 > 非軍事區至外部 ,控制這些 Server 對外 Access 權限
管制條例 > 非軍事區至內部 ,控制這些 Server 對內部用戶 Access 權限
管制條例 > 內部至非軍事區 ,控制內部用戶至 DMZ Server Access 權限

 

請依實際開放使用服務設定.

 


Q3:我的 Server 使用此透通架構,並使用 WAN1 網段 IP 位址,若我的 WAN2 申請另一路 ADSL , 請問 Server 會使用此 WAN2 頻寬嗎?

 

Ans: 會的, DMZ 端的 Server 除了使用自己的 WAN 網段 IP 外,當 Server 使用 WAN2 出去時,會將原 WAN1 網段 IP 改為 WAN2 Port 的真實 IP (由 MH/SV 設備做 NAT 轉址方式) ,因此外部所看到的 IP 是 WAN2 Port IP .

 

由於會多路使用的特性,若你是 Mail Server 時,請記得將 SMTP 服務強制使用 MX 所記錄的 WAN Port ,這樣才不會因為使用其他 WAN Port 造成 IP 與 DNS MX 記錄不同而被對方 Mail Server 退信.


例如 mail Domain 的 MX 為 abc.com.tw ,IP 61.1.1.3


管制條例 > 非軍事區至外部
第一條
來源網路位址 mail
目的網路位址 Outside_Any
服務名稱 SMTP
管制動作,外部網路埠 允許,外部網路介面1

第二條
來源網路位址 DMZ_Any
目的網路位址 Outside_Any
服務名稱 ANY
管制動作,外部網路埠 允許,所有外部網路介面

 

這樣就能確保 Mail Server 透過 WAN1 寄信.同樣條例順序 SMTP 必須在前.

 


Q4:我們公司已經有 Firewall, 目前所使用的線路頻寬不足, 想申請多條線路並使用 MH2450 , 請問如何與目前的環境整合 ?

 

MH2450 多路功能可以很容易將線路整合( 最多 4 路 ) , 透過 DMZ透通模式(Transparent Mode) ,輕鬆將 Firewall 不需做任何修改直接接於 MH2400 DMZ Port ,就完成整合了.

 

MH2450 設定步驟 :

 

1.依照所申請的線路, 依序將每條線路設定完成. 由於 WAN Port 需要使用一個 IP ,所以每條線路必須保留一 IP 給 MH2400 WAN Port 使用.
若使用 ADSL PPPoE 撥號方式則依申請之帳號及密碼設定完成即可,不限是否固定 IP .

 

2.MH2450 管制條例設定

 

管制條例>非軍事區至外部
來源網路位址 DMZ_Any
目的網路位址 Outside_Any
服務名稱 ANY
管制動作,外部網路埠 允許,所有外部網路介面


管制條例 > 外部至非軍事區
來源網路位址 Outside_Any
目的網路位址 DMZ_Any
服務名稱 ANY
管制動作,外部網路埠 允許

 


3.異常流量 IP > 設定 , 開啟中毒 IP 阻擋功能及其他攻擊阻擋 ==> 此功能先不要勾選 .
因為此時所有 DMZ 端用戶都是透過 Firewall 的 IP 上網,若流量過大會被偵測到異常.

 


4.將 Firewall 的 Untrust ( internet ) Port 接於 MH2450 DMZ Port .

 

 

經以上步驟後即完成整合, 此時 MH2450 僅提供 WAN Port 線路多路應用整合,所有內部用戶管制依舊於此 Firewall 上執行.
若原線路接於 WAN1 ,那麼透過 Firewall 上網的用戶, 除了 WAN1 頻寬外, 其他 WAN Port 頻寬是否有會用到 ?
會的, 請參考 Q3 說明.

AboCom. Copyright©2012 www.aboway.com.tw All Rights Reserved.

聯絡我們