1、制作单向NAT,内网、DMZ到Internet出口作NAT,对DMZ内需要提供Internet服务的主机作静态NAT映射;
2、内网访问DMZ时不做NAT,外网进入内网和DMZ时不需要做NAT,这样,DMZ内服务器收到的公网的访问时,源地址就是公网的地址,不再是防火墙上的地址,而且内部的地址还是内部的地址,这就可以把地址分开;
也就是说,由防火墙到DMZ主机的端口不能使用NAT功能,由内部、DMZ到外部时才使用NAT,这个问题就可以解决了。我不知道你使用的是哪个厂家的防火墙,一般都可以做到这么定义。非军事区。
dmz主机,英语是demilitarizedzone,中文为“非军事区”,为一种网络架构的布置方案,常用的架设方案是在不信任的外部网络和可信任的内部网络外,创建一个面向外部网络的物理或逻辑子网,该子网能设置用于对外部网络的服务器主机。
DMZ网络是一种外围网络,可保护组织的内部局域网并为其添加额外的安全层,使其免受不受信任的流量的影响。常见的DMZ是位于公共互联网和专用网络之间的子网。DMZ的最终目标是允许组织访问不受信任的网络,例如互联网,同时确保其专用网络或LAN保持安全。组织通常在DMZ中存储面向外部的服务和资源,以及用于域名系统(DNS)、文件传输协议(FTP)、邮件、代理、互联网协议语音(VoIP)和Web服务器的服务器。dmz主机在企业内网多。DMZ主机,它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题。dmz主机在缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)