• 2

DMZ如何阻擋外網訪問區網分享

最近有遇到一個客戶(是一個小公司),安全性設定很怪

上網的方式是小烏龜->IP 分享器->Switch Hub->員工電腦

例如Server的內網IP是192.168.0.101

網路是固定IP
60.250.100.100-->給IP分享器使用,讓員工電腦上網
60.250.100.101-->透過DMZ,對應到Server IP:192.168.0.101
60.250.100.102-->未使用

客戶公司檔案都是在放Server,但是員工電腦都是不設密碼的(小公司)
因此要訪問Server分享檔案,Server分享資料夾就是直接設Eyeryone


問題就是,從網際網路,訪問60.250.100.101,可以看到分享的資料夾
Windows的防火牆可以阻擋來自DMZ訪問分享資料夾,但是要讓區網電腦可以讀取分享資料嗎?
2014-09-05 13:16 發佈
請問版大知道何謂DMZ嗎?

Wesley Hsu wrote:
最近有遇到一個客戶(...(恕刪)
我覺得應該是我理解力有問題吧...??

"Windows的防火牆可以阻擋來自DMZ訪問分享資料夾,但是要讓區網電腦可以讀取分享資料嗎?"

有人看得懂這段話的意思嗎?可以解釋給我聽一下嗎?

楓之陣 wrote:
我覺得應該是我理解力有問題吧...??
"Windows的防火牆可以阻擋來自DMZ訪問分享資料夾,但是要讓區網電腦可以讀取分享資料嗎?"
有人看得懂這段話的意思嗎?可以解釋給我聽一下嗎?


我猜是當成fileserver那台機器要設定Windwos防火牆擋住外面來的共享資料夾需求,
但在內網的電腦不受影響。

與失敗為伍者,天天靠盃都是別人的錯。 與成功為伍者,天天跟失敗切磋直到不再出錯。
騎豬飆快車 wrote:
請問版大知道何謂DMZ嗎?


大略的解釋就是把訪問對外IP的封包全部轉到內網IP

這個案例就是有人訪問60.250.100.101,等於訪問Server IP:192.168.0.101

因為我也通常不用DMZ,只是看到這樣的設定,想問說有無改善方法

畢竟從外網訪問免帳號的分享資料夾,安全性大開


最好的方式是不是直接裝片網卡,讓這網卡直接拿60.250.100.101固定IP?然後關掉DMZ
如果只是要轉發某幾個port的資料, 可以關DMZ, 改用port forwarding.
Wesley Hsu wrote:
最近有遇到一個客戶(...(恕刪)

方法二選一:

一是訂定防火牆,
將dst-address:60.250.100.101 / dst-port:139 的封包給阻擋.

二是透Port Forwarding將tcp:139 轉到不存在的內網電腦.
Port Forwarding權限比dmz優先 ,dmz自然無法將tcp:139轉至192.168.0.101
concall81 wrote:
如果只是要轉發某幾個...(恕刪)


gfx wrote:
方法二選一:
一是訂...(恕刪)


感謝concall81跟gfx大大的建議

目前小弟的認知是這樣

一般192.168.x.x的網段是屬於內網,通常內網都是比較寬鬆,是允許大部分的Port通過

而外網的IP,防護比較嚴謹

而一但使用DMZ,就等於在內網開一道大門到網外的IP,這樣理解應該是沒錯吧!

因此導致訪問60.250.100.101等於在訪問內網對吧!

如果是這樣的話,小弟就了解了!

Wesley Hsu wrote:
導致訪問60.250.100.101等於在訪問內網對吧!


正確. DMZ很方便, 但也相對危險, 要小心使用.
一般的分享器其實它的防護有限 , 但小公司應該就可以免強使用 !

專業一點的話 , 應該是要買所謂的 Firewall 而不是分享器 !

小型一點的 Firewall 大概一兩萬就買的到了 !

DMZ 應該是單純提供 Server 對外服務 , 例如你公司網站架在 Server 上 , 此時你的 Firewall 應該就是設定對外只開 80 port !

內部員工要存取 Server 上的資料 (File Service) , 就是透過內部網路 !

如果要讓員工在公司外部能存取 Server 上的資料(檔案) , 比較安全的做法就是要用 VPN !

以上提供給你參考 !

PS : 當然如果你公司的規模不大 , 或要求沒那麼嚴謹 , 請忽略上述建議 !
台灣 日本 美國 韓國 新加坡 VPN 翻牆 http://vpnforgame.net
  • 2
評分
複製連結