如何理解DMZ主机,玩游戏解决NAT必备知识(上)
这个词也许很多人都比较陌生,但是对于一部分游戏玩家来说。反倒是都有过深入的了解。
简单来说。
DMZ可以当做一个中间缓冲地带,介于外网和内网之间。
内网可单向访问,反过来从DMZ访问内网则需要制定规则;
外网可以和DMZ双向访问。
如果没有DMZ,我们通常所采取的办法是把电脑防火墙的某个端口打开,以达到外网可以访问内内网设备的作用。但是这么一来,安全就很值得担忧。黑客一旦攻陷这个电脑终端,那么内网所有设备将全部暴露无遗。
所以,在这种情况下,DMZ应运而生,被称作隔离区,就是这个意思。隔离于内外网,而做的安全最大化。
国人的翻译还是“非军事区”还是比较中立,到了日语就干脆直接翻译成“非武装地帯”,很带感。哈哈。
1,什么是DMZ?
2,如何设置?
3,设置DMZ主机和开UPNP有什么区别?
4,对于玩游戏有没有用?
5,实际网上的玩家反馈
6,DMZ的优劣
DMZ,全写Demilitarized Zone,译名为“非军事区”[1],又名Perimeter network,即“边界网络”、周边网络或“对外网络”,为一种网络架构的布置方案,常用的架设方案是在不信任的外部网络和可信任的内部网络外,创建一个面向外部网络的物理或逻辑子网,该子网能设置用于对外部网络的服务器主机。
该方案可以使用在防火墙、路由器等区隔内外网的网络设备。在一般比较低级的网络设备,DMZ的功能只能以软件设置的接口去设置并实现,实体的网络层相接,会与一般的LAN PORT相接共同管理。不过在一般比较高级的网络设备,如高级的防火墙设备,DMZ的功能除了软件的接口的设置外,在实体的连接PORT除了一般的WAN PORT、LAN PORT外,还会有另外独立的DMZ PORT,这样可以方便网络管理人员在管理网段时,除了软件接口上去设置WAN、LAN、DMZ等网段外,在实体的缆线连接(通常采用的是RJ45)时,也可以直接区分网段,更方便管理。
将部分用于提供对外服务的服务器主机划分到一个特定的子网——DMZ内,在DMZ的主机能与同处DMZ内的主机和外部网络的主机通信,而同内部网络主机的通信会被受到限制。这使DMZ的主机能被内部网络和外部网络所访问,而内部网络又能避免外部网络所得知。
DMZ能提供对外部入侵的防护,但不能提供内部破坏的防护,如内部通信数据包分析和欺骗。
在一些家用路由器中,DMZ是指一部所有端口都暴露在外部网络的内部网络主机,除此以外的端口都被转发。严格来说这不是真正的DMZ,因为该主机仍能访问内部网络,并非独立于内部网络之外的。但真正的DMZ是不允许访问内部网络的,DMZ和内部网络是分开的。这种 DMZ主机并没有真正DMZ所拥有的子网划分的安全优势,其常常以一种简单的方法将所有端口转发到另外的防火墙或NAT设备上。
DMZ需要我们在路由器中进行设置,并且将所需要DMZ的设备IP进行设置,考虑到IP地址是根据每次启动设备而变化的,我们势必还需要固定当事设备的IP地址,利用MAC地址绑定。
(1)打开CMD,输入ipconfig,查询到电脑IP地址。(以电脑为例用作DMZ主机)
[caption id="attachment_2654" width="500" align="aligncenter"]
输入ipconfig,查询到电脑IP地址[/caption]
(2)以TPLINK为例,进入后台,【应用管理】中找到【DMZ主机】,然后选择进入
[caption id="attachment_2652" width="500" align="aligncenter"]
【应用管理】中找到【DMZ主机】[/caption]
(3)【DMZ主机】选项选择“开”,并且输入【DMZ主机IP地址】,然后保存。完成。
[caption id="attachment_2653" width="500" align="aligncenter"]
输入【DMZ主机IP地址】[/caption]
DMZ是设置了内网中一台机子完全暴露在外网上,意味着所有直接访问路由的端口都会转发到这个指定的IP上。
这个设置比较简单,但一个路由器只能指定一台DMZ主机,并且是所有端口都开放,不能只开放某些端口,安全性很差。如果你的内网有多台主机要让外网直接访问,DMZ也不适合。
UPnP有点像端口映射,不过这种映射是临时的并且是由应用软件启动的,如果路由支持并且开启了UPnP,那么那些可以使用UPnP功能的软件,比如说PPTV,在它要向外网暴露一个端口的时候就会通过UPnP功能向路由申请这个端口,这样外网对这个端口的连入就会被路由转发到运行PPTV的这台机的IP。
这个设置的话,由应用程序使用,只要路由器打开UPnP就行。缺点是,不是所有软件都支持UPnP,并且不利于管理和控制。比如网吧,如果启用UPnP,那么内网几十台机上运行的支持UPnP的程序每台在路由上开几个端口,这样路由会吃不消,所以一般网吧等场合,路由的UPnP功能一般是关闭的。
顺便说一下,还有一个端口映射。
这个就是将外网主机的IP地址的一个端口映射到内网中一台机器,提供相应的服务。当用户访问该IP的这个端口时,服务器自动将请求映射到对应局域网内部的机器上。
通俗来讲,端口映射是将一台主机的内网(LAN)IP地址映射成一个公网(WAN)IP地址,当用户访问提供映射端口主机的某个端口时,服务器将请求转移到本地局域网内部提供这种特定服务的主机;利用端口映射功能还可以将一台外网IP地址机器的多个端口映射到内网不同机器上的不同端口。 端口映射功能还可以完成一些特定代理功能,比如代理POP,SMTP,TELNET等协议。
举例说明如何设置端口映射:例如要映射一台IP地址为192.168.111.10的WEB服务器,只需把服务器的IP地址192.168.111.10和提供web服务的TCP端口80填入到路由器的端口映射表中即可。
这个设置的话,虽然比较灵活,但需手工指定。比如说内网有一台HTTP服务器和一台FTP服务器,要让这两台服务器在外网可以直接访问,使用端口映射就不错,把80端口映射到HTTP服务器的IP,而21和23端口映射到FTP服务器的IP,这样外网就能直接访问这两台服务器。
(待续未完……)
如何理解DMZ主机,玩游戏解决NAT必备知识(下)
简单来说。
DMZ可以当做一个中间缓冲地带,介于外网和内网之间。
内网可单向访问,反过来从DMZ访问内网则需要制定规则;
外网可以和DMZ双向访问。
如果没有DMZ,我们通常所采取的办法是把电脑防火墙的某个端口打开,以达到外网可以访问内内网设备的作用。但是这么一来,安全就很值得担忧。黑客一旦攻陷这个电脑终端,那么内网所有设备将全部暴露无遗。
所以,在这种情况下,DMZ应运而生,被称作隔离区,就是这个意思。隔离于内外网,而做的安全最大化。
国人的翻译还是“非军事区”还是比较中立,到了日语就干脆直接翻译成“非武装地帯”,很带感。哈哈。
目录
1,什么是DMZ?
2,如何设置?
3,设置DMZ主机和开UPNP有什么区别?
4,对于玩游戏有没有用?
5,实际网上的玩家反馈
6,DMZ的优劣
1,什么是DMZ?
(1)DMZ的定义
DMZ,全写Demilitarized Zone,译名为“非军事区”[1],又名Perimeter network,即“边界网络”、周边网络或“对外网络”,为一种网络架构的布置方案,常用的架设方案是在不信任的外部网络和可信任的内部网络外,创建一个面向外部网络的物理或逻辑子网,该子网能设置用于对外部网络的服务器主机。
该方案可以使用在防火墙、路由器等区隔内外网的网络设备。在一般比较低级的网络设备,DMZ的功能只能以软件设置的接口去设置并实现,实体的网络层相接,会与一般的LAN PORT相接共同管理。不过在一般比较高级的网络设备,如高级的防火墙设备,DMZ的功能除了软件的接口的设置外,在实体的连接PORT除了一般的WAN PORT、LAN PORT外,还会有另外独立的DMZ PORT,这样可以方便网络管理人员在管理网段时,除了软件接口上去设置WAN、LAN、DMZ等网段外,在实体的缆线连接(通常采用的是RJ45)时,也可以直接区分网段,更方便管理。
(2)原理
将部分用于提供对外服务的服务器主机划分到一个特定的子网——DMZ内,在DMZ的主机能与同处DMZ内的主机和外部网络的主机通信,而同内部网络主机的通信会被受到限制。这使DMZ的主机能被内部网络和外部网络所访问,而内部网络又能避免外部网络所得知。
DMZ能提供对外部入侵的防护,但不能提供内部破坏的防护,如内部通信数据包分析和欺骗。
(3)家用路由器提供的DMZ
在一些家用路由器中,DMZ是指一部所有端口都暴露在外部网络的内部网络主机,除此以外的端口都被转发。严格来说这不是真正的DMZ,因为该主机仍能访问内部网络,并非独立于内部网络之外的。但真正的DMZ是不允许访问内部网络的,DMZ和内部网络是分开的。这种 DMZ主机并没有真正DMZ所拥有的子网划分的安全优势,其常常以一种简单的方法将所有端口转发到另外的防火墙或NAT设备上。
2,如何设置?
DMZ需要我们在路由器中进行设置,并且将所需要DMZ的设备IP进行设置,考虑到IP地址是根据每次启动设备而变化的,我们势必还需要固定当事设备的IP地址,利用MAC地址绑定。
(1)打开CMD,输入ipconfig,查询到电脑IP地址。(以电脑为例用作DMZ主机)
[caption id="attachment_2654" width="500" align="aligncenter"]
输入ipconfig,查询到电脑IP地址[/caption](2)以TPLINK为例,进入后台,【应用管理】中找到【DMZ主机】,然后选择进入
[caption id="attachment_2652" width="500" align="aligncenter"]
【应用管理】中找到【DMZ主机】[/caption](3)【DMZ主机】选项选择“开”,并且输入【DMZ主机IP地址】,然后保存。完成。
[caption id="attachment_2653" width="500" align="aligncenter"]
输入【DMZ主机IP地址】[/caption]3,设置DMZ主机和开UPNP有什么区别?
DMZ:
DMZ是设置了内网中一台机子完全暴露在外网上,意味着所有直接访问路由的端口都会转发到这个指定的IP上。
这个设置比较简单,但一个路由器只能指定一台DMZ主机,并且是所有端口都开放,不能只开放某些端口,安全性很差。如果你的内网有多台主机要让外网直接访问,DMZ也不适合。
UPnP:
UPnP有点像端口映射,不过这种映射是临时的并且是由应用软件启动的,如果路由支持并且开启了UPnP,那么那些可以使用UPnP功能的软件,比如说PPTV,在它要向外网暴露一个端口的时候就会通过UPnP功能向路由申请这个端口,这样外网对这个端口的连入就会被路由转发到运行PPTV的这台机的IP。
这个设置的话,由应用程序使用,只要路由器打开UPnP就行。缺点是,不是所有软件都支持UPnP,并且不利于管理和控制。比如网吧,如果启用UPnP,那么内网几十台机上运行的支持UPnP的程序每台在路由上开几个端口,这样路由会吃不消,所以一般网吧等场合,路由的UPnP功能一般是关闭的。
映射端口:
顺便说一下,还有一个端口映射。
这个就是将外网主机的IP地址的一个端口映射到内网中一台机器,提供相应的服务。当用户访问该IP的这个端口时,服务器自动将请求映射到对应局域网内部的机器上。
通俗来讲,端口映射是将一台主机的内网(LAN)IP地址映射成一个公网(WAN)IP地址,当用户访问提供映射端口主机的某个端口时,服务器将请求转移到本地局域网内部提供这种特定服务的主机;利用端口映射功能还可以将一台外网IP地址机器的多个端口映射到内网不同机器上的不同端口。 端口映射功能还可以完成一些特定代理功能,比如代理POP,SMTP,TELNET等协议。
举例说明如何设置端口映射:例如要映射一台IP地址为192.168.111.10的WEB服务器,只需把服务器的IP地址192.168.111.10和提供web服务的TCP端口80填入到路由器的端口映射表中即可。
这个设置的话,虽然比较灵活,但需手工指定。比如说内网有一台HTTP服务器和一台FTP服务器,要让这两台服务器在外网可以直接访问,使用端口映射就不错,把80端口映射到HTTP服务器的IP,而21和23端口映射到FTP服务器的IP,这样外网就能直接访问这两台服务器。
(待续未完……)
相关连接:
如何理解DMZ主机,玩游戏解决NAT必备知识(下)
[…] 如何理解DMZ主机,玩游戏解决NAT必备知识(上) […]
回复删除2019
回复删除2019