iT邦幫忙

0

關於dmz 跟 portfoward 的區別

我想請問一下,上面這2種我都爬文爬過了,只是還不太清楚想再問各位
DMZ 簡單說就是把那台伺服器的PORT全部打開
PORTWARD 則是可以自己選擇想用的PORT
那安全性是不是POWEWARD 會比較好呢

在架設網站的時候網域那邊的ip必須要打實體ip
感覺有點不保險請問有沒有什麼辦法
可以用虛擬ip也可達成網站可以建立呢
甚至從外面也可以連

2 個回答

0
japhenchen
iT邦新手 4 級 ‧ 2019-07-12 12:03:25
最佳解答

一台路由/防火牆,每個IP只能有一個DMZ對應,但端口對應則可以有六萬多組,不過............誰會想上網時在網址後面加 :8080 .... 諸如此類吧?
所以實體IP、DMZ、PORTMAPPING的差別,差在PORTMAPPING並不是讓電腦所有端口全部對外暴露,當然你也可以在電腦內裝防火牆功能,但遇上DDoS或綜合APT攻擊,你會難以用單一主機來招架吧

比如我公司裡有一台郵件伺服器192.168.1.10,一台網頁伺服器192.168.1.20,一台AD伺服器192.168.1.250,一台應用伺服器192.168.1.30(8999 PORT),我外網有8個IP(5.6.7.1~8),那我的策略會是
郵件主機25、110、143、993、995指向給5.6.7.2到192.168.1.10
網頁80指向給5.6.7.3到192.168.1.20
AD不對外
應用伺服器8999指向給5.6.7.7到192.168.1.30

這些是ROUTER在做的事,沒必要每台伺服器都要一個實體IP直接連出去,更不用DMZ找自己的麻煩(Windows有135、139等防護能力弱到爆的端口)

黃彥儒 iT邦好手 1 級 ‧ 2019-07-12 15:54:47 檢舉

ATP?
APT?

APT...

4
黃彥儒
iT邦好手 1 級 ‧ 2019-07-11 18:08:39

DMZ 簡單說就是把那台伺服器的PORT全部打開

簡單的路由器是這樣的,但是商用級的機器可不是這樣

那安全性是不是POWEWARD 會比較好呢

攻擊面降低,至少不會變壞

在架設網站的時候網域那邊的ip必須要打實體ip
感覺有點不保險請問有沒有什麼辦法

你可以掛反向代理,CDN、WAF來保護你的網站

我要發表回答

立即登入回答