我想請問一下,上面這2種我都爬文爬過了,只是還不太清楚想再問各位
DMZ 簡單說就是把那台伺服器的PORT全部打開
PORTWARD 則是可以自己選擇想用的PORT
那安全性是不是POWEWARD 會比較好呢
在架設網站的時候網域那邊的ip必須要打實體ip
感覺有點不保險請問有沒有什麼辦法
可以用虛擬ip也可達成網站可以建立呢
甚至從外面也可以連
已邀請的邦友 {{ invite_list.length }}/5
一台路由/防火牆,每個IP只能有一個DMZ對應,但端口對應則可以有六萬多組,不過............誰會想上網時在網址後面加 :8080 .... 諸如此類吧?
所以實體IP、DMZ、PORTMAPPING的差別,差在PORTMAPPING並不是讓電腦所有端口全部對外暴露,當然你也可以在電腦內裝防火牆功能,但遇上DDoS或綜合APT攻擊,你會難以用單一主機來招架吧
比如我公司裡有一台郵件伺服器192.168.1.10,一台網頁伺服器192.168.1.20,一台AD伺服器192.168.1.250,一台應用伺服器192.168.1.30(8999 PORT),我外網有8個IP(5.6.7.1~8),那我的策略會是
郵件主機25、110、143、993、995指向給5.6.7.2到192.168.1.10
網頁80指向給5.6.7.3到192.168.1.20
AD不對外
應用伺服器8999指向給5.6.7.7到192.168.1.30
這些是ROUTER在做的事,沒必要每台伺服器都要一個實體IP直接連出去,更不用DMZ找自己的麻煩(Windows有135、139等防護能力弱到爆的端口)
ATP?
APT?
APT...
DMZ 簡單說就是把那台伺服器的PORT全部打開
簡單的路由器是這樣的,但是商用級的機器可不是這樣
那安全性是不是POWEWARD 會比較好呢
攻擊面降低,至少不會變壞
在架設網站的時候網域那邊的ip必須要打實體ip
感覺有點不保險請問有沒有什麼辦法
你可以掛反向代理,CDN、WAF來保護你的網站
iThome鐵人賽
看影片追技術