飞塔防火墙dmz设置

防火墙的 dmz 区域怎么样设计？那么，呃，我们在企业网当中往往会涉及到当我们的网络环境当中存在一些服务器，比如说我们在线网中往往会在一个企业内部去搭建一些文件存储的，或者说有可能企业内部自建一个网页 啊，所以我们这时候就需要在我们的网络环境当中设置一个专门放置服务器的区域，我们叫 dmj 区， 那么 dm 这区域呢，也叫做军事化，就是非军事化管理区，就是相对来说安全要求不是那么高， 同时可以被企业内部的一些设备访问，同时也需要去对外开放一些业务，对吧？那么我们首先先要做的事情是先去设计我们的啊，防火墙和服务器对接的方式，那么我们这里只模拟一台防火墙啊，而且只模拟一台， 我们除了服务器，所以呢我们就直接用一根线路直接连接就好了，那么鞋网当中往往往往我们服务器可能比较多，所以需要用到交换机啊，所以防火墙接交换机再接多个多个服气啊，这样是也是 ok 的，那么逻辑相同， 那么首先我们设计一下防火墙和服务器直接互联的地址为幺九二点幺六八点三点零的网段啊，我们服务器设置为三点一百的个 ap， 然后呢防火墙地址呢？设置成幺九二点三点一这个地址，好吧？ ok， 好，那么呃，这里图上面的地址多了一个零，那么自己去调整一下啊。点三，然后呢打开防火墙的一个网页配置，我们就用到网页中去配置，因为我们的配置量不是很大，所以说往往可以直接用网页来配置啊，如果批量化的就量比较大的，还是要命令行 啊，相当于说比较专业一点，同时也比较节省时间啊，不用一直点是吧，那我们一个地址我们就直接往页点，比较方便啊，直接到街口下划分域，同时配置 ip 地址为幺九二点幺六八点三点一，然后野马写一个二十四是吧？然后安全域记录要划到 dmz 取啊， dmz 是默认存在的， 然后这时候你会发现你的设备啊，在我们的服务器上，我们去配一个 ip 啊，幺九二点幺六点三点一百，野马以及网关要设置成服务器的地址，然后 dns 也给他一个保存一下， 并且呢你去把你的 ftp 的，既然你要模拟 ftp 吗，对吧？那打开 ftp 的一个服务，然后呢选择一个目录点击启动，同时呢在你的啊 web 端也是一样啊，就是我们所说的 htp 的服务啊，你也在选择一个目录，然后启用，等会我们可以去验证。那么 呃，当我们做了这个地址配置之后，那么首先其实防火墙啊是不让我们聘的，就是你的设备去聘你的网络是聘不通的， 因为防火墙的接口默认是禁聘的啊，所以这时候呢，我们需要去对防火墙的一个接口策略做一个放通啊，才能拼通，才能做测试啊，当然正常情况下我们可以不开这个聘啊，因为不影响业务转发， 那么在我们的接口下面呢，找到那个服务管理啊，下面有一个 pin， 你把 pin 打开，如果说你要勾选其他的，比如说啊，你要允许他被网页登录是吧？啊？未摆登录或者说 tignatics 也只能自己勾选啊啊，你看做完之后就可以聘得通了。好吧，那就是防火墙 dmz 区域的一个初步搭建。

现在我们登录防火墙，首先通过命令设置一下烂口的 ip 地址，然后其他的配置我们还是通过外部界面配置吧。首先将烂口下面的烂三烂四接口去掉，这样烂三烂四就可以作为万口用了。 然后点击 s d one， 将烂三烂四两个接口加入 s d one， 加入以后点确定， 现在接口下就多了 s d one 的接口了。然后我们分别配置一下烂三烂四的备注 ip 地址。这里需要注意的是，我们是把烂口切换为 one 口用的， 现在两条宽带的 ip 已经配好了，为了检测宽带是否正常，现在我们需要配置 sdy 状态检测，我们配 配置一个拼检测就拼四个八吧。配置好以后，我们刷新一下状态，两条宽带都正常。最后我们不要忘了添加一条出接口为 s d y 接口的静态路由， 因为是防火墙，所以少不了安全策略的配置，我们添加一条烂口到 sd one 接口的安全策略，注意勾选 nat。 设置好以后应用现在我们的 sd one 基础配置就配好了，可以拼通外网了， 通过 sd 弯可以配置很多灵活的负载均衡策略，这里就不讲了，今天就分享到这里了。

什么是 dmz？ dmz 代表去军事化区，所以在这个视频中，我们要讨论的就是 dmz。 现在通过将计算机和服务器分成防火墙的不同侧面。 dmz 被用于提高组织网络的安全性， 所以这就像是创建了两个独立的网络。那么问题来了，为什么要这样做？ dmz 如何实现呢？ 我们来举个例子。这里有一家公司的网络，这家公司有计算机和服务器在防火墙后面。在这家公司中，需要让互联网上的人们访问服务器，以使公司正常运营。 这些服务器可以是外服务器和邮件服务器。因为这些服务器位于公司的防火墙后面，所以他们在公司的私有网络中。这意味着该公司让来自不受信任网络如互联网的人在公司的防火墙后面，以及位于服务器内部网络的私有网络中 进行访问。但是这可能会导致安全问题，因为当人们访问这些服务器时，黑客可能会利用这个漏洞对公司的网络造成破坏。请记住，他们已经通过防火墙。因为服务器在防火墙后面， 所以现在黑客可以尝试从其他防火墙后面的设备访问其他敏感数据，例如存储敏感数据的数据库，服务器甚至试图植入病毒。这是一个安全问题。 但如果公司将外和邮件服务器的公共访问放到防火墙的对侧呢？现在这些服务器仍然在同一建筑物内，但他们在防火墙的另一侧。 现在，当人们通过互联网访问这些服务器时，他们将不能通过公司的内部防火墙访问到这些服务器上，而公司敏感数据则是保留在内部的。这些服务器现以至于互联网之外完全暴露在公众视线下。这正是所谓的开放式边界第 d m z。 因此，这些服务器现在处于一个称为边界网络或外围网络的 d m z 中。这个区域既可以作为拦截网络流量的屏障，还可以侦测任何恶意活动，并防止其渗透到公司的内部网络中。通过将内部防火墙设备放到防火墙之外， d m z 部署将一个网络分成了两部分。 现在这种 dmz 部署仅使用了一台防火墙，但是更安全的 dmz 将使用两台防火墙。 第二个防火墙将被添加并放置在 d m z 之前，这样可以增加一个额外的保护层，确保只有合法的流量能够访问 d m z， 而且也让黑客要渗透到公司的内部网络中变得更加困难，因为他们必须要穿过两个不同的防火墙才能实现这个目的。此外，还可以在家里配置 dmz 使用典型的家庭路由器即可实现。如果您配 配置过家用路由器，可能会在路由器配置页面的高级设置中看到设置 d m z 的选项。例如，下面的图片是 linksys 和 night gear 家用路由器的 d m z 设置页面。 不过值得一提的是，这种在家里设置的 d m z 不是真正的 d m z， 而只是将一个设备指定为 d m z 主机，并将所有端口转发到该设备 在你家里。例如，一个常见的 dmz 使用是将游戏机如 xbox 或 playstation 放在 dmz， 并将其配置为 dmz 主机。 这样做是因为很多游戏机通常用于在线游戏，游戏玩家不希望防火墙引起的任何干扰，所以他们不想去折腾端口转发配置，因为这有时会很麻烦。所以他们可以直接进入路由器的 dmz 设置，并将游戏机的 ip 地址作为 dmz。 同时需要注意的是， 在 d m g 中的设备应该配置一个静态 ip， 而不是动态 ip。 因此，在这种设置中，家庭路由器作为防火墙。这些计算机都安全地位于路由器的防火墙后，但游戏机位于路由器防火墙的另一侧，放置在 d m g 中，并完全暴露在互联网中。 所以总的来说，这就是 dmz 的意思。军事禁区，在现实世界中，他是非军事化区，在计算机领域中，他就是防火墙保护禁区。

今天给大家演示一下飞塔防火墙 sd one 的配置 top 图是这样的，手机通过 usb 共享网络连接到电脑，电脑又共享手机的网络给有线网卡作为其中一条接入的宽带，这样就模拟了两条宽带接入。现在我们手机的 usb 共享已经打开了， 手机通过数据线也跟电脑连起来了，然后我们又把手机共享的网络共享给有线网卡， 设置网络共享以后，电脑的有线网卡的 ip 地址自动变成了幺九二点幺六八点幺三七点幺了。现在我们就模拟出了一条宽带了。接下来我们把两条宽带接入防火墙， 这里烂一口是连接的调试的笔记本电脑烂三口连接的电信宽带烂四口连接台式机共享出来的宽带接。 接下来插上 ctrl 线配置一下 ip 地址好了，两条模拟的宽带也连接好了，接下来我们就开始配置这台飞塔防火墙。

大家好，我是天津新闻教育麒麟，今天我们来聊一下防火墙上面的一些概念，哎，我们先来说第一个叫防火墙的 dmre， 翻译成中文叫隔离区，或者说叫非军事化区域。呃，什么概念呢？现在日常生活中我们也会看到有店位。呃，你比如在朝鲜跟韩国之间有一条三八线，他就是一个隔离地带， 哎，就是缓冲区，主要呢就是韩国跟朝鲜都不能轻易越过这个边界。呃，在我们网络安全里面，防火墙上面的这个概念呢，其实他也类似于一个缓冲地带，一个隔离区。 一般来说，我们会把公司的一些服务器，你比如像办公自动化系统、文件系统，然后邮件系统，哎，把这些服务器放到店面里面， 放里面有啥用呢？放到这里面之后，哎，互联网的用户可以来访问你这些福气，但是这些福气他无法主动去访问你公司的内网，也就是说他起到了一个什么作用呢？哪怕你的福气被别人攻击了， 然后呢，别人也没法用服务器作为跳板来攻击你的内网。好吧，这是点位的概念，大家注意，他的目的其实是为了把服务器放在一个隔离区，防止别人攻击你的服务器，然后呢，用你的服务器作为跳板攻击你内网的。好，这是今天我们说的点妹，这个概念 内容呢，我们就说这么多，呃，待会我们继续说第二个内容，再见。

大家好，我是信盟教育的麒麟，然后接着上个视频呢，我给大家继续来讲一下防火墙里面 dm 的作用哈，这防火墙里面一个非常非常重要的词， dm 也是干嘛的？呃，我们一旦先来想一下，生活中有没有 dm 印呢？什么叫 dm 印呢？ 给大家来说哈。 dmz， 他的中文名字叫非军事化区域，我一般把它称之为叫隔离区，或者有的时候也可以称之为叫缓冲区。缓冲区，看看缓冲区，那么生活中的， 嗯，缓冲区啊，生活中的，生活中的这个店面有啥作用呢？大家来看这张图，呃，这张图大家应该很熟悉的吧，这个地 地图是朝鲜跟韩国之间的一条线，对吧？大家可以来看看。中间呢有一条线，这条线就是三八线，这条三八线 在军事上就称之为叫 dma 区域，这个区域呢大概是二百四十七千米长，然后四点八左右的公里宽，有这么一个一条线哈， 这现在干嘛呢呢？他就是一个隔离区，你看到没有，在板门店这个位置是个隔离区，是个缓冲区，相当于是说北边这个朝鲜的人，你啊，不要随意越线，不要随意的越界，你要越界的话，可能这个南边，南边这个 韩国就拿着棒子就敲你了，就打你了，干你了，然后呢，这个这南面的人呢？这个韩国人，你也不要轻易越界，千万不要越界，你要越界 发这个北边的这个卡丘沙火箭炮，他就开始发射了哈，就不要越界，看到没有？中间就是个缓冲地带，就是个缓冲区， 这就是我们生活中的防火墙啊，不错了哈，这就是我们生活中的电瑞，叫非军事化区域，或者叫隔离区、缓冲区，那么在网，在我们网络安全里面电木有啥作用呢？ 首先给大家来看一个图哈，大家来看看这个图，呃，这个网络拓谱的规划合理吗？我给大家简单来说一下哈， 这一块属于服务器区域，但这一块呢也是服务器区域，就两个大的服务器区域， 这边呢是用户的办公区域，这边是一些运维区域啊，里面有一些审计设备，数据库审计设备、安全审计设备，还有未拼设备、入侵防御设备等等啊，可能都 在这里面，但是大家来看这个图，你觉得这个图设计上面有没有什么缺陷，有没有什么漏洞呢？ 大家可以来看一下哈，就是，嗯，我给大家说，既然这一块是属于服务器区域， 这是服务器区域，那里面肯定有些服务器，啥叫服务器呢？服务器，顾名思义就是提供服务的设备，对服提供服务的机器，给谁提供服务呢？ 那要么是给你提供，要么是给别人提供，对吧？当然了，要看你是什么服务器，假设你那个服务器是个网站服务器， 那么他可能就要为整个互联网来提供服务，没错吧？为整个互联网提供服务。呃，既然要为整个互联网提供服务呢？你可能就需 要在你的出口设备，你比如防火墙上面去做一条静态的 nt 映射，当然在有的厂家里面，他称之为叫 ait sor， 你得发布到互联网上面去，这样的公网的用户才能够来访问你内部的服务器。那么这个时候问题又来了哈，各位， 你那不给他服务器，你发不到公网上面去，那你得给公网的人提供一个公网地址吗？我随便写一个地址，那地址另外你还得提供一个段号吗？你像这个假设内部是新闻的官网，三 w 点新的目的，靠谱。 然后你把这个网站发布到互联网上面之后，那别人访问的时候就可以直接输入三 w 点信跟问题靠我们来访问了，对吧？当然他也可以直接输入西蒙这个网站服务器的公网地址，加上八零断靠来访问。这个时候大家注意，你只要发布到公网上面去，别人呢就可以拉 访问你这个服务器，这样子相当于那些正常的流量呢，就可以进来，就那些访问你服务器的流量你可以进来，但是呢，那些 恶意的流量，那些恶意代码，那些病毒，他是不是也会通过这个幺零三零二三幺的一点一的八零端口进来？就那些流量可能会伪装成八零端口的形式进到你的内部，很多流量都可以伪装成八零哈， 这个绝大多数的攻击，他们都是通过一些伪装的形式进到你的内部。你看你既然发布到公网，如果说你没有做任何安全防护的话，就没有专门针对网站您保护的话，那这个时候可能你的福气被贡献了，被贡献之后呢？假设你看在咱这个环境里面哈， 服务器区域跟办公区域跟左边的运营区域都在一个核心交换机下面，或者都在两个核 交换机下面，你别怪几个黑心交换机，他这一块总是互通的嘛，各位，这是全通的，看到没有？为啥全通？我今天不解释，这是陆游成名的问题，他全通。 全通的话，相当于一旦你的福气被攻陷了，一旦你的福气沦陷了，那这个时候别人就可能会利用你的福气为跳板去攻击你的办公网络，攻击你的韵味区域，攻击你的另外一个福气区域，这不就遭殃了吗？ 相当于从服务器区域再进入到其他的区域，再无险可守。放眼望去，一马平川都是大平原。 福气挂了，整个内网都挂了，不合理吧各位，对吧？所以说我们需要干嘛呢？我们就需要在服务器区域和其他区域之间来一个缓冲地带，来一个缓冲区，来一个隔离区，这样子就算你的福气被贡献了，然后别人也没法来主动访问你的，别人也没法以福气为 盗版来访问来攻击你的内网，对吧？那怎么办呢？我给大家说这个拓补器的规划起来，这个拓谱规划的不合理，但是实际环境中有很多人在规划网络时候就这么规划的不合理，怎么才是合理的呢？我给大家说，最好呢是把这根线给去掉， 稍等啊，这根线，这根线去掉，他去掉，他，那连哪去呢？连这了服务器去直接怼防护墙上面来，知道没有？怼防护墙上面来，为啥呢？因为你的服务器要对整个互联网提供服务吗？你要对互联网提供服务，别人呢就可能会通过 你对外开放的地址和端口来访问你的服务器，那这个时候正常的流量能进来，那可能非法流量也能进来，万一进来之后咋办呢？你一定要让防火墙到你的内网之间做隔离， 相当于让别人依靠你的服务器为跳板去攻击你的内网的时候，这个流量要经过防火墙，看到没经过防火墙的防火墙呢，就直接把这流量给干掉就可以了，就让防火墙把流量给干掉。 上上个视频我给大家说了，防火箱可以做到一个单向的隔离，就说你可以在防火箱坐车里允许办公网络去访问你的服务器，但是呢，不允许服务器来访问你的办公网络，哎，这不就好了吗？ 对吧？就可以，这就可以来抵御互联网上的人以你的福气为跳板来攻击你的办公网络，对吧？但我这里面也有一些拓谱图啊，大家可以来看一下。 这个土规划的就太不合理了，是吧？防护墙在里面，这这，这是外部对吧？这是外部，你把这个伏器直接挂到官网上面，被别人攻击，防护墙看着啥也不动，对吧？于无动于衷， 安全不合理。呃，这也是一种网络拓谱啊，其实这个网络拓谱你看就跟咱们现在看到这个图是一样的，一样一样的，就相当于服务器跟你的办公网络啊，在 防火枪的一个口子下面，他们之间直接就通了，万一服务器被攻陷了，那这个时候别人就可以以服务器为跳板攻击你的办公网络，不合理哈。呃，这个是合理的，这个是合理的哈，就是服务器区域在防火墙的一个口子下面，办公网络在一个口子下面，连接互联网的区域在一个口子下面，你可以在防火墙上做侧脸， 限制服务器去去主动访问办公网络，但是呢，可以允许办公网络来访问服务器网络 可以吧？大家你要是有钱的话，你可以弄两台墙，对吧？把福气夹在中间对吧？万一外面那个墙真的被攻陷了，他还有里面这个墙呢，咱们更安 空间一点吧，并且这两个厂家的墙呢，建议建议选择不一样的你，比如外面你可以选择三层网格的，里面可以选择盛幸福的，不同厂家的墙可能就不会具备相同的漏洞，安全性更好，对吧？ 但你要是说你这个真的不擦鞋的话，你可以这样玩，反正这个每一层都是双层墙，每一层都双层墙， 每一层都是双抢来搞三层。最外面这里面放的是啥呢？放的是一个网站，阿帕奇 ngx 网站的一些服务，然后往里呢放的是一些 app 应用，最里面放的就是一些重要的数据库了， 这就更安全一些，好吧，呃，大家通过这个环境有没有了解到店内的作用呢？非军事化区域，隔离区，缓冲区，在实际环境中，在我们生活 从军事上面来说，店内他真的就是一个缓冲地带缓冲区，而在我们网络安全领域来说，防火墙里面的店内干嘛呢？他也是个缓冲区，防止别人以伏器为跳板来攻击你的内网的。好吧， 那行，本次内容呢，就给大家介绍这么多，大家如果哪感觉没有听懂或者有任何疑问的话，或者有其他问题的话，可以在评论区留言，好吧，或者也可以私聊我， ok， 那个我的扣扣是九幺二二三六九五零，大家也可以加我，好吧？ 好，本次内容呢，就给大家介绍这个位置哈，点击下方购物车学习更多内容。

这些设备都不用了吗？是啊，老板说我们要上新设备了，这些都十块一斤，要卖了，那肯定要来一对大女儿子吧？嗯，应该吧。 错，这次只需要这么一个小铁盒子啊！今天开箱的设备非常的迷你，来自 to tenes 的防火墙六幺 f， 这个体积说实话都没资格进机柜啊，还需要搭配专门的挂，所以放置在桌面也是可以的。 来看看外观啊，一个 usb 接口，一个 ctrl 接口，两个万口，一个 dmz 区的接口，两个 forteen link 的接口，还有五个千兆电口，两个万口你就可以实现双外线接入， dmz 接口可以保证福气对外部署服务。 总之大型防火墙该有的他都有。这个佛提宁可的接口大家可能见的不多，他的作用是什么呢？就是当你的接口不够的时候，还可以通过搭配佛提奈子交换机为这个防火墙扩展张口。 话说屏幕前的小伙伴有知道 fotty 的还是交换机的吗？正面就非常的简洁，都是一些指示灯啊，你别看这个设备响，他的性能在四层防护墙功能开启的情况下达到了 实际 bps 吞吐量，下一代防滑箱吞吐量达到了一 gbps， 也就是说你的出口贷宽在千兆以内他都可以充分拿捏，不过定位是二十五人以内的办公室。使用 好了，设备就介绍完了，接下来我们要安装调试了，不过今天的操作有一点点不一样，铁柱，今天你来负责调试啊？不是，我 啥也不会啊，听我指挥就完了， 哎，铁柱，把地上黑色电源线插上， 然后把蓝色的网线插到忘衣口上好了吗？好，你可以下班了耶！ ok， 到这里，这台设备的配置工作就完成了。接下来这台防火墙就会被 forty net 统一管理平台 forty manager 接管，推送配置文件。用我们这行的黑话说就是 touch 零接触配置。这个描述呢，又有点夸张，但丝毫不违反广告法。那么这台设备搭配这种免 配置方式，好处是什么呢？大家可以想象，新店开业、家庭办公，你只需要寄过去这么一台小设备，根本不需要专业 it 人员到场，就能完成整个网络环境的搭建部署，这就是他的好处， 尤其是考虑到目前疫情依然严峻的情况。当然，也有小伙伴可能觉得，他无非解决了管理的便捷性，减少了运尾的工作量，节省几台设备钱罢了。还有什么特别之处呢？ 这就要从我们之前提到过的异地主网说起了。传统的异地主网要考虑出口安全，购买防水墙，考虑员工饮食安全，购买上网行为管理器 病毒查杀，购买 aptvpn， 还得考虑购买专门的 vp 网关，还得配备专门入侵检测设备 id psips。 设备越价越多，电费越来越贵。而网络互联无非就是通过微拼或者 nps， 甚至点对点权限、裸光线组网这些选项，贷款质量层层低进，价格也是水厂全高。 大部分重要企业都会采用更省钱的方式用互联网线路走 ipsac 和微拼，对线路质量要求较高的，才会采用 nps。 微拼 带宽、食盐抖动、丢放率都会好于没用带宽。通过 mpsv 拼连接组成内网，可以保证通信的隔离和保密，不过一分钱一分货， 国内跨省价格还好。那要是跨国有使用过跨国 app 的小伙伴可以分享一下你的亲身感受啊。回到这台社会上，他最大的卖点 就是可以利用民用级的贷款达到接近 mpls 的效果，同时内置了所有的安全能力，通过 oe one 的方式来保证贷款质量，同时保证数据的安全和隐私。