討論群組
小惡魔市集 悅遊日本 活動報導
我要回覆
Wesley Hsu
Wesley Hsu
988分
樓主
Wesley Hsu
Wesley Hsu
個人積分:988分
文章編號:51981263

DMZ如何阻擋外網訪問區網分享

  • 2014-09-05 13:16
  • 2035
最近有遇到一個客戶(是一個小公司),安全性設定很怪

上網的方式是小烏龜->IP 分享器->Switch Hub->員工電腦

例如Server的內網IP是192.168.0.101

網路是固定IP
60.250.100.100-->給IP分享器使用,讓員工電腦上網
60.250.100.101-->透過DMZ,對應到Server IP:192.168.0.101
60.250.100.102-->未使用

客戶公司檔案都是在放Server,但是員工電腦都是不設密碼的(小公司)
因此要訪問Server分享檔案,Server分享資料夾就是直接設Eyeryone


問題就是,從網際網路,訪問60.250.100.101,可以看到分享的資料夾
Windows的防火牆可以阻擋來自DMZ訪問分享資料夾,但是要讓區網電腦可以讀取分享資料嗎?
2014-09-05 13:16 #1
文章關鍵字
DMZ 外網 區網分享
騎豬飆快車
騎豬飆快車
38分
2樓
騎豬飆快車
騎豬飆快車
個人積分:38分
文章編號:51981570
請問版大知道何謂DMZ嗎?

Wesley Hsu wrote:
最近有遇到一個客戶(...(恕刪)
打雜的IT人員
2014-09-05 13:35 #2
楓之陣
楓之陣
26分
3樓
楓之陣
楓之陣
個人積分:26分
文章編號:51981699
我覺得應該是我理解力有問題吧...??

"Windows的防火牆可以阻擋來自DMZ訪問分享資料夾,但是要讓區網電腦可以讀取分享資料嗎?"

有人看得懂這段話的意思嗎?可以解釋給我聽一下嗎?
2014-09-05 13:42 #3
bluesystem
bluesystem
2058分
4樓
bluesystem
bluesystem
個人積分:2058分
文章編號:51981795

楓之陣 wrote:
我覺得應該是我理解力有問題吧...??
"Windows的防火牆可以阻擋來自DMZ訪問分享資料夾,但是要讓區網電腦可以讀取分享資料嗎?"
有人看得懂這段話的意思嗎?可以解釋給我聽一下嗎?


我猜是當成fileserver那台機器要設定Windwos防火牆擋住外面來的共享資料夾需求,
但在內網的電腦不受影響。

與失敗為伍者,天天靠盃都是別人的錯。 與成功為伍者,天天跟失敗切磋直到不再出錯。
2014-09-05 13:48 #4
Wesley Hsu
Wesley Hsu
988分
樓主
Wesley Hsu
Wesley Hsu
個人積分:988分
文章編號:51982070
騎豬飆快車 wrote:
請問版大知道何謂DMZ嗎?


大略的解釋就是把訪問對外IP的封包全部轉到內網IP

這個案例就是有人訪問60.250.100.101,等於訪問Server IP:192.168.0.101

因為我也通常不用DMZ,只是看到這樣的設定,想問說有無改善方法

畢竟從外網訪問免帳號的分享資料夾,安全性大開


最好的方式是不是直接裝片網卡,讓這網卡直接拿60.250.100.101固定IP?然後關掉DMZ
2014-09-05 14:04 #5
concall81
concall81
2358分
6樓
concall81
concall81
個人積分:2358分
文章編號:51982410
如果只是要轉發某幾個port的資料, 可以關DMZ, 改用port forwarding.
2014-09-05 14:22 #6
gfx
gfx
1598分
7樓
gfx
gfx
個人積分:1598分
文章編號:51983416
Wesley Hsu wrote:
最近有遇到一個客戶(...(恕刪)

方法二選一:

一是訂定防火牆,
將dst-address:60.250.100.101 / dst-port:139 的封包給阻擋.

二是透Port Forwarding將tcp:139 轉到不存在的內網電腦.
Port Forwarding權限比dmz優先 ,dmz自然無法將tcp:139轉至192.168.0.101
2014-09-05 15:21 #7
Wesley Hsu
Wesley Hsu
988分
樓主
Wesley Hsu
Wesley Hsu
個人積分:988分
文章編號:51985544
concall81 wrote:
如果只是要轉發某幾個...(恕刪)


gfx wrote:
方法二選一:
一是訂...(恕刪)


感謝concall81跟gfx大大的建議

目前小弟的認知是這樣

一般192.168.x.x的網段是屬於內網,通常內網都是比較寬鬆,是允許大部分的Port通過

而外網的IP,防護比較嚴謹

而一但使用DMZ,就等於在內網開一道大門到網外的IP,這樣理解應該是沒錯吧!

因此導致訪問60.250.100.101等於在訪問內網對吧!

如果是這樣的話,小弟就了解了!
2014-09-05 17:22 #8
concall81
concall81
2358分
9樓
concall81
concall81
個人積分:2358分
文章編號:51985951

Wesley Hsu wrote:
導致訪問60.250.100.101等於在訪問內網對吧!


正確. DMZ很方便, 但也相對危險, 要小心使用.
2014-09-05 17:46 #9
carasha
carasha
1187分
10樓
carasha
carasha
個人積分:1187分
文章編號:51989260
一般的分享器其實它的防護有限 , 但小公司應該就可以免強使用 !

專業一點的話 , 應該是要買所謂的 Firewall 而不是分享器 !

小型一點的 Firewall 大概一兩萬就買的到了 !

DMZ 應該是單純提供 Server 對外服務 , 例如你公司網站架在 Server 上 , 此時你的 Firewall 應該就是設定對外只開 80 port !

內部員工要存取 Server 上的資料 (File Service) , 就是透過內部網路 !

如果要讓員工在公司外部能存取 Server 上的資料(檔案) , 比較安全的做法就是要用 VPN !

以上提供給你參考 !

PS : 當然如果你公司的規模不大 , 或要求沒那麼嚴謹 , 請忽略上述建議 !
台灣 日本 美國 韓國 新加坡 VPN 翻牆 http://vpnforgame.net
2014-09-05 22:26 #10
我要回覆

小惡魔廣編特輯

破解選擇障礙!挑出你的 Mercedes-Benz 最佳純電夥伴!
防霾紗窗怎麼挑?吸附力是關鍵!世界級的抗敏防霾紗窗Poll-Tex普特絲
vivo X200 Pro 蔡司影像旗艦 從人像到望遠一機搞定!v.s. Samsung S25 Ultra
Audi Q6 e-tron quattro S line 兼具豪華氣度與純電科技魅力!
關閉廣告
顯示廣告
文章分享
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
留言回報
取消 確定

今日熱門文章 網友點擊推薦!