一般來說,家庭用的寬帶路由器均以簡單實用爲主的即插即用型。說實話,要深入淺出瞭解一款產品,也並非一兩篇文章能解釋清楚,寫這篇文章最大的理由是通過簡單的說明,讓有興趣瞭解防火牆技術的朋友有個大概瞭解,在深入學習防火牆知識體系裏能找到一個進階的過程。
DMZ主機設置
在某些特殊情況下,需要讓局域網中的一臺計算機完全暴露給廣域網,以實現雙向通信,此時可以把該計算機設置爲DMZ主機。
( 注意:設置DMZ主機之後,與該IP相關的防火牆設置將不起作用。)
圖1:DMZ主機設置
DMZ,是demilitarized zone”的縮寫,中文名稱爲“隔離區”,也稱“非軍事化區”。它是爲了解決安裝防火牆後外部網絡不能訪問內部網絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩衝區,這個緩衝區位於企業內部網絡和外部網絡之間的小網絡區域內,在這個小網絡區域內可以放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網絡,因爲這種網絡部署,比起一般的防火牆方案,對***者來說又多了一道關卡。網絡結構如下圖所示。
圖2:DMZ網絡結構
虛擬服務器
虛擬服務器定義了廣域網服務端口和局域網網絡服務器之間的映射關係,所有對該廣域網服務端口的訪問將會被重定位給通過IP地址指定的局域網網絡服務器。
圖3:虛擬服務器設置
阿爾法寬帶路由器中說到的“虛擬服務器”,其實也是NAT(網絡地址轉換)的一種說法,如圖3中的說明,當我們需要在家用的電腦中開啓“遠程終端桌面”連接的許可時,可以添加這樣一條規則,以使得外網連接和使用內網的某個服務生效。
防火牆設置
爲了方便您對局域網中的計算機進行進一步管理,您可以通過數據包過濾功能來控制局域網中計算機對互聯網的訪問。
圖4:防火牆防護功能
圖5: 防火牆中的過濾設置
動態域名解析
您只要在88IP或DDNS服務商下拉列表中存在的服務商註冊過您的域名,把您註冊的用戶與密碼填入相應位置(在88IP中註冊的用戶在“用戶名”中須填寫88IP的ID號),保存好,您就可以通過本路由的DDSN服務在外網用域名直接訪問您在本地建立的服務器。
圖6:花生殼動態域名解釋
結合這個功能,我們可以將安裝在客戶端的“花生殼”停止,直接在該路由器上設置即可。 結合“花生殼動態域名解析+遠程終端桌面+NAT地址轉換”實現了較好的遠程使用家裏電腦的方式,請看拙作《遠程控制,我用MicroSoft 遠程桌面連接》
DHCP 客戶端列表
DHCP客戶端列表可以顯示客戶機通過動態IP從路由器獲取的IP地址,MAC地址,主機等信息。您可以通過選中“靜態”將它轉換爲靜態分配。
圖7:DHCP客戶端列表
如圖6所示,如果家裏中的內網使用了動態IP分配,則,NAT地址轉換則找不到真實的主機,所以這裏需要把需要NAT的主機和服務通過“靜態分配“的方式捆綁,如圖7所示。