史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   網路軟硬體架設技術文件 (http://forum.slime.com.tw/f133.html)
-   -   利用win2003NAT功能配置簡單的防火牆 (http://forum.slime.com.tw/thread51018.html)

psac 2003-07-17 11:14 AM

利用win2003NAT功能配置簡單的防火牆
 
作者:南陽巖冰

增加網路位址轉換
開啟 路由和遠端訪問。
在控制台樹中,按下「一般」。
位置
路由和遠端訪問
伺服器名稱
IP 路由選項
一般
右鍵按下「一般」,然後按下「新增路由傳輸協定」。
在「選項路由傳輸協定」對話視窗中,按下「NAT/基本防火牆」,然後按下「確定」。
注意:
要執行該程序,您必須是 Administrators 組的成員。作為安全性的最佳操作,請考慮使用 runas 指令而不是以管理憑據登入。如果您已經以管理憑據登入,則還可以開啟「路由和遠端訪問」,方法是依次按下「開始」和「控制台」,雙按「管理工具」,再雙按「路由和遠端訪問」。


為網路位址轉換增加和配置接頭
開啟 路由和遠端訪問。
在控制台樹中,按下「NAT/基本防火牆」。
位置

路由和遠端訪問
伺服器名稱
IP 路由選項
NAT/基本防火牆
右鍵按下「NAT/基本防火牆」,然後按下「新增接頭」。
在「接頭」中,按下要增加的接頭,然後按下「確定」。
執行以下任一操作:
如果該接頭連線到 Internet,則在「NAT/基本防火牆」選擇項上,按下「公用接頭連線到 Internet」並選「在此接頭上啟用 NAT」複選框。如果希望用動態資料包篩選器保護公用接頭,則選「在此接頭上啟用基本防火牆」複選框。
如果該接頭連線到小型辦公室或家庭網路,則在「NAT/基本防火牆」選擇項上,按下「專用接頭連線到專用網路」。
注意

要執行該程序,您必須是 Administrators 組的成員。作為安全性的最佳操作,請考慮使用 runas 指令而不是以管理憑據登入。如果您已經以管理憑據登入,則還可以開啟「路由和遠端訪問」,方法是依次按下「開始」和「控制台」,雙按「管理工具」,再雙按「路由和遠端訪問」。
按下「僅基本防火牆」可僅啟用公用接頭的基本防火牆,而不啟用 NAT。
對於到 Internet 的撥號連接,請選項配置為連線到您的「Internet 服務提供商 (ISP)」的請求撥號接頭。
對於到 Internet 的永久連接,請選項連線到您 ISP 的永久接頭。

啟用網路位址轉換尋址
開啟 路由和遠端訪問。
在控制台樹中,按下「NAT/基本防火牆」。
位置

路由和遠端訪問
伺服器名稱
IP 路由選項
NAT/基本防火牆
右鍵按下「NAT/基本防火牆」,然後按下「內容」。
在「位址指派」選擇項上,選「使用 DHCP 分配器自動分配 IP 位址」複選框。
(可選)要為專用網路上的 DHCP 客戶端進行分配, 請在「IP 位址」和「掩碼」中配置 IP 位址的範圍。
(可選)要排除避免分配給專用網路上 DHCP 客戶端的位址,請按下「排除」,再按下「增加」,然後配置位址。
注意

要執行該程序,您必須是 Administrators 組的成員。作為安全性的最佳操作,請考慮使用 runas 指令而不是以管理憑據登入。如果您已經以管理憑據登入,則還可以開啟「路由和遠端訪問」,方法是依次按下「開始」和「控制台」,雙按「管理工具」,再雙按「路由和遠端訪問」。
啟用網路位址轉換名稱解析
開啟 路由和遠端訪問。
在控制台樹中,按下「NAT/基本防火牆」。
位置

路由和遠端訪問
伺服器名稱
IP 路由選項
NAT/基本防火牆
右鍵按下「NAT/基本防火牆」,然後按下「內容」。
要進行 DNS 伺服器的主機名稱解析,請在「名稱解析」選擇項上選「使用域名系統 (DNS) 的客戶端」複選框。
如果希望到 Internet 的連接在專用網路上的主機向「網路位址轉換 (NAT)」電腦傳送 DNS 名稱查詢時得以啟始化,請選「當名稱需要解析時連線到公用網路」複選框,然後在「請求撥號接頭」中按下合適的請求撥號接頭的名稱。
注意

要執行該程序,您必須是 Administrators 組的成員。作為安全性的最佳操作,請考慮使用 runas 指令而不是以管理憑據登入。如果您已經以管理憑據登入,則還可以開啟「路由和遠端訪問」,方法是依次按下「開始」和「控制台」,雙按「管理工具」,再雙按「路由和遠端訪問」。

配置接頭 IP 位址範圍
開啟 路由和遠端訪問。
在控制台樹中,按下「NAT/基本防火牆」。
位置

路由和遠端訪問
伺服器名稱
IP 路由選項
NAT/基本防火牆
在詳細資料視窗中,右鍵按下要配置的接頭,然後按下「內容」。
在「位址池」選擇項上,按下「增加」,並執行下列操作之一:
如果使用以 IP 位址和子網掩碼表示的 IP 位址範圍,則在「起始位址」中鍵入起始 IP 位址,然後在「掩碼」中鍵入子網掩碼。
如果使用不能以 IP 位址和子網掩碼表示的 IP 位址範圍,則在「起始位址」中鍵入起始 IP 位址,然後在「結束位址」中鍵入結束 IP 位址。
注意

要執行該程序,您必須是 Administrators 組的成員。作為安全性的最佳操作,請考慮使用 runas 指令而不是以管理憑據登入。如果您已經以管理憑據登入,則還可以開啟「路由和遠端訪問」,方法是依次按下「開始」和「控制台」,雙按「管理工具」,再雙按「路由和遠端訪問」。
如果有多個位址範圍,可使用「增加」分別增加每個位址。

配置基本防火牆
開啟 路由和遠端訪問。
在控制台樹中,按下「NAT/基本防火牆」。
位置

路由和遠端訪問
伺服器名
IP 路由選項
NAT/基本防火牆
在詳細資料視窗中,右鍵按下要配置的接頭,然後按下「內容」。
在「NAT/基本防火牆」選擇項上,執行以下任一項操作:
按下「公用接頭連線到 Internet」,然後選「在此接頭上啟用基本防火牆」複選框。
按下「僅基本防火牆」。
注意

要執行該程序,您必須是 Administrators 組的成員。作為安全性的最佳操作,請考慮使用 runas 指令而不是以管理憑據登入。如果您已經以管理憑據登入,則還可以開啟「路由和遠端訪問」,方法是依次按下「開始」和「控制台」,雙按「管理工具」,再雙按「路由和遠端訪問」。
通過配置其他靜態資料包篩選器,可允許或阻止特定類型的網路通信到達網路。也可以接受或拒絕特定類型的「Internet 控制消息傳輸協定 (ICMP)」消息、特定服務所需的通信,或通過特定連接阜傳送的通信。

配置服務和連接阜
開啟 路由和遠端訪問。
在控制台樹中,按下「NAT/基本防火牆」。
位置

路由和遠端訪問
伺服器名稱
IP 路由選項
NAT/基本防火牆
在詳細資料視窗中,右鍵按下要配置的接頭,然後按下「內容」。
在「服務和連接阜」選擇項上,執行下列操作之一:
如果接頭與公用網路服務相關聯,請檢視「服務」中的列表,選項服務並檢視顯示的設定,然後按下「確定」。
如果接頭不與公用網路服務相關聯,或服務未在「服務」中列出,則按下「增加」,提供服務名稱及傳入和傳出連接阜所需的設定,然後按下「確定」。
如果要禁用與公用網路服務相關聯的連接阜,則檢視「服務」中的列表,並清除相應的複選框。
如果要禁用以前增加的連接阜,則檢視「服務」中的列表,並清除與所增加服務相應的複選框。
如果要刪除以前增加的連接阜,則檢視「服務」中的列表,選項所增加的服務,然後按下「刪除」。
注意

要執行該程序,您必須是 Administrators 組的成員。作為安全性的最佳操作,請考慮使用 runas 指令而不是以管理憑據登入。如果您已經以管理憑據登入,則還可以開啟「路由和遠端訪問」,方法是依次按下「開始」和「控制台」,雙按「管理工具」,再雙按「路由和遠端訪問」。

允許或拒絕 ICMP 消息
開啟 路由和遠端訪問。
在控制台樹中,按下「NAT/基本防火牆」。
位置

路由和遠端訪問
伺服器名稱
IP 路由選項
NAT/基本防火牆
在詳細資料視窗中,右鍵按下要配置的接頭,然後按下「內容」。
在「允許以下功能」中,執行如下操作:
要允許某類 ICMP 消息到達您的網路,請選相應的複選框。
要阻止某類 ICMP 消息到達您的網路,請清除相應的複選框。
注意

要執行該程序,您必須是 Administrators 組的成員。作為安全性的最佳操作,請考慮使用 runas 指令而不是以管理憑據登入。如果您已經以管理憑據登入,則還可以開啟「路由和遠端訪問」,方法是依次按下「開始」和「控制台」,雙按「管理工具」,再雙按「路由和遠端訪問」。
要顯示消息類型的描述,請按下消息類型。描述將出現在「描述」下。

啟用 ICMP 路由器發現
開啟 路由和遠端訪問。
在控制台樹中,按下「一般」。
位置

路由和遠端訪問
伺服器名稱
IP 路由選項
一般
在詳細資料視窗中,右鍵按下要啟用的接頭,然後按下「內容」。
在「一般」選擇項上,請選「啟用路由器發現通告」複選框。
在「通告壽命(分鐘)」中,輸入或選項在聽到其最後的路由器通告後多久認為路由器關閉的時間。
在「最小時間(分鐘)」中,輸入或選項路由器定期傳送 ICMP 路由器通告的最小速率。
在「最大時間(分鐘)」中,輸入或選項路由器定期傳送 ICMP 路由器通告的最大速率。
關於最小時間值和最大時間值,路由器在最小時間和最大時間之間定期傳送 ICMP 路由器通告。

在「首選等級」中,輸入或選項將此路由器設定為主機的預設網關的首選等級。
注意1

要執行該程序,您必須是 Administrators 組的成員。作為安全性的最佳操作,請考慮使用 runas 指令而不是以管理憑據登入。如果您已經以管理憑據登入,則還可以開啟「路由和遠端訪問」,方法是依次按下「開始」和「控制台」,雙按「管理工具」,再雙按「路由和遠端訪問」。

5 07-14-2003 22:12:15

--------------------------------------------------------------------------------


引用 bluesea 發表的貼子:
DMZ全稱是什麼?
該Modem支持連接阜映射,你說得把所有連接阜映射到LAN的某台電腦上?
有這種做法嗎?願聞其祥~


DMZ=De-Militalized Zone(非軍事區)
原本是網路安全(防火牆?)上的術語,指完全獨立於外部網路和內部網路的第三個網段,一般用來放公開的伺服器,提供安全性和可用性的一個折中點。
廉價的ADSL撥號路由器上帶的號稱DMZ的功能,一般只是能夠把連接阜映射到內部網路的某個IP位址上,部分實現公開局內網伺服器的功能,因為不提供任何安全性(甚至還會帶來安全隱患),所以只能算DMZ的縮shui版。而Virtual Server只是同一功能在不同廠家的不同稱謂罷了。
剛才稍微看了一下同維網站上提供的說明書,因為PDF裡圖像太模糊,我又沒時間仔細看文字,所以不能確定DSL699E是否有類似功能。你自己可以試著用Acrobat Reader搜尋一下「DMZ」這個關鍵字。另外就是注意看看關於防火牆或是連接阜映射部分的內容了。單條的連接阜映射肯定是不夠的,但即使不能把全部連接阜映射,只要能把MSN所需的連接阜(是一段)映射到局內網的某台電腦上,也能達到目標。
在國外,類似的低端路由器一般都會有部分的連接阜映射功能和這種「DMZ」功能,以滿足一些特定網路通訊程序(遊戲,MESSENGER等等)的需要。通常使用單純的連接阜映射,當同時需要映射大量連接阜(超出映射表條項上限)時,就改用DMZ功能。不過這等於是把LAN裡的一台機器完全對外公開,會造成一定的安全隱患。

BTW,我現在用的路由器就是靠這種號稱DMZ的功能實現MSN視瀕通訊的。另外,嚴格地說,連接阜映射是路由器的功能,不是MODEM的……


DMZ也不能解決UPnP的問題——正確,
DMZ不能解決MSN的問題——部分正確。

支持MSN(特指視瀕、文件傳輸等)和支持UPnP是兩回事。我現在用的寬帶路由器就是通過Virtual Server實現MSN視瀕會議的,但是文件傳輸還是遠端桌面共享仍然無法實現,好像是需要完全支持UPnP才行。
在大多數路由器的內裝固件昇級支持UPnP之前,DMZ(Virtual Server)功能可以說是一個臨時性的過渡措施。

國外因為用戶要求使用MSN、玩某特定網路遊戲或是公開伺服器的呼聲很高,廠家不得不儘快推出能夠支持MSN視瀕會議的解決方案,DMZ就是其中一條捷徑(雖然還有安全隱患)。國內可能是因為這方面壓力還比較小,所以廠家還可以慢慢來……








所有時間均為台北時間。現在的時間是 04:35 PM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1