내 설정이 다음과 같다고 가정해 보겠습니다.
- 라우터 1은 인터넷(즉, 모뎀)에 연결됩니다.
- 라우터 2의 WAN 포트는 라우터 1의 LAN 포트에 연결됩니다. (예: 라우터 2는 자체 서브넷과 DHCP가 있는 '라우터 뒤의 라우터'입니다.)
- WILD(컴퓨터)는 라우터 1의 LAN 포트에 연결됩니다.
- GOOD, MILD 및 TAME(모든 컴퓨터)는 라우터 2의 LAN 포트에 연결됩니다.
- 라우터 1은 라우터 2로 들어오는 모든 트래픽을 DMZ로 지정합니다.
- 라우터 2 포트는 필요에 따라 GOOD, MILD 및 TAME으로 전달됩니다.
질문
요소 5(예: DMZ)가 WILD가 인터넷에서 '답변'을 받는 것을 방지합니까?
죄송합니다. '답변'에 대한 전문적인 단어를 모릅니다.
나는 다음과 같은 것을 염두에 두고 있다:
WILD는 CNN.com에서 웹페이지를 요청합니다. 라우터 1의 DMZ가 해당 웹 페이지를 WILD 대신 라우터 2로 보내나요?
WILD의 FTP 클라이언트는 FTP 세션을 시작합니다. FTP 서버가 데이터 채널을 열면 DMZ가 이를 WILD 대신 라우터 2로 보내나요?
배경
이름에서 알 수 있듯이 저는 WILD를 사용하여 웹 사이트를 방문하고 악성 코드가 포함되어 있을 수 있는 실행 파일을 실행했습니다. 저는 WILD와 다른 컴퓨터 사이에 라우터 2를 장벽(방화벽)으로 배치하고 있습니다.
그것이 중요한지는 모르겠지만 WILD는 실제로 가상 머신이 될 것입니다. WILD가 TAME에서 호스팅된다고 가정하면 TAME에는 두 개의 NIC가 있습니다. NIC 1(라우터 1에 연결)은 TAME에서 비활성화되고 WILD 전용입니다. NIC 2(라우터 2에 연결)는 TAME 자체에서 활성화되고 사용됩니다.
라우터 1과 라우터 2 모두 vLAN 기능이 없습니다.
이 전체 질문은 GOOD 등을 WILD로부터 보호하는 더 좋은 방법을 생각할 수 없다고 가정합니다.
내가 가진 유일한 다른 아이디어는 모든 컴퓨터를 동일한 LAN에 배치하고 소프트웨어 방화벽을 사용하여 WILD를 격리하는 것입니다. 그러나 이를 위해서는 다른 각 컴퓨터(다른 VM 포함)가 필요한 방화벽 설정을 받아야 하며 제안한 설정보다 훨씬 더 많은 작업이 필요한 것 같습니다.
답변1
요소 5(예: DMZ)가 WILD가 인터넷에서 '답변'을 받는 것을 방지합니까?
아니요.
DMZ가 어떻게 작동하는지 오해하는 것 같습니다. DMZ에 장치를 배치해도 라우터 1은 모든 트래픽을 해당 노드로 리디렉션하지 않습니다. 대신 라우터의 일반적인 동작이 다르게 작동하는 다른 보안 영역에 노드를 배치하기만 하면 됩니다.해당 기기에만 해당.
예를 들어 DMZ 영역에 있는 장치에 대한 트래픽은 라우터의 방화벽 검사에서 제외됩니다.
라우터 1의 LAN 인터페이스 뒤에 있는 다른 장치는 계속해서 정상적으로 작동합니다. WILD가 웹페이지를 요청하면 라우터는 아웃바운드 연결을 추적하여 응답이 수신되면 WILD로 다시 보내야 한다는 것을 알 수 있습니다.
일부 라우터(일반적으로 소비자 모델)는 거대한 "모든 포트를 여기로 전달" 설정처럼 DMZ 영역을 사용합니다. 모든 포트 전달과 마찬가지로 이는 다음에만 영향을 미칩니다.원치 않는 인바운드사이. 따라서 이러한 DMZ가 있더라도 라우터 LAN의 다른 호스트에 의해 이전에 설정된 연결의 일부인 인바운드 트래픽은 DMZ가 적용된 호스트가 아닌 해당 노드로 전송됩니다.
귀하의 목적에 따라 귀하의 설정이 합리적으로 보입니다. 비슷한 2개의 라우터 설정을 수행했지만 이러한 구성을 통해 포트를 적절하게 전달하는 것이 어려울 수 있습니다. 일반적으로 라우터가 다른 NAT 장치 뒤에 있는 것을 좋아하지 않기 때문입니다. 그것이 당신에게 효과가 있다면 더욱 좋습니다!