在小型辦公室/家庭辦公室 (SOHO) 場景中,我想為小型 http 伺服器安裝設定 ADSL 路由器 - 實際上是使用 Raspberry Pi 進行實驗,用作 http 伺服器。我有點擔心 LAN 上電腦的安全隱患,以防該 http 伺服器受到損害。
為了能夠從外部 Internet 存取小型伺服器,我相信可以使用兩個選項來設定 ADSL 路由器:
- 轉送連接埠
- 非軍事區
如果是轉送連接埠,我只需要將端口 80,443 從 Internet/WAN 轉發到 http 伺服器上的相同端口,在這種情況下,該端口將保留在本地網路 LAN 內。
如果是非軍事區保護/強化http伺服器盒變得極為重要,例如:更改ssh連接埠等,但至少http伺服器不再位於本機網路LAN上;但仍以某種方式直接與ADSL路由器連接。
如果 http 伺服器受到損害,這兩個選項中哪一個可以提供最大的安全保證?
我相信在連接埠轉送場景的情況下,攻擊只能透過 http 連接埠來進行,但如果盒子受到損害,則該盒子位於 LAN 上。雖然在 DMZ 場景中,理論上該盒子不在 LAN 上,但我想知道這是否會使路由器遭受更容易的攻擊,並且也不確定如何檢查它是否是“網絡分區”的正確 DMZ 或“通配符端口轉發」。無論如何,我驗證了路由器設定為“遠端管理(來自互聯網/WAN)”殘障人士,它是 Netgear DGND3300v2。
我想運行這個http伺服器實驗,而不影響家庭辦公電腦的安全。
答案1
無論如何,使用 DMZ 都是一個非常糟糕的主意。
基本上,DMZ 的作用是完全停用任何 IP 位址的路由器協議,並將所有連接埠從外部轉發到內部。
伺服器仍然可以在您的網路內,因此可以存取。因此,任何連接埠都向您的伺服器開放,任何不需要的攻擊都有可能發生。
連接埠轉送始終是最佳選擇。 DMZ 通常用於以下情況:您的路由器不支援此類流量,或後面有第二個路由器且您的路由器無法橋接,或者您需要快速測試路由器是否導致任何問題。
但請記住,如果您使用 VLAN 正確設定網路(如果您的路由器支援此類),則始終可以將伺服器放置在其他網路之外。