我首先會給你一個菜鳥警報,抱歉,我們必須在某個地方學習。
我只是想把一個想法告訴你。
我已經設定了一個家庭伺服器,這是為了為我的朋友託管一些遊戲。為了獲得專用 IP,我已將我的伺服器連接到靜態 IP VPN 供應商,一切都連接良好,並且只有當我破壞與本文無關的內容時,伺服器才會在大部分時間運行。
我正在考慮為我的網絡創建一個額外的保護層,是否可以在網絡中創建網絡,我聽說過一種稱為 VLAN 的東西,但我沒有硬體來執行此操作。
我的想法是使用舊的 netgear 路由器,透過 WAN 連接埠將其連接到我的網絡,並對其進行設置,使其在不同的 IP 範圍上運行。
這可行嗎?
答案1
網路中網路中網路的概念其實並不存在。您所擁有的是相互連接的網絡,它們之間存在限制,並且網絡被細分為多個段。
VLAN 是一種將單一實體網路分成同一交換基礎設施中的多個網路的機制,其中不同網路之間的流量大部分保持分離或強制通過交換器。
您建議的菊花鏈路由器將為最內部網路後面的設備提供更高程度的隔離,但代價是潛在的「雙重nat」問題- 即將「非路由」(正確稱為RFC1918 位址)位址轉換為第二個非地址路由地址。這可能會給一些複雜的協議帶來問題,可能難以調試,但在實踐中通常有效。您需要確保每個路由器的LAN連接埠的IP範圍不同,例如,如果外部路由器使用更常見的192.168範圍,則將內部路由器變更為使用10.0.0範圍的IP位址。
答案2
我將回答有關安全性的基本問題,而不是回答不會提高安全性的網路問題。原因是,如果您的伺服器在互聯網上可見,那麼無論此連接經過多少路由器或網絡,它都是可攻擊的。
透過在虛擬機器中運行伺服器,您將獲得更好的保護。這樣,成功的攻擊者最多只會損壞來賓虛擬機,而不是主機。如果您保留虛擬機器的副本,則在發生感染時可以將其刪除並替換為健康的副本。
虛擬機器在本地網路上可見,與實體機沒有區別,您可以將遊戲連接埠轉送到它,就像現在對主機所做的那樣。
答案3
你想把你的伺服器放在一個非軍事區區。
在電腦網路中,DMZ(非軍事區)有時也稱為外圍網路或屏蔽子網,是將內部區域網路(LAN) 與其他不受信任的網路(通常是網際網路)分隔開的實體或邏輯子網。面向外部的伺服器、資源和服務位於 DMZ 中。因此,可以透過網路存取它們,但內部 LAN 的其餘部分仍然無法存取。
怎麼做:
設計有 DMZ 的網路有多種方法。兩種基本方法是使用一個或兩個防火牆。具有至少三個網路介面的單一防火牆可用於建立包含 DMZ 的網路體系結構。外部網路是透過將公共互聯網(透過網際網路服務供應商(ISP) 連接)連接到第一個網路介面上的防火牆而形成的,內部網路是由第二個網路介面形成的,DMZ 網路本身連接到第一個網路介面上的防火牆。
您利用防火牆規則來隔離 DMZ 網路。確切的配置可能有所不同,但就您的情況而言,您只需阻止從 DMZ 介面(網路)流向內部網路(網路介面)的所有流量。因此,擁有具有防火牆功能的設備是必須的,儘管如果您有託管交換機,您也可以使用 ACL 來實現這一點。
我的想法是使用舊的 netgear 路由器,透過 WAN 連接埠將其連接到我的網絡,並對其進行設置,使其在不同的 IP 範圍上運行。
您的這個想法可以解決問題,但前提是您將內部網路放在 Netgear 路由器後面,並通過這樣做將其“隱藏”在“IP偽裝「 或者網路位址轉換
IP 偽裝是一種將整個 IP 位址空間(通常由私人 IP 位址組成)隱藏在另一個(通常是公用位址空間)中的單一 IP 位址後面的技術。隱藏位址被更改為單一(公共)IP 位址作為傳出 IP 封包的來源位址,因此它們看起來不是源自隱藏主機,而是源自於路由設備本身。由於這種節省 IPv4 位址空間的技術非常流行,術語 NAT 實際上已成為 IP 偽裝的同義詞。
網路位址轉換 (NAT) 是將一個或多個本機 IP 位址轉換為一個或多個全域 IP 位址(反之亦然)的過程,以便為本機提供 Internet 存取。此外,它還進行連接埠號碼轉換,即在將路由到目的地的封包中用另一個連接埠號碼屏蔽主機的連接埠號碼。然後它在 NAT 表中建立對應的 IP 位址和連接埠號碼條目。 NAT通常運作在路由器或防火牆上。