我們有一個 TL-ER6020,我們正在將其設定為「非 NAT」模式(WAN 側位於 /30 網路並路由 /29 網路)。
我希望能夠「遠端管理」路由器,但希望阻止從 WAN 端透過 HTTP 存取它。
在 Cisco RV042 上,我進行了配置,以便透過 PPTP 進入路由器,然後能夠透過其內部 IP 存取路由器。但是,該路由器已設定 NAT。
解決這個問題的正確方法是什麼?
答案1
如果您有權存取路由器內部的防火牆,我會拒絕來自 WAN 介面的 HTTP 封包。
如果從內部接受 HTTP,那麼使用 VPN 時,只需連接到 VPN,然後再進行遠端存取即可。
答案2
根據您的陳述,我的理解是內部網路和 WAN 網路都使用公共 IP 位址(因為從內部到 WAN 沒有 NAT)。
現在,因為您將內部網路視為安全網絡,所以我假設 TL-ER6020 拒絕/阻止從 WAN 到內部的所有流量,並且如果在以下位置發起連接,它可能會允許透過 WAN 的連接:內部網路。
話雖如此,以下是一些常用的方法:
安全地啟用直接遠端管理:要有效地做到這一點,您應該:
- 僅使用安全協定(HTTP、SSH 等)
- 阻止從 WAN 到 TL-ER6020 的所有連接,安全管理協定除外
- 限制允許連線的來源IP
- 使用非常強大的身份驗證機制(例如,對於 SSH,您應該使用 RSA 驗證金鑰而不是密碼/密碼短語)
如果您從具有靜態 IP/s 的網路連接到遠端設備,並且您的設備支援這些功能,那麼這是一個可行的解決方案。不幸的是,TL-ER6020似乎無法做到這一點。
透過僅限制遠端連線到 VPN 服務來減少攻擊面。值得注意的是,即使鎖定 SSH 以外的設備,也會減少攻擊面。 VPN 方法的主要優點是:
- VPN 伺服器/守護程式/服務被認為比大多數其他遠端存取服務更安全、更有彈性(Telnet 就是一個明顯的例子)。不管怎樣,SSH 或 SSL 的良好實作也會很強大。
- 當您允許多種服務時,您實際上可以減少攻擊面:例如,如果您允許透過VPN 進行FTP、HTTP 和SSH,則您將只向互聯網公開VPN 服務,從而有效地減少了需要大量維護的元件。
回到您的現實情況,鑑於選項 1 似乎不適合您的設備,您可能會選擇 VPN。
參考“在 Cisco RV042 上,我已經配置了一些內容,以便我可以通過 PPTP 進入路由器,然後能夠通過其內部 IP 訪問路由器。但是,此路由器配置了 NAT”,如果有關您的設計的假設是正確,您只需要啟動VPN連接,然後存取路由器本身的內部公共IP即可。換句話說,沒有 NAT 就意味著您必須處理分配給內部網路的真實(可能是公共)IP。