端口映射和DMZ的区别
一、概念什么是端口映射
在网络技术中,端口(Port)有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口,如RJ-45端口、Serial端口等。我们这里所说的端口,不是计算机硬件的I/O端口,而是软件形式上的概念。服务器可以向外提供多种服务,比如,一台服务器可以同时是WEB服务器,也可以是FTP服务器,同时,它也可以是邮件服务器。为什么一台服务器可以同时提供那么多的服务呢?其中一个很主要的方面,就是各种服务采用不同的端口分别提供不同的服务,比如:WEB采用80端口,FTP采用21端口等。这样,通过不同端口,计算机与外界进行互不干扰的通信。我们这里所指的端口不是指物理意义上的端口,而是特指TCP/IP协议中的端口,是逻辑意义上的端口。端口映射:内网的一台电脑要上因特网,就需要端口映射。端口映射分为动态和静态.动态端口映射:内网中的一台电脑要访问新浪网,会向NAT网关发送数据包,包头中包括对方(就是新浪网)IP、端口和本机IP、端口,NAT网关会把本机IP、端口替换成自己的公网IP、一个未使用的端口,并且会记下这个映射关系,为以后转发数据包使用。然后再把数据发给新浪网,新浪网收到数据后做出反应,发送数据到NAT网关的那个未使用的端口,然后NAT网关将数据转发给内网中的那台电脑,实现内网和公网的通讯.当连接关闭时,NAT网关会释放分配给这条连接的端口,以便以后的连接可以继续使用。动态端口映射其实也就是NAT网关的工作方式。静态端口映射: 就是在NAT网关上开放一个固定的端口,然后设定此端口收到的数据要转发给内网哪个I和端口,不管有没有连接,这个映射关系都会一直存在。就可以让公网主动访问内网的一个电脑。
什么是DMZ
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
二、区别
端口映射只是映射指定的端口,DMZ相当于映射所有的端口,并且直接把主机暴露在网关中,比端口映射方便但是不安全。
下面分别举例说明,端口映射和DMZ(图一为端口映射;图二为DMZ)
说明内网WEB服务器IP:192.168.1.254 对外端口:80 路由:海蜘蛛VIP版
[attach]17765[/attach]
[attach]17766[/attach] 那命令配子如何搞定? 个人感觉DMZ比端口映射更安全,端口映射的主机一旦该端口有漏洞被攻击者控制,则整个内网皆暴露于视野之中;而DMZ中的主机就算被攻破,要进入内网还需经过防火墙这道关卡:victory: 谢啦 DMZ也可以开放个别端口,主要的区别支持3楼的说法,DMZ和内网之间可以通过防火墙做访问控制,对于内网更安全些。 学习 很详细的说明。学习了 3楼说的不错,DMZ确实不断口映射要安全多. 学习中 学习了,讲的很好 所谓端口映射和DMZ是完全不同的东西,也没有可比较的东西,一个是安全区域的概念,一个是服务映射的技术,何来比较,不知道楼主从哪里转载的资料,千万别是国内每个厂商的手册!
DMZ这个应当是很早的理念,现在大家更多的用安全区域去看问题
安全区域:具备相同安全需求特性的组织,如我们说的外网区、服务器区、财务区、领导区,将他们划分在某个网段,对其它安全区域而言具备相同或类似的访问和被访问权限;
地址转换:分为一对一的映射及一对多,各公司说法不同,我比较赞同juniper的说法,如VIP/MIP
大家如果真的想了解防火墙方面的知识,可以参照juniper的防火墙概念手册,可在此处下载(较早的版本,新版本可找官方网站free下载的,中文)
[url]http://www.netexpert.cn/thread-5828-1-1.html[/url] :L
没听过的东西太多了.暂了解一下先,
页:
[1]