網(wǎng)管支招：手把手彌補(bǔ)DMZ缺陷

作為企業(yè)網(wǎng)絡(luò)管理員的我們一方面要保證企業(yè)內(nèi)網(wǎng)速度通常，另一方面又要確保企業(yè)內(nèi)網(wǎng)各個(gè)員工計(jì)算機(jī)不受病毒和黑客的侵襲。那么我們是否能夠有辦法讓兩手抓兩手都要硬呢?答案是肯定的，今天就請(qǐng)各位跟隨筆者一起通過巧妙設(shè)置彌補(bǔ)DMZ堡壘主機(jī)的先天缺陷，讓我們可以兼顧安全與速度。
    一，DMZ堡壘主機(jī)的缺陷：
    首先我們要知道DMZ堡壘主機(jī)設(shè)置是在企業(yè)網(wǎng)絡(luò)中最常用的方法，一般來說連接在企業(yè)內(nèi)網(wǎng)或者路由交換設(shè)備下屬的計(jì)算機(jī)都應(yīng)該算做內(nèi)網(wǎng)，在內(nèi)網(wǎng)中的計(jì)算機(jī)聯(lián)網(wǎng)時(shí)會(huì)遇到種種麻煩，例如服務(wù)無法直接通訊，P2P軟件無法獲得高ID等等。正常情況下網(wǎng)絡(luò)管理員可以通過開啟路由交換設(shè)備的DMZ功能，讓DMZ區(qū)域中的計(jì)算機(jī)可以如同外網(wǎng)直接連接一樣，從而突破上述限制。
    但是在實(shí)際使用過程中卻出現(xiàn)了兩個(gè)問題，首先DMZ堡壘主機(jī)下的計(jì)算機(jī)與完全*露在Internet外網(wǎng)一樣，很容易受到外部入侵和病毒的攻擊;另一方面DMZ主機(jī)設(shè)置需要單獨(dú)劃分網(wǎng)段，對(duì)于中低端路由交換設(shè)備來說DMZ主機(jī)往往只能設(shè)置一臺(tái)或者幾臺(tái)，無法靈活的開啟。
    二，步步為營(yíng)解決DMZ堡壘主機(jī)缺陷：
    正因以上兩大問題造成了中小企業(yè)在應(yīng)用DMZ堡壘主機(jī)時(shí)遇到了一些麻煩，如何既通過路由交換設(shè)備保護(hù)內(nèi)網(wǎng)計(jì)算機(jī)又可以針對(duì)多臺(tái)計(jì)算機(jī)的DMZ發(fā)布或解決內(nèi)網(wǎng)應(yīng)用限制呢?下面就請(qǐng)各位讀者跟隨筆者一起手把手彌補(bǔ)DMZ功能缺陷。
    第一步：一般情況當(dāng)我們的計(jì)算機(jī)處于內(nèi)網(wǎng)中進(jìn)行下載或其他網(wǎng)絡(luò)應(yīng)用時(shí)往往會(huì)發(fā)現(xiàn)速度非常不理想，網(wǎng)絡(luò)狀態(tài)處于受限，相關(guān)下載只有幾KB/S。
    第二步：雖然我們可以通過路由交換設(shè)備的DMZ主機(jī)設(shè)置來突破這種限制，但是大部分中低端路由交換設(shè)備都只容許我們?cè)O(shè)置一個(gè)IP地址作為DMZ主機(jī)，因此在使用上非常不方便。
    第三步：要想徹底突破DMZ堡壘主機(jī)功能的缺陷我們就需要從本機(jī)下手，首先查看“網(wǎng)上鄰居”->“屬性”，在這里會(huì)看到對(duì)應(yīng)的本地連接情況。
    第四步：如果擁有“Internet 網(wǎng)關(guān)”顯示圖標(biāo)的話我們只需要開啟路由交換設(shè)備的UPNP功能就可以實(shí)現(xiàn)速度的突破以及內(nèi)網(wǎng)安全防護(hù)雙功能了。如果沒有“Internet 網(wǎng)關(guān)”信息那么可以按照接下來的步驟添加開啟。
    第五步：要想讓本機(jī)具備“Internet 網(wǎng)關(guān)”圖標(biāo)而支持UPNP功能就需要通過“開始”->“運(yùn)行”->“輸入services.msc”，然后進(jìn)入服務(wù)設(shè)置窗口，找到SSDP Discovery Service和Universal Plug and Play Device Host兩項(xiàng)服務(wù)將其設(shè)置為啟動(dòng)。
    小提示：
    在實(shí)際使用過程中由于之前SSDP服務(wù)出過嚴(yán)重的安全問題，所以各位讀者在使用internet網(wǎng)關(guān)時(shí)也要在安全與速度兩方面找到平衡點(diǎn)，根據(jù)實(shí)際需要去設(shè)置。實(shí)際上internet網(wǎng)關(guān)與uPnP是一個(gè)整體，UPNP是局域網(wǎng)的一個(gè)協(xié)議，其中uPNP服務(wù)是server，SSDP服務(wù)是客戶端。目前最常用的有兩個(gè)服務(wù)使用這個(gè)協(xié)議，一個(gè)就是哪個(gè)Internet網(wǎng)關(guān)。還有一個(gè)就是媒體共享。
    第六步：接下來回到路由交換設(shè)備中開啟UPNP服務(wù)，保存設(shè)置后退出。
    第七步：之后打開本機(jī)的“控制面板”->“添加刪除程序”->“添加刪除windows組件”。
    第八步：在添加刪除Windows組件中找到“網(wǎng)絡(luò)服務(wù)”，然后選中點(diǎn)“詳細(xì)信息”按鈕。
    第九步：在“網(wǎng)絡(luò)服務(wù)”詳細(xì)信息中我們將UPNP用戶界面選中，確定后保存退出。
    第十步：之后系統(tǒng)會(huì)自動(dòng)安裝相關(guān)服務(wù)，復(fù)制必須文件到本地硬盤。
    第十一步：在本機(jī)安裝了UPNP功能后我們?cè)赪indows防火墻中的例外標(biāo)簽下將會(huì)看到“UPNP框架”一欄，將其選中后表示容許UPNP數(shù)據(jù)通過防火墻傳輸。
    第十二步：全部設(shè)置完畢后我們?cè)俅芜M(jìn)入“網(wǎng)上鄰居”->“屬性”，在這里將會(huì)看到新出現(xiàn)的“internet網(wǎng)關(guān)”圖標(biāo)。這個(gè)就是關(guān)鍵的UPNP服務(wù)。
    第十三步：在本機(jī)開啟了UPNP功能出現(xiàn)“internet網(wǎng)關(guān)”圖標(biāo)并配合路由交換設(shè)備上開啟UPNP功能后，我們?cè)诒緳C(jī)進(jìn)行相關(guān)網(wǎng)絡(luò)服務(wù)和應(yīng)用時(shí)就會(huì)感受到速度的大幅度提高，同時(shí)網(wǎng)絡(luò)狀態(tài)也從受限變?yōu)檎！?BR>    三，巧設(shè)置讓UPNP只為我服務(wù)：
    平時(shí)我們接觸最多的UPNP(universal plug and play device hos)功能廣泛用在P2P軟件中，相信不好讀者在安裝BT工具時(shí)都會(huì)讓其自身的UPNP功能啟用，不過如果僅僅啟動(dòng)UPNP功能而沒有開啟SSDPSRV(SSDP Discovery service)服務(wù)的話，UPNP是無法工作的，我們從服務(wù)中的依存關(guān)系也可以清晰的看到這個(gè)關(guān)聯(lián)。
    那么我們?nèi)绾尾拍軌蛲ㄟ^巧妙設(shè)置讓UPNP只為某個(gè)網(wǎng)絡(luò)應(yīng)用所服務(wù)呢?筆者以電驢為例進(jìn)行介紹。我們將電驢的“放行”信息添加到internet網(wǎng)關(guān)規(guī)則中，首先查看電驢使用的通訊端口，通過電驢程序的選項(xiàng)->連接窗口可以看到客戶端口相關(guān)信息，包括使用的TCP端口為4168，使用的UDP端口為4178。當(dāng)然各位讀者使用時(shí)的實(shí)際端口可以有所區(qū)別，我們記錄這些端口號(hào)即可。
    接下來我們?cè)俅畏祷氐絠nternet網(wǎng)關(guān)圖標(biāo)屬性中的“設(shè)置”窗口，選擇“添加”按鈕輸入新規(guī)則，接下來的操作就非常簡(jiǎn)單了，依次輸入服務(wù)名稱，本機(jī)IP地址以及服務(wù)使用的外部端口號(hào)，內(nèi)部端口號(hào)，這里有一個(gè)簡(jiǎn)單的方法就是讓外部和內(nèi)部端口號(hào)都一致即可。除了設(shè)置TCP端口規(guī)律規(guī)則外我們還要繼續(xù)添加UDP端口規(guī)則。
    添加完畢確定，再次登錄電驢我們會(huì)看到ID信息又回到了高ID，我們的下載上傳速度又沒有任何限制了。要知道這可是在沒有設(shè)置DMZ堡壘主機(jī)的情況下完成的突破限制功能。
    四，總結(jié)：
    通過本文我們可以完全擺脫針對(duì)路由器上進(jìn)行所謂的DMZ堡壘主機(jī)的設(shè)置，而且也不用再為堡壘主機(jī)可用IP地址數(shù)量局限所煩惱了，經(jīng)過本文介紹我們可以直接在本機(jī)上針對(duì)某個(gè)服務(wù)某個(gè)應(yīng)用進(jìn)行突破限制操作，從而讓網(wǎng)絡(luò)應(yīng)用更加靈活，要知道單純的開啟DMZ堡壘主機(jī)會(huì)將所有網(wǎng)絡(luò)應(yīng)用的限制都解除，而通過internet網(wǎng)關(guān)來設(shè)置規(guī)則只會(huì)針對(duì)規(guī)則中涉及到的服務(wù)與應(yīng)用來解除限制，這樣我們就可以更好的使用家庭網(wǎng)絡(luò)，更加靈活的配置各個(gè)網(wǎng)絡(luò)程序。