子网划分的基本作用
在大多数中小型企业或高级家庭网络中,随着设备数量增多,直接把所有设备放在同一个局域网里已经不够用了。比如你家里有智能摄像头、NAS存储、公网可访问的Web服务器,如果全都和手机、电脑在一个网段,一旦某个设备被攻破,整个内网就可能沦陷。
这时候就需要做子网划分。通过划分子网,可以把不同用途的设备隔离在各自的网段中。比如办公设备一个子网,监控设备一个子网,服务器再单独一个子网。这样即使某个子网出问题,也不会轻易波及到其他部分。
什么是DMZ区域
DMZ(Demilitarized Zone),中文叫“非军事区”,听起来挺玄乎,其实就是一个专门用来放对外服务设备的网络区域。比如公司要架设一个官网服务器,必须让外网能访问到它,但又不能让它直接连通内网核心资源。
DMZ就是这个中间地带。它既能被外网访问,又能限制它对内网的访问权限。相当于你在家门口设了个接待室,访客可以进来喝茶,但进不了你卧室和书房。
如何配置子网与DMZ
假设你用的是常见的三层网络架构:内网、DMZ、外网。路由器或防火墙作为网关设备,承担子网隔离和策略控制的任务。
以一台支持VLAN和ACL的企业级路由器为例,可以这样规划IP地址:
内网子网:192.168.1.0/24
DMZ子网:192.168.2.0/24
外网接口:通过PPPoE或静态公网IP接入接着在路由器上创建两个VLAN:
VLAN 10 - 内网,对应端口1-8
VLAN 20 - DMZ,对应端口9-10然后为每个VLAN配置对应的三层接口:
<interface Vlan-interface10>
ip address 192.168.1.1 255.255.255.0
</interface>
<interface Vlan-interface20>
ip address 192.168.2.1 255.255.255.0
</interface>设置防火墙规则
关键来了——规则控制。DMZ里的服务器允许被外网访问,但不能主动访问内网。可以在防火墙上配置ACL:
rule 1: 允许外网访问DMZ的80和443端口(HTTP/HTTPS)
rule 2: 禁止DMZ访问内网子网(192.168.1.0/24)
rule 3: 允许内网访问DMZ(方便管理员维护)
rule 4: 禁止DMZ发起对外网的其他高风险连接(如P2P)这些规则确保了DMZ服务器可以正常提供服务,同时不会成为攻击者跳入内网的跳板。
实际应用场景举例
某小型电商公司自己搭了一台Web服务器放在办公室,不想用云主机。他们把这台服务器接到DMZ端口,分配IP为192.168.2.10,并在路由器上做端口映射:公网IP的443端口指向192.168.2.10。
员工日常办公使用192.168.1.x的内网,财务系统、客户数据库都不对外开放。即使Web服务器被植入恶意脚本,攻击者也很难从DMZ横向移动到内网。
这种结构既节省成本,又提升了安全性,特别适合预算有限但对安全有一定要求的单位。
常见误区提醒
有人觉得“只要加个密码就安全”,于是把数据库服务器直接暴露在公网,这是非常危险的操作。还有人把DMZ和内网之间开通了全通规则,等于白忙活一场。
另外,别忘了定期更新DMZ内设备的系统和软件补丁。因为它是前线区域,更容易受到扫描和攻击。可以配合日志审计工具,监控异常访问行为。
子网划分和DMZ配置不是一步到位的事,需要根据业务变化不断调整。比如新增一个API网关服务,就得考虑是否放入DMZ,还是放在反向代理之后的内网区域。