第10招:DMZ非軍事區是什麼?
虛擬伺服器通訊埠轉發和通訊埠觸發,這哥倆好經常還會有個跟屁蟲,稱之為DMZ(Demilitarized Zone)非軍事區。網路中的 DMZ 和軍事戰爭沒什麼關聯,被劃分到 DMZ 區域的電腦主機既不屬於外部網路也不屬於內部網路,而是1個奇特的中央緩衝區地帶。在較為嚴謹的商業應用領域,被劃入該區的電腦主機從內部網路隔離,但是可以和外部網路互動,此舉用意避免需要和外部網路互動的主機被惡意侵入,從爾導致其它無需與外部互動的內部主機也受到牽連。
可惜家用環境不是如此定義,網路路由器不但把不知道要送到哪裡的外部請求全部丟向 DMZ,且 DMZ 主機和內部網路還可相互存取。因此除非相關通訊埠轉送規則設定後也無法正常連線至內部伺服器,才建議把內部網路主機劃分到 DMZ。
第11招:架設VPN伺服器
在台灣這個自由國度談到架設 VPN(Virtual Private Network)虛擬私人網路,大家首先聯想的就是翻牆,利用 VPN 跳過中國網路長城的連線封鎖,瀏覽或是使用當局不允許連結的網路功能或是服務。VPN 雖然能夠提供此類型態的服務,但是其功能卻不止於此,譬如 site-to-site VPN 能夠讓兩地網路如同位於相同的私人網域一般,讓連線設備自由的存取彼此所提供的服務,而無需擔心該如何在裝置上設定路由,只需要在單一網路路由器內部設定即可。
VPN 實作方式有相當多種,大多數家用網路路由器均會提供 PPTP,較為高階的機型才會提供L2TP、Open VPN 等服務。在網頁管理介面設定完成帳號密碼之後,即可透過此資訊連線,有需要的話也別忘了先行設定 DDNS,定時更新網址對應的 IP 位址。
第12招:建立site-to-site VPN連線
當我們建立好 VPN 伺服器之後,接下來就是利用我們建立的帳號密碼,以 IP 位址或是 DDNS 網址的方式連線至該 VPN 伺服器。不過 VPN 伺服器的效能通常相當有限,無法同時應付太多的連線數量,即便是企業級的產品也是如此。幸好我們能夠利用 site-to-site VPN 的方式,使用兩個網路路由器對接 VPN 通道,如此一來這兩個網路路由器後端所連線的上網裝置就處在同一網域下,如此便可省下 VPN 伺服器維護多組連線的效能。
在 VPN 發明並大量普及之前,企業分公司間若要享受在同一網域的方便性,就需要找 ISP 建立專線,藉由 ISP 以及其它協同業者設定專線網路路由,想當然耳所費不貲。VPN 雖然不如專線網路來得穩定,卻是相當經濟且能夠接受的方案,一般市井小民也可以負擔得起。
第13招:調用SPI防火牆,詳細過濾資訊封包
NAT 負責內部網路多台連線裝置共同分享使用1組外部網路 IP 的機制,因此若是內部網路裝置沒有先行發起連線請求,NAT 自然也就沒有外部網路和內部網路的對應表,因此從外部網路進來的可疑連線自然就會被丟棄,此為 NAT 防火牆運作機制。
另外還有一種更為進階的 SPI(Stateful Packet Inspection)狀態封包檢查防火牆,除了 NAT 的運作機制之外,還會針對每個從外部進來的封包進行狀態檢查,包含來源位址、目的位址、來源埠、目的埠、協定類型、連結狀態等更為深入的分析,若發現異常就不會將此資料封包傳入內部網路。不過 SPI 有時會造成遊戲或是一些特殊應用程式無法正常運作,因此多數家用路由器具備 SPI 的啟閉選項,讓使用者根據實際需求選擇使用。
第14招:過濾特定網址,自己當守門員
當家中有小朋友使用3C 產品的時候,做父母的總是希望上網顯示內容與操作時間能夠控管,或至少等到假日不用上學時再大幅度開放。這種功能可以利用網路路由器內部的功能達到,較為詳盡的項目為網址過濾,使用者設定黑名單或是白名單網址之後,藉由這台上網的裝置就會受到相關限制。
所謂黑名單就是負向表列,在這個名單當中的網址將無法存取,適合小孩子瀏覽少數網站時間太長的情況,直接封鎖那幾組網址使其無法連結;與黑名單相反的白名單為正向表列,僅能存取這個名單當中的網址,比較適合嚴格控管的狀況,平常上學日僅開放學校網頁、維基百科、電子郵件等必須服務,假日時才把白名單關閉,讓小朋友無限制的存取網際網路。
下一頁更精彩!
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!