[問題]請問DMZ可以導向ROUTER嗎?!

看板Broad_Band (寬頻網路)作者 (寄居蟹)時間8年前 (2018/07/27 22:54), 8年前編輯推噓5(5078)
留言83則, 5人參與, 8年前最新討論串1/1
請問DMZ是否可以導向ROUTER ? 記得在家用級的DMZ大多是指定外網連內網中特定SERVER,以確保內網用戶的資料安全。 那假使我將外網連入ROUTER(NAT 功能開啟)。 NAT ALG 也是用於外網連內網時,可以穿越NAT與用戶端相連。 針對9Z與vaper的問題,我再解釋清楚一下。 HW NAT 運作的原理就是為了彌補家用級路由器本身CPU效能不足的問題,延伸出使用另外的晶片或是特定指令集來處理特定表頭的數據,以減緩CPU的loading,以達到提速的效果。 一般router的管理,都會經由CPU作處理,但HW NAT由於會繞過 CPU致使原本設定ACCESS ROULES(ALG)會變無效化。 所以在使用ping/tracert 時,未開使用HW NAT經由硬播得到ip端口出去,但是HW NAT開啟後metric會多了一個。 DMZ(非軍事區)目的就是將外網連內網導入獨立區(通常是服務主機且端口全開),以保障內網資訊安全。而關於這點我確實有點天馬行空,因爲這樣導入的話,有點畫蛇添足。但家用級別DMZ和企業級的DMZ還是有差別的。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.32.165.51

07/27 23:57, 8年前 , 1F
應該是無效的
07/27 23:57, 1F

07/27 23:58, 8年前 , 2F
DMZ不是拿來確保安全的
07/27 23:58, 2F

07/27 23:58, 8年前 , 3F
DMZ會使安全性變糟
07/27 23:58, 3F

07/27 23:58, 8年前 , 4F
DMZ會使安全性變糟
07/27 23:58, 4F

07/28 00:03, 8年前 , 5F
了解…
07/28 00:03, 5F

07/28 00:06, 8年前 , 6F
我對ALG不熟,看了一下,應該是讓NAT能處理「把server的ip,
07/28 00:06, 6F

07/28 00:06, 8年前 , 7F
port藏在應用層的網路協議」
07/28 00:06, 7F

07/28 00:06, 8年前 , 8F
算是NAT的應用層版本?
07/28 00:06, 8F

07/28 00:07, 8年前 , 9F
不過可以預想普通的NAT硬體加速不能處理+NAT效能下降,大概
07/28 00:07, 9F

07/28 00:07, 8年前 , 10F
07/28 00:07, 10F

07/28 00:12, 8年前 , 11F
HW NAT開啟後,ALG 就等於無效。因為沒有過CPU
07/28 00:12, 11F

07/28 00:40, 8年前 , 12F
DMZ導向router跟沒有設DMZ也沒有設port80的導向有87%
07/28 00:40, 12F

07/28 00:40, 8年前 , 13F
07/28 00:40, 13F

07/28 08:37, 8年前 , 14F
推樓上 Router開硬撥外界當然先連到Router啊
07/28 08:37, 14F

07/28 08:38, 8年前 , 15F
不懂原Po到底在公蝦小...
07/28 08:38, 15F

07/28 08:39, 8年前 , 16F
另外不是ALG無效 是HW NAT會無效化
07/28 08:39, 16F

07/28 08:49, 8年前 , 17F
只要韌體運作正常 需要丟給CPU處理的都一定會丟 放心
07/28 08:49, 17F

07/28 08:58, 8年前 , 18F
原Po說的ALG應該單純只是NAT穿透技術的一種而已
07/28 08:58, 18F

07/28 08:58, 8年前 , 19F
支援此技術的程式可以完成在特定協定上的位址和埠轉換
07/28 08:58, 19F

07/28 08:59, 8年前 , 20F
理論上HW NAT應該影響不大
07/28 08:59, 20F

07/28 22:35, 8年前 , 21F
同樓上,原po犯了新手常見錯誤,只知道功能不知原理
07/28 22:35, 21F

07/28 22:36, 8年前 , 22F
導致有很多天馬行空的想法
07/28 22:36, 22F

07/30 00:34, 8年前 , 23F
可是,實務上,家用級HW NAT開啟後,外網連到ROUTER後
07/30 00:34, 23F
※ 編輯: netpchome (114.32.165.51), 07/30/2018 01:08:04

07/30 01:08, 8年前 , 24F
※ 編輯: netpchome (114.32.165.51), 07/30/2018 01:18:45 ※ 編輯: netpchome (114.32.165.51), 07/30/2018 01:18:45

07/30 03:20, 8年前 , 25F
繞過CPU...
07/30 03:20, 25F

07/30 03:23, 8年前 , 26F

07/30 03:23, 8年前 , 27F
另外不會編輯文章的話用推文就好
07/30 03:23, 27F

07/30 03:27, 8年前 , 28F
家用產品沒那麼佛心
07/30 03:27, 28F

07/30 03:27, 8年前 , 29F
還給你多顆硬體加速晶片 這個要商用等級才有的
07/30 03:27, 29F

07/30 03:31, 8年前 , 30F
我看你的Tracert圖很正常啊 什麼叫做多了一個?!
07/30 03:31, 30F
※ 編輯: netpchome (101.14.212.211), 07/30/2018 13:27:25

07/30 13:29, 8年前 , 31F
開了HW NAT 會變成這樣
07/30 13:29, 31F

07/30 13:29, 8年前 , 32F
※ 編輯: netpchome (114.32.165.51), 07/30/2018 13:51:34

07/30 13:55, 8年前 , 33F
07/30 13:55, 33F

07/30 13:56, 8年前 , 34F
這篇文章應該說明就很清楚了。
07/30 13:56, 34F

07/30 21:59, 8年前 , 35F
1.後續增加的文章不要放回內文中,麻煩標記一下,不然誰看
07/30 21:59, 35F

07/30 21:59, 8年前 , 36F
得到啊?
07/30 21:59, 36F

07/30 22:00, 8年前 , 37F
2.DMZ是怎麼保障內網安全的這我還是想不透?
07/30 22:00, 37F

07/30 22:05, 8年前 , 38F
把設備丟到外網去怎麼會變安全啊?誘導彈嗎?
07/30 22:05, 38F

07/30 22:07, 8年前 , 39F
DMZ有分家用企業?
07/30 22:07, 39F

07/31 00:34, 8年前 , 40F
atrix 家用和商用是指設備。
07/31 00:34, 40F

07/31 00:35, 8年前 , 41F
dmz 是指(外網連內網某一個服務主機)沒有直接與內網連
07/31 00:35, 41F

07/31 00:36, 8年前 , 42F
接,而我原本的作法是不對的。
07/31 00:36, 42F

07/31 00:48, 8年前 , 43F
DMZ我懶得講惹
07/31 00:48, 43F

07/31 00:49, 8年前 , 44F
我來稍微說一下HW NAT
07/31 00:49, 44F

07/31 00:49, 8年前 , 45F
你可以把他當作類似是機場的快速通關
07/31 00:49, 45F

07/31 00:49, 8年前 , 46F
當今天沒有HW NAT的時候 每個人都要依照規定來做安檢
07/31 00:49, 46F

07/31 00:49, 8年前 , 47F
如果CPU速度不夠快 安檢的人力不足時
07/31 00:49, 47F

07/31 00:49, 8年前 , 48F
整個NAT throughput轉發速度自然就會被拉下去
07/31 00:49, 48F

07/31 00:49, 8年前 , 49F
HW NAT就好比是用機器來快速通關
07/31 00:49, 49F

07/31 00:49, 8年前 , 50F
CPU安檢的人力Loading自然就大幅降低
07/31 00:49, 50F

07/31 00:49, 8年前 , 51F
但是如果今天出現了一些突發狀況
07/31 00:49, 51F

07/31 00:49, 8年前 , 52F
要嚴格控管境外傳染病or預防恐怖攻擊時
07/31 00:49, 52F

07/31 00:54, 8年前 , 53F
整個機場的安檢層級拉高下 快速通關就形同沒有意義
07/31 00:54, 53F

07/31 00:54, 8年前 , 54F
因為只有靠CPU人力才能執行更嚴格的篩檢
07/31 00:54, 54F

07/31 00:54, 8年前 , 55F
我這樣貼近生活化的解釋 你有稍微了解了嗎?!
07/31 00:54, 55F

07/31 01:19, 8年前 , 56F
所以當你去開啟一些服務 是需要去分析篩選封包的
07/31 01:19, 56F

07/31 01:19, 8年前 , 57F
功能上會與HW NAT相衝的 有些韌體就會自動關閉HW NAT
07/31 01:19, 57F

07/31 01:24, 8年前 , 58F
一般家用分享器大致上會有兩種NAT加速方式
07/31 01:24, 58F

07/31 01:34, 8年前 , 59F
9Z大說的很正確
07/31 01:34, 59F

07/31 01:42, 8年前 , 60F
依照韌體硬體支援的程度不同分成
07/31 01:42, 60F

07/31 01:42, 8年前 , 61F
Level 1 CTF = CTF
07/31 01:42, 61F

07/31 01:42, 8年前 , 62F
Level 2 CTF = FA + CTF
07/31 01:42, 62F

07/31 01:42, 8年前 , 63F
簡單來說
07/31 01:42, 63F

07/31 01:42, 8年前 , 64F
CTF是軟體加速
07/31 01:42, 64F

07/31 01:42, 8年前 , 65F
(Cut Through Forwarding)
07/31 01:42, 65F

07/31 01:42, 8年前 , 66F
FA是硬體加速
07/31 01:42, 66F

07/31 01:42, 8年前 , 67F
(Flow Accelerator)
07/31 01:42, 67F

07/31 01:59, 8年前 , 68F
以我手邊的C7為例,高通晶片Qualcomm Atheros QCA9558
07/31 01:59, 68F

07/31 01:59, 8年前 , 69F
720MHz,用的就是level 2 CTF= FA+CTF.
07/31 01:59, 69F

07/31 02:00, 8年前 , 70F
CTF做法比較簡單 優化調整了轉發程序
07/31 02:00, 70F

07/31 02:00, 8年前 , 71F
所以使用上比較沒有限制 當然加速的力道也就比較弱
07/31 02:00, 71F

07/31 02:00, 8年前 , 72F
FA做法比較複雜 需要硬體的支援
07/31 02:00, 72F

07/31 02:00, 8年前 , 73F
所以加速的力道也就比較強 當然使用上限制就比較多
07/31 02:00, 73F

07/31 02:15, 8年前 , 74F
舉凡QoS STP 流量監控 AI Protection bla bla等等之類
07/31 02:15, 74F

07/31 02:15, 8年前 , 75F
07/31 02:15, 75F

07/31 02:15, 8年前 , 76F
都會導致FA被Disable 使用上限制很多
07/31 02:15, 76F

07/31 02:15, 8年前 , 77F
要爽用FA 基本上你就只能讓他乖乖當葛純分享器用
07/31 02:15, 77F

07/31 11:46, 8年前 , 78F
的確如此。我最近都在和TPLINK的工程師一起排除IPV6
07/31 11:46, 78F

07/31 11:56, 8年前 , 79F
可是,我不懂的是台灣ipv6採用dual stack運作,可當我
07/31 11:56, 79F

07/31 11:56, 8年前 , 80F
真的ipv6/ipv4雙軌運行的時候,C7如要實現這個論點時
07/31 11:56, 80F

07/31 11:56, 8年前 , 81F
,我必需要將所有設備的mtu設置為1480才能正常運作,
07/31 11:56, 81F

07/31 11:56, 8年前 , 82F
後來幾經波折,透過sli 修改封包表頭與mss,才能正常
07/31 11:56, 82F

07/31 11:56, 8年前 , 83F
運作。畢竟還有行動裝置的關係。
07/31 11:56, 83F
文章代碼(AID): #1RMp8FDt (Broad_Band)
文章代碼(AID): #1RMp8FDt (Broad_Band)