網絡訪問究竟是要速度,還是保安全?這樣的問題,一直以來都困擾着網絡管理員。事實上,在局域網工作環境中,那些沒有存儲重要數據信息以及文件資料的普通工作站在通過局域網網絡訪問Internet網絡時,可以嘗試使用UPnP功能、虛擬轉發、DMZ功能、觸發端口等多種技術來讓Internet網絡訪問兼顧速度與安全;通過這樣的技術,我們既能保證局域網中的普通工作站可以高速順暢地訪問Internet網絡中的內容,又能在一定程度上“護駕”普通工作站系統的上網安全,以避免它們遭遇來自Internet網絡病毒與***的非法襲擊。
使用UPnP功能,保證網絡速度與安全
所謂UPnP功能,其實就是通用即插即用功能,這種功能是在TCP/IP協議的基礎上開發、制定的針對設備相互通訊的新Internet協議,這種協議常用於對等網絡連接結構,在辦公和個人應用中比較受歡迎。UPnP功能以HTTP、TCP/IP標準和XML技術爲基礎,使相關的應用程序和網絡設備自動藉助端口映射功能彼此能夠自動連接,並且能夠自動進行協同工作,從而使網絡訪問操作變得更快捷、簡便。UPnP功能支持任意兩個網絡設備之間的信息通訊,支持UPnP功能的網絡設備能夠方便地動態加入到指定的網絡中,並能自動獲得IP地址。
要正常使用UPnP功能時,我們先要將本地Windows的UPnP功能啓用起來;在Windows XP系統環境下啓用UPnP功能時,我們可以依次單擊系統桌面中的“開始”/“設置”/“控制面板”菜單選項,打開對應系統的控制面板窗口,用鼠標雙擊其中的“添加或刪除程序”功能選項,進入添加或刪除程序列表界面;
用鼠標單擊該列表界面中的“添加/刪除Windows組件”選項卡,當屏幕上出現Windows組件安裝嚮導對話框時,從該對話框中選中“網絡服務”選項,同時單擊該選項下面的“詳細信息”按鈕,打開對應系統的網絡服務組件列表框,看看“UPNP用戶界面”項目此時有沒有被選中,如果發現它還沒有被選中時,我們只要重新選中它,再單擊“確定”按鈕執行保存操作,這樣的話Windows XP系統內置的UPNP功能就能被啓用成功了。
一旦本地系統的UPNP功能被啓用好後,我們再設置一下局域網路由器,以便讓其也能夠支持UPNP功能。通常情況下,路由器設備都具有UPNP功能,不過該功能在默認狀態下並不會自動啓用,我們可以嘗試按照下面的操作來將該功能啓用起來:
首先運行IE瀏覽器程序,在對應瀏覽窗口的地址框中輸入路由器設備缺省的後臺管理地址,之後輸入該設備的後臺管理員賬號,打開路由器設備的後臺管理界面;
在對應配置頁面中單擊“路由”選項卡,打開路由參數設置頁面,點選其中的“轉發”選項卡,在其後出現的選項設置頁面中單擊“啓用UPNP”按鈕,最後記得執行保存操作,並重新啓動一下路由器設備,那樣的話路由器自帶的UPNP功能也被成功打開了。
使用虛擬轉發,保證網絡速度與安全
對於應用層來說,虛擬服務器其實是通過轉發技術實現網絡訪問目的的,它的作用與我們平時提到的局域網代理服務器幾乎相同;對於網絡訪問者來說,虛擬服務器實際上可看成是一臺普通的上網工作站,它有單一的網絡訪問入口點;對於局域網網絡來說,虛擬服務器其實是整個局域網訪問外部網絡或Internet網絡的唯一出口,局域網中的所有工作站都可以爲它服務。
局域網網絡通過寬帶路由器訪問外部網絡時,爲安全起見,網絡管理員往往都會在寬帶路由器設備中啓用網絡防火牆功能,那樣一來外部網絡或Internet網絡中的普通工作站要想通過寬帶路由器訪問局域網內部的某些資源服務器時,在缺省狀態下是無法通過防火牆保護的。這時就發生了矛盾,寬帶路由器的防火牆功能雖然有效保護了局域網網絡不被非法***,但是又影響了外部網絡的合法、高速訪問,而巧妙地使用虛擬服務器,往往可以讓網絡訪問同時兼顧速度與安全,因爲虛擬服務器常常能夠允許用戶自行定義一個網絡服務端口,所有連接訪問該端口的外部網絡服務請求都能夠被重新定位轉發到局域網內部的特定工作站或服務器上,如此一來外部網絡或Internet網絡中的普通工作站就能高速地訪問到局域網內部的特定工作站或服務器了,這個網絡訪問過程並不會影響局域網網絡的運行安全性。
要是我們希望外部網絡的工作站只能通過21端口訪問IP地址爲10.176.6.12的FTP服務器時,我們可以先以系統管理員身份進入路由器的後臺管理界面,單擊“添加新條目”按鈕,從“常用服務端口號”下拉列表中找到FTP服務,並將該服務選項選中,接着再爲這個訪問條目設置好目標服務器的IP地址,同時將該設置條目的工作狀態修改爲“生效”,最後執行保存操作,如此一來外部網絡的普通工作站日後只能通過虛擬服務器間接訪問局域網內部的指定FTP服務器,而不會直接訪問到局域網網絡了。
使用端口觸發,保證網絡速度與安全
我們知道,在局域網寬帶路由器中我們可以使用防火牆功能,來將一些非法的數據信息包過濾掉,在普通的工作站系統中我們也可以安裝設置防火牆程序,來保護本地工作站系統訪問網絡的安全。然而在實際訪問網絡的過程中,一些特殊的網絡應用可能要與Internet網絡同時建立多個網絡連接,比方說網絡電話連接、Internet網絡遊戲連接以及視頻會議連接等。不過,考慮到防火牆程序的啓用,這些特殊的網絡應用可能無法簡單地在路由器的NAT方式下工作。
爲了保證這些特殊應用能夠穿過防火牆的限制,順利地訪問外部網絡,我們可以嘗試通過端口觸發的方式來讓這些特殊應用正常工作於NAT路由器下。當某個網絡應用程序向路由器的觸發端口上發起網絡連接時,那麼相關的所有開放網絡端口都會自動處於打開狀態,如此一來後續網絡連接就能被成功創建,那樣一來這些特殊應用就能穿過防火牆限制了。
通常狀態下,目前市面上使用的寬帶路由器都支持端口觸發功能。在設置寬帶路由器的端口觸發參數時,我們必須根據特殊應用訪問網絡時所使用到的協議來正確選用合適的觸發協議,例如我們可以選用UDP、TCP或ALL,要是我們不清楚特殊應用究竟採用了哪種通信協議時,我們不妨將觸發協議設置成ALL。
當特殊網絡應用向路由器的觸發端口上成功發起網絡連接後,對應的所有開放端口也會處於打開狀態,此時該網絡應用就能向該開放的通信端口發起後續的網絡連接。
使用DMZ功能,保證網絡速度與安全
所謂DMZ功能,其實就是我們常說的非軍事區功能,這個功能與軍事區、信任區功能相對應,藉助該功能我們可以把那些允許Internet網絡訪問的WEB服務器、電子郵件服務器等單獨接入到非軍事區端口,而將局域網中的其他服務器以及普通工作站接在軍事區端口,那樣一來來自Internet網絡的任意一臺工作站將無法訪問到局域網內網,但可以訪問到連接在DMZ區域的WEB服務器、電子郵件服務器,從而實現了內網、外網邏輯分離的目的,保證了局域網網絡的訪問安全。
DMZ區域可以理解成一個完全不同於內網、外網的中間網絡區域,連接到這個區域的各種服務器往往不包含重要的隱私信息以及機密信息,而是專門供公衆訪問的一些公用信息,比方說普通網站信息、電子郵件信息等。這樣,來自Internet網絡的普通工作站都能正常訪問到DMZ區域中的各種服務,不過無法訪問到保存在局域網內部的機密信息,即使連接到DMZ區域中的重要服務器發生了故障,局域網內部也不會受到安全***。
在設置DMZ主機時,我們只要先進入到局域網路由器的後臺管理界面,從中找到DMZ參數設置選項,然後將DMZ主機的IP地址設置爲那臺局域網內目標服務器的IP地址,再選中“啓用”選項,同時執行保存操作就可以了。