思科认证：安全与效率让内网外网连接更顺畅

会计考友

平安与效率并重，一向以来都是LAN应用的主流。对于局域网内部门没有保留主要资料和数据的电脑想更流利的进行Internet应用，可考虑采用DMZ主机、虚拟处事器、启用UPnP功能等方案来达到。这样即保证了网内部门电脑与Internet通顺无阻，也在必然水平上可保障网内其它电脑免受来自Internet的病毒木马威胁。
　　一、非军事区的选择
! h; n; M9 m# q( P0 G  K　　DMZ（Demilitarized Zone）即俗称的非军事区，与军事区和信赖区相对应，浸染是把WEB、e-mail等许可外部访谒的处事器零丁接在该区端口，使整个需要呵护的内部收集接在信赖区端口后，不许可任何访谒，实现内外网分手，达到用户需求。
　　DMZ可以理解为一个分歧于外网或内网的非凡收集区域，DMZ内凡是放置一些不含神秘信息的公用处事器，好比Web、Mail、FTP等。这样来自外网的访谒者可以访谒DMZ中的处事，但不成能接触到存放在内网中的公司神秘或私人信息等，即使DMZ中处事器受到破损，也不会对内网中的神秘信息造成影响。
( i4 u3 W1 b1 Z  Z6 `　　而在P2P下载（BT等）、游戏中也要经常使用DMZ功能，因为P2P和游戏应用经常要求不受限制的双向通信，经由过程把一台电脑开放为DMZ主机而轻松的实现了LAN网内的那一台电脑与WAN的全方位毗连。
　　DMZ功能可让平安和非平安电脑划分隔来
4 r! \( ~1 F1 a  n  @( B　　每个DMZ电脑都需要一个分歧的广域网IP地址，年夜都无线路由器只撑持1台DMZ主机，少数中高档无线路由器撑持多台DMZ主机，但需要需要有多个广域网IP地址。
　　各类无线路由器的DMZ主机设置都很简单，只需在无线路由的WEB页面中找到DMZ选项，在DMZ主机的IP地址栏中输入你想设为DMZ主机的那台LAN内电脑的IP地址，然后选中启用并点击保留即可。
. U! X$ \( B+ z3 ~2 v' y/ p) j　　需要注重的是，DMZ主机后，该主机将完全吐露给广域网，可以实现双向无限制通信。但经由过程DMZ添加客户机可能会给当地收集带来不平安身分，是以对于有较高平安性需求的用户，不要等闲使用这一选项。

会计考友

　　二、虚拟处事器应用
　　虚拟处事器（Virtual Server）：对外它是单一的进口，对内有良多台计较机为它处事。对使用它的人来说，它是一台机械，有单一的进口点。
　　具体的实现手艺搜罗两种——应用层的虚拟处事器，收集层的虚拟处事器。应用层的虚拟处事器是操作应用层的转发实现的，相当于一台代办代庖处事器，这恰是经常提到的虚拟处事器。
　　以宽带路由器来说，操作系统或宽带路由器一般都集成了防火墙功能，这样WAN（广域网）中的计较机要想经由过程路由器访谒LAN（局域网）中的某些处事器，在默认情形下无法经由过程防火墙的呵护。
　　这就呈现了矛盾，防火墙或路由器即要呵护LAN收集不被侵扰，又要便利WAN正当的访谒，而虚拟处事器正可以解决这种矛盾，虚拟处事器可界说一个处事端口，所有对此端口的广域网处事请求都将被年夜头定位给经由过程IP指定的LAN中的处事器。这样外网的用户便能成功访谒局域网中的处事器，而不影响局域网内部的收集平安。
　　在LAN中虚拟处事器功能可应用规模普遍
　　
0 H5 g7 C" K6 N6 c　　好比，如不美观但愿广域打鱼户经由过程端口21访谒您的FTP处事器（皆以国内市场上据有量最年夜的TP-LINK路由器为例），FTP处事器在局域网中的IP地址为192.168.1.168，和谈选择为TCP，则您可以按照如下轨范设置，点击添加新条目按钮，点击“常用处事端口号”下拉菜单，查找FTP处事，选中“FTP”处事。
. }* h- j8 v) k　　在“常用处事端口号”中，列出了常用和谈的端口，您可以直接年夜中选择一个，系统则会将该处事的端口号、和谈类型，自动添加到对应序列的“处事端口号”和“和谈”项中，您只需要再为其指定处事器IP地址并启用即可。对于常用处事端口中没有列出的端口，如不美观需要，也可以在处事端口处手动添加。输入IP地址为“192.168.1.168”，设置条目状况为“生效”，单击保留按钮。
. r2 g) H/ Q2 V1 }" T　　、好用的发现设备
& G0 H( y. t  M2 }　　UPnP通用即插寄暌姑（Universal Plug and Play）是基于TCP/IP和谈和针对设备彼此间通信而制订的新的Internet和谈。它是一种用于PC机和智能设备或仪器的常见对等收集毗连的系统结构，尤其是在小我和办公应用中颇为适用。UPnP以Internet尺度和手艺（例如TCP/IP、HTTP和XML）为基本，使相关的设备和软件经由过程自动端口映射彼此可自动毗连和更好的协同工作，年夜而使LAN拓馇在使用时更便利更便捷。
　　UPnP以Internet尺度和手艺（例如TCP/IP、HTTP和XML）为基本，不依靠于特定的系统、编程说话或物理媒体，使这样的设备彼此可自动毗连和协同工作，年夜而使收集（尤其是家庭收集）对更多的人成为可能。
  d3 |) }5 I' ^6 j! `' `　　其可以和任何收集媒体手艺（有线或无线）协同使用。在收集节制设备的打点下，它撑持任何两个设备之间的数据通信。而且UPnP撑持零设置装备摆设收集及自动查找功能，设备可动态插手收集，获取IP地址，按照需要供给功能。
* x! |: Z3 a# t/ A# B　　如BT等P2P软件撑持UPnP自动端口映射，便可以在本机上自动完成网关端口映射的操作，可以在不作任何设置装备摆设的情形下自动在网关上打开对外端口，速度自然就可获得晋升。
* `9 G" Q6 G* b  u6 q* s$ F　　例如，Windows XP和Windows ME系统上安装的MSN Messenger，在使用音频和视频通话时就可以操作 UPnP和谈，这样原本受限于NAT的功能便可以恢复正常使用。
5 d: y/ o: k. c$ z, s0 X+ q' u　　三、UPnP可让P2P应用通顺无阻
　　其具体设置体例为，先在路由器的WEB设置页面中点击启用UPnP按钮，开启UPnP功能。当MSN Messenger等轨范在运行中使用本功能时，按刷新按钮可以看到端口转换信息。端口转换信息由应用轨范发出请求时供给。如不美观需要将某条目手工删除，请在删除栏选中该条目，再点击右侧的删除按钮，此时被选中的条目将被删除；如不美观但愿将表中所有条目删除，请点击删除所有按钮，并确认即可。不使用时可点击封锁UPnP按钮封锁UPnP功能。
, |  l0 J5 G# E  t. p　　最新的操作系统Windows Vista中将UPnP更名为了“收集发现”——收集发现是一种收集设置，该设置会影响您的计较机是否可以查看（找到）收集上的其他计较机和设置，以及收集上的其他计较机是否可以查看您的计较机。
% k4 }6 e$ y4 h# ]　　启用“收集发现”将许可您的计较机查看其他收集计较机和设备，并许可其他收集计较机上的人可以查看您的计较机，这使共享文件和打印机变得加倍轻易。Vista默认情形下，Windows防火墙阻止了收集发现功能，要启用该功能，可单击“起头→节制面板→收集和Internet”选项，单击“收集和共享中心”，单击“启用收集发现”，然后单击“应用”即可。
7 a7 Q0 ~, r$ T+ Q0 D　　四、打开非凡应用轨范
　　防火墙可以被安装在一个零丁的路由器中，用来过滤不想要的信息包，也可以被安装主机中，阐扬更直接的收集平安呵护浸染。但某些应用需要多条毗连，如Internet收集游戏、视频会议、收集电话等。因为防火墙的存在，这些轨范无法在简单的NAT路由器下工作。
) E( w8 f! A. x2 Q3 H' K　　而经由过程对非凡应用轨范的设置可使得某些这样的应用轨范能够在NAT路由器下工作。当一个应用轨范向触发端口上倡议毗连时，对应的所有开放端口将会打开，以备后续毗连并供给处事。
　　宽带路由器一般都具备非凡应用轨范功能
　　在具体设置时，在触发和谈上可以选择ALL、UDP或TCP。若不清嚣张采用哪种和谈，可以选用ALL。
; r9 `4 P. ~& Q! U3 d- ?　　在开放端口上，当向触发端口上成功倡议毗连后，对应的开放端口会打开，应用轨范便可以向该开放端口倡议后续的毗连。此处可以输入一个或者多个端口或端口段，端口段输入名目为“起头端口-竣事端口”，中心用“-”离隔，分歧的端口段用“,”离隔。
, Z) Q4 ]/ M6 }! V% L　　在“常用应用轨范”中，列出了常用的应用轨范，您可以直接年夜中选择一个，系统则会自动将该常用应用轨范的触发端口号和开放端口号添加到对应的“触发端口”和“开放端口”项中，而且会启用该条目。对于常用应用轨范中没有列出的轨范，您可以手动添加。完成设置后，点击保留按钮。