MỘT SỐ KIẾN THỨC CƠ BẢN VỀ DMZ ROUTER

DMZ là một phân vùng trong mạng LAN, nơi truy cập vào các thiết bị từ bên ngoài được mở tối đa. Để dễ hình dung về DMZ, hãy tưởng tượng một ngôi nhà có nhiều phòng. Nếu bạn là chủ nhà, bạn sẽ bố trí thế nào với những tài sản cá nhân? Thông thường, những vật dụng gì mang tính cá nhân hoặc có giá trị như quần áo, tiền bạc, sổ nhật ký, ... sẽ được cất trong những căn phòng riêng tư, như phòng ngủ chẳng hạn. Còn những đồ đạc mà khách ghé thăm có thể tiếp cận nhanh nhất như ấm chén, phích nước, một số tranh ảnh, ... sẽ được bố trí ngoài phòng khách. Không ngẫu nhiên mà từ “ngoài” được sử dụng, ở đây phòng khách giống như một nơi “mở” đối với người ngoài, các phòng còn lại thuộc về phần riêng tư.

Bây giờ quay trở lại với mạng LAN trên cơ sở router wifi. Các router wifi đều có tường lửa có thể ngăn chặn các truy cập nào từ bên ngoài vào các thiết bị bên trong mạng LAN. Lúc này mạng LAN giống như một căn nhà khép kín hoàn toàn, không chào đón bất kỳ vị khách nào. Nếu bạn muốn mở cửa với khách nhưng vẫn giữ lại phần riêng tư của mình thì cần làm gì? Ví dụ như trong trường hợp cần chạy máy chủ web server, máy chủ chia sẻ tệp tin qua giao thức FTP, ... Lúc này có lẽ bạn sẽ cần ngăn ra một căn phòng riêng để làm phòng khách và trong mạng LAN, phân vùng tương ứng với phòng khách đó chính là DMZ – nơi cho phép sự truy cập từ bên ngoài vào. Như vậy DMZ là phân vùng được đặt bên ngoài của tường lửa router. Thực tế thì phòng khách cũng có một lớp cửa bên ngoài để bảo vệ khỏi kẻ gian nên tương tự như vậy, nhiều router có hỗ trợ tường lửa kép, trong đó bên ngoài DMZ còn thêm một lớp tường lửa nữa để bảo vệ các thiết bị bên trong nó. Tuy nhiên, vì các thiết bị được mở hoàn toàn cho các kết nối từ bên ngoài vào nên khả năng bảo mật là không cao.

Nhiều nguồn trên mạng cho rằng DMZ tạo ra một lớp bảo mật bổ sung cho LAN, nghe giống như tăng tính bảo mật, nhưng thực ra các thiết bị trong vùng DMZ rất dễ bị tấn công, trong khi chúng lại được kết nối với các thiết bị khác bên trong mạng LAN. Điều này cho thấy khả năng bảo mật của cả hệ thống có thể bị giảm xuống, do đó phải cân nhắc thật kỹ trước khi sử dụng tính năng DMZ hoặc tốt nhất hãy sử dụng một router riêng cho nhóm thiết bị đặt trong phân vùng đó.

Nghe có vẻ hơi dài dòng nhưng thực ra việc thiết lập phân vùng DMZ cho router khá đơn giản. Lấy ví dụ router Linksys EA2750, đầu tiên cần truy cập vào trình quản lý router qua giao diện web.

Giao diện trình quản lý router

Tìm đến mục Security/DMZ ở thanh menu bên trái trình quản lý. Tại đây, gạt nút điều khiển sang phải để bật tính năng DMZ. Ở phần “Source IP Address” chọn khoảng địa chỉ IP được phép truy cập vào thiết bị trong vùng DMZ, hoặc chọn “Any IP Address” nếu cho phép bất kỳ truy cập nào. Ở cột bên phải “Destination IP Address” điền địa chỉ IP của thiết bị mà bạn muốn đưa vào phân vùng DMZ, hoặc có thể chọn điền thông tin theo địa chỉ MAC. Thiết bị đặt trong phân vùng DMZ được gọi là DMZ Host và phải được đặt IP ở chế độ tĩnh (static IP). Nhấn Apply, sau đó nhấn OK là bạn đã hoàn tất các thiết lập cần thiết.

Thiết lập router DMZ

VIỆN IMCTòa nhà IMC Tower, Số 176 Trường Chinh, Phường KhươngThượng, Quận Đống Đa, Thành phố Hà Nội, Việt NamTel/Fax : (+84) 24 3566 6232 / 24 3566 6234Email: contact@imc.org.vn   Website: http://imc.org.vn