網(wǎng)絡(luò)訪問究竟是要速度，還是保安全？這樣的問題，一直以來都困擾著網(wǎng)絡(luò)管理員。事實(shí)上，在局域網(wǎng)工作環(huán)境中，那些沒有存儲(chǔ)重要數(shù)據(jù)信息以及文件資料的普通工作站在通過局域網(wǎng)網(wǎng)絡(luò)訪問Internet網(wǎng)絡(luò)時(shí)，可以嘗試使用UPnP功能、虛擬轉(zhuǎn)發(fā)、DMZ功能、觸發(fā)端口等多種技術(shù)來讓Internet網(wǎng)絡(luò)訪問兼顧速度與安全；通過這樣的技術(shù)，我們既能保證局域網(wǎng)中的普通工作站可以高速順暢地訪問Internet網(wǎng)絡(luò)中的內(nèi)容，又能在一定程度上“護(hù)駕”普通工作站系統(tǒng)的上網(wǎng)安全，以避免它們?cè)庥鰜碜訧nternet網(wǎng)絡(luò)病毒與木馬的非法襲擊。

1.使用UPnP功能，保證網(wǎng)絡(luò)速度與安全

所謂UPnP功能，其實(shí)就是通用即插即用功能，這種功能是在TCP/IP協(xié)議的基礎(chǔ)上開發(fā)、制定的針對(duì)設(shè)備相互通訊的新Internet協(xié)議，這種協(xié)議常用于對(duì)等網(wǎng)絡(luò)連接結(jié)構(gòu)，在辦公和個(gè)人應(yīng)用中比較受歡迎。UPnP功能以HTTP、TCP/IP標(biāo)準(zhǔn)和XML技術(shù)為基礎(chǔ)，使相關(guān)的應(yīng)用程序和網(wǎng)絡(luò)設(shè)備自動(dòng)借助端口映射功能彼此能夠自動(dòng)連接，并且能夠自動(dòng)進(jìn)行協(xié)同工作，從而使網(wǎng)絡(luò)訪問操作變得更快捷、簡便。UPnP功能支持任意兩個(gè)網(wǎng)絡(luò)設(shè)備之間的信息通訊，支持UPnP功能的網(wǎng)絡(luò)設(shè)備能夠方便地動(dòng)態(tài)加入到指定的網(wǎng)絡(luò)中，并能自動(dòng)獲得IP地址。

要正常使用UPnP功能時(shí)，我們先要將本地Windows的UPnP功能啟用起來；在Windows XP系統(tǒng)環(huán)境下啟用UPnP功能時(shí)，我們可以依次單擊系統(tǒng)桌面中的“開始”/“設(shè)置”/“控制面板”菜單選項(xiàng)，打開對(duì)應(yīng)系統(tǒng)的控制面板窗口，用鼠標(biāo)雙擊其中的“添加或刪除程序”功能選項(xiàng)，進(jìn)入添加或刪除程序列表界面；

用鼠標(biāo)單擊該列表界面中的“添加/刪除Windows組件”選項(xiàng)卡，當(dāng)屏幕上出現(xiàn)Windows組件安裝向?qū)?duì)話框時(shí)，從該對(duì)話框中選中“網(wǎng)絡(luò)服務(wù)”選項(xiàng)，同時(shí)單擊該選項(xiàng)下面的“詳細(xì)信息”按鈕，打開對(duì)應(yīng)系統(tǒng)的網(wǎng)絡(luò)服務(wù)組件列表框，看看“UPnP用戶界面”項(xiàng)目此時(shí)有沒有被選中，如果發(fā)現(xiàn)它還沒有被選中時(shí)，我們只要重新選中它，再單擊“確定”按鈕執(zhí)行保存操作，這樣的話Windows XP系統(tǒng)內(nèi)置的UPnP功能就能被啟用成功了。

一旦本地系統(tǒng)的UPnP功能被啟用好后，我們?cè)僭O(shè)置一下局域網(wǎng)路由器，以便讓其也能夠支持UPnP功能。通常情況下，路由器設(shè)備都具有UPnP功能，不過該功能在默認(rèn)狀態(tài)下并不會(huì)自動(dòng)啟用，我們可以嘗試按照下面的操作來將該功能啟用起來：

首先運(yùn)行IE瀏覽器程序，在對(duì)應(yīng)瀏覽窗口的地址框中輸入路由器設(shè)備缺省的后臺(tái)管理地址，之后輸入該設(shè)備的后臺(tái)管理員賬號(hào)，打開路由器設(shè)備的后臺(tái)管理界面；

在對(duì)應(yīng)配置頁面中單擊“路由”選項(xiàng)卡，打開路由參數(shù)設(shè)置頁面，點(diǎn)選其中的“轉(zhuǎn)發(fā)”選項(xiàng)卡，在其后出現(xiàn)的選項(xiàng)設(shè)置頁面中單擊“啟用UPnP”按鈕，最后記得執(zhí)行保存操作，并重新啟動(dòng)一下路由器設(shè)備，那樣的話路由器自帶的UPnP功能也被成功打開了。

2.使用虛擬轉(zhuǎn)發(fā)，保證網(wǎng)絡(luò)速度與安全

對(duì)于應(yīng)用層來說，虛擬服務(wù)器其實(shí)是通過轉(zhuǎn)發(fā)技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)訪問目的的，它的作用與我們平時(shí)提到的局域網(wǎng)代理服務(wù)器幾乎相同；對(duì)于網(wǎng)絡(luò)訪問者來說，虛擬服務(wù)器實(shí)際上可看成是一臺(tái)普通的上網(wǎng)工作站，它有單一的網(wǎng)絡(luò)訪問入口點(diǎn)；對(duì)于局域網(wǎng)網(wǎng)絡(luò)來說，虛擬服務(wù)器其實(shí)是整個(gè)局域網(wǎng)訪問外部網(wǎng)絡(luò)或Internet網(wǎng)絡(luò)的唯一出口，局域網(wǎng)中的所有工作站都可以為它服務(wù)。

局域網(wǎng)網(wǎng)絡(luò)通過寬帶路由器訪問外部網(wǎng)絡(luò)時(shí)，為安全起見，網(wǎng)絡(luò)管理員往往都會(huì)在寬帶路由器設(shè)備中啟用網(wǎng)絡(luò)防火墻功能，那樣一來外部網(wǎng)絡(luò)或Internet網(wǎng)絡(luò)中的普通工作站要想通過寬帶路由器訪問局域網(wǎng)內(nèi)部的某些資源服務(wù)器時(shí)，在缺省狀態(tài)下是無法通過防火墻保護(hù)的。這時(shí)就發(fā)生了矛盾，寬帶路由器的防火墻功能雖然有效保護(hù)了局域網(wǎng)網(wǎng)絡(luò)不被非法攻擊，但是又影響了外部網(wǎng)絡(luò)的合法、高速訪問，而巧妙地使用虛擬服務(wù)器，往往可以讓網(wǎng)絡(luò)訪問同時(shí)兼顧速度與安全，因?yàn)樘摂M服務(wù)器常常能夠允許用戶自行定義一個(gè)網(wǎng)絡(luò)服務(wù)端口，所有連接訪問該端口的外部網(wǎng)絡(luò)服務(wù)請(qǐng)求都能夠被重新定位轉(zhuǎn)發(fā)到局域網(wǎng)內(nèi)部的特定工作站或服務(wù)器上，如此一來外部網(wǎng)絡(luò)或Internet網(wǎng)絡(luò)中的普通工作站就能高速地訪問到局域網(wǎng)內(nèi)部的特定工作站或服務(wù)器了，這個(gè)網(wǎng)絡(luò)訪問過程并不會(huì)影響局域網(wǎng)網(wǎng)絡(luò)的運(yùn)行安全性。

要是我們希望外部網(wǎng)絡(luò)的工作站只能通過21端口訪問IP地址為10.176.6.12的FTP服務(wù)器時(shí)，我們可以先以系統(tǒng)管理員身份進(jìn)入路由器的后臺(tái)管理界面，單擊“添加新條目”按鈕，從“常用服務(wù)端口號(hào)”下拉列表中找到FTP服務(wù)，并將該服務(wù)選項(xiàng)選中，接著再為這個(gè)訪問條目設(shè)置好目標(biāo)服務(wù)器的IP地址，同時(shí)將該設(shè)置條目的工作狀態(tài)修改為“生效”，最后執(zhí)行保存操作，如此一來外部網(wǎng)絡(luò)的普通工作站日后只能通過虛擬服務(wù)器間接訪問局域網(wǎng)內(nèi)部的指定FTP服務(wù)器，而不會(huì)直接訪問到局域網(wǎng)網(wǎng)絡(luò)了。

3.使用端口觸發(fā)，保證網(wǎng)絡(luò)速度與安全

我們知道，在局域網(wǎng)寬帶路由器中我們可以使用防火墻功能，來將一些非法的數(shù)據(jù)信息包過濾掉，在普通的工作站系統(tǒng)中我們也可以安裝設(shè)置防火墻程序，來保護(hù)本地工作站系統(tǒng)訪問網(wǎng)絡(luò)的安全。然而在實(shí)際訪問網(wǎng)絡(luò)的過程中，一些特殊的網(wǎng)絡(luò)應(yīng)用可能要與Internet網(wǎng)絡(luò)同時(shí)建立多個(gè)網(wǎng)絡(luò)連接，比方說網(wǎng)絡(luò)電話連接、Internet網(wǎng)絡(luò)游戲連接以及視頻會(huì)議連接等。不過，考慮到防火墻程序的啟用，這些特殊的網(wǎng)絡(luò)應(yīng)用可能無法簡單地在路由器的NAT方式下工作。

為了保證這些特殊應(yīng)用能夠穿過防火墻的限制，順利地訪問外部網(wǎng)絡(luò)，我們可以嘗試通過端口觸發(fā)的方式來讓這些特殊應(yīng)用正常工作于NAT路由器下。當(dāng)某個(gè)網(wǎng)絡(luò)應(yīng)用程序向路由器的觸發(fā)端口上發(fā)起網(wǎng)絡(luò)連接時(shí)，那么相關(guān)的所有開放網(wǎng)絡(luò)端口都會(huì)自動(dòng)處于打開狀態(tài)，如此一來后續(xù)網(wǎng)絡(luò)連接就能被成功創(chuàng)建，那樣一來這些特殊應(yīng)用就能穿過防火墻限制了。

通常狀態(tài)下，目前市面上使用的寬帶路由器都支持端口觸發(fā)功能。在設(shè)置寬帶路由器的端口觸發(fā)參數(shù)時(shí)，我們必須根據(jù)特殊應(yīng)用訪問網(wǎng)絡(luò)時(shí)所使用到的協(xié)議來正確選用合適的觸發(fā)協(xié)議，例如我們可以選用UDP、TCP或ALL，要是我們不清楚特殊應(yīng)用究竟采用了哪種通信協(xié)議時(shí)，我們不妨將觸發(fā)協(xié)議設(shè)置成ALL.

當(dāng)特殊網(wǎng)絡(luò)應(yīng)用向路由器的觸發(fā)端口上成功發(fā)起網(wǎng)絡(luò)連接后，對(duì)應(yīng)的所有開放端口也會(huì)處于打開狀態(tài)，此時(shí)該網(wǎng)絡(luò)應(yīng)用就能向該開放的通信端口發(fā)起后續(xù)的網(wǎng)絡(luò)連接。

4.使用DMZ功能，保證網(wǎng)絡(luò)速度與安全

所謂DMZ功能，其實(shí)就是我們常說的非軍事區(qū)功能，這個(gè)功能與軍事區(qū)、信任區(qū)功能相對(duì)應(yīng)，借助該功能我們可以把那些允許Internet網(wǎng)絡(luò)訪問的WEB服務(wù)器、電子郵件服務(wù)器等單獨(dú)接入到非軍事區(qū)端口，而將局域網(wǎng)中的其他服務(wù)器以及普通工作站接在軍事區(qū)端口，那樣一來來自Internet網(wǎng)絡(luò)的任意一臺(tái)工作站將無法訪問到局域網(wǎng)內(nèi)網(wǎng)，但可以訪問到連接在DMZ區(qū)域的WEB服務(wù)器、電子郵件服務(wù)器，從而實(shí)現(xiàn)了內(nèi)網(wǎng)、外網(wǎng)邏輯分離的目的，保證了局域網(wǎng)網(wǎng)絡(luò)的訪問安全。

DMZ區(qū)域可以理解成一個(gè)完全不同于內(nèi)網(wǎng)、外網(wǎng)的中間網(wǎng)絡(luò)區(qū)域，連接到這個(gè)區(qū)域的各種服務(wù)器往往不包含重要的隱私信息以及機(jī)密信息，而是專門供公眾訪問的一些公用信息，比方說普通網(wǎng)站信息、電子郵件信息等。這樣，來自Internet網(wǎng)絡(luò)的普通工作站都能正常訪問到DMZ區(qū)域中的各種服務(wù)，不過無法訪問到保存在局域網(wǎng)內(nèi)部的機(jī)密信息，即使連接到DMZ區(qū)域中的重要服務(wù)器發(fā)生了故障，局域網(wǎng)內(nèi)部也不會(huì)受到安全攻擊。

在設(shè)置DMZ主機(jī)時(shí)，我們只要先進(jìn)入到局域網(wǎng)路由器的后臺(tái)管理界面，從中找到DMZ參數(shù)設(shè)置選項(xiàng)，然后將DMZ主機(jī)的IP地址設(shè)置為那臺(tái)局域網(wǎng)內(nèi)目標(biāo)服務(wù)器的IP地址，再選中“啟用”選項(xiàng)，同時(shí)執(zhí)行保存操作就可以了。