没有合适的资源?快使用搜索试试~ 我知道了~
主要介绍了DMZ区域的配置过程和注意事项
资源推荐
资源详情
资源评论
DMZ 的部署及配置
DMZ 是 Demilitarized Zone 的缩写,俗称非军事化隔离区。DMZ 是一个位于内网和外网之间的特殊区域,一般用于
放置公司对外开放的服务器,例如 Web 服务器,Ftp 服务器,邮件服务器等。其实从 ISA 的角度来看,DMZ 就是一
个网络。有些朋友可能会有些疑问,为什么不把这些服务器直接放到内网呢?为什么需要 DMZ 这个单独的网络呢?
被发布的服务器放在内网是可以的,我们在前面的博文中已经讨论了技术上的可能性。但把发布服务器放在内网并
非最佳选择,因为内网中还有其他的计算机,这些计算机和发布服务器的安全设置并不相同。例如内网中的域控制
器并不适合开放给外网用户,财务室人员使用的工作站更是要严加防护。但如果这些计算机和发布服务器都放在内
网,对我们进行访问控制是不利的。一旦发布服务器出现安全问题,有可能会危及内网其他计算机的安全。因此比
较安全的解决方法是把发布的服务器放在一个单独的隔离网络中,管理员针对隔离网络进行有别于内网的安全配置
这样一来的话显然对安全更加有利。
一、 创建 DMZ 网络:在上图所示拓扑结构中发现 ISA 服务器具备三块网卡。
a) 注意事项:
i. ISA 防火墙上的每个网络适配器可以有单个或者多个 IP 地址,但是每个 IP 地址只能与一
个网络适配器所关联(NLB 的虚拟 IP 地址不在此讨论范围内)。
ii. 一个地址只能属于一个网络;ISA 防火墙上任何一个网络适配器都必须并且只能属于一个
网络,并且这个网络适配器上的所有地址都必须属于相同的网络;一个网络可以包含一个
或者多个网络适配器。
iii. 在网络定义的 地址范围中,应包含 ISA 防火墙对应网络适配器接口的 IP 地址。ISA 将没
有关联适配器的网络视为暂时断开连接,也就是说,ISA 服务器假定存在与该网络关联的
适配器,但该适配器当前被禁用。当 ISA 服务器假定适配器断开连接时,ISA 服务器将拒
绝去往或来自属于断开的网络的 IP 地 址的通讯, 因为这些数据并没有通过和此网络相关
联的网络适配器来进行转发,并认为这些数据包欺骗所有已启用的适配器。
iv. 对于除外部网络之外的其他网络的网络适配器后还有其他子网的情况(即可以通过此网
络适配器所关联的网络中的某台路由器到达的其他的网络,称之为网络后面的网络),
你必须在 ISA 防火墙对应的网络的定义中,包含这些子网的地址,否则 ISA 防火墙会触发
IP 欺骗或者配置错误的警告。这是因为没有在此网络中定义的 IP 地 址范围,不属于此网
络,但是却又必须从此网络相关联的网络适配器进行数据的转发,ISA 防火墙认为这是一
种欺骗行为。
v. 通常情况下, 对于一个完整的网络定义,地址范围应该从网络地址起,到子网广播地址
为止。例如一个 C 类网络 192.168.0.0/24,那么完整的网络地址范围为 192.168.0.0~
192.168.0.255。对于网络地址是从 A 类网络地址、B 类网络地址中划分的子网的情况,在
网络地址范围中还需要包含对应 的 A 类网络、B 类网络的广播地址,例如一个 A 类子网
10.1.1.0/24,那么内部网络地址中除了 10.1.1.0~10.1.1.255 外,还需要包 括 A 类网络的广
播地址 10.255.255.255~10.255.255.255。建议你总是通过添加适配器来添加内部网络地址。
非完整的网络定义不需要遵循此要求。
vi. 默认的外部网络。ISA 防火墙总是认为默认的外部网络位 于与默认路由所关联的网络适配
器(配置了默认网关的网络适配器)所关联的网络的后面,去往或来自外部网络中的地址
的通讯必须通过该适配器。来自外部网络中 的地址但是通过其他适配器的任何通讯都将
被视为具有欺骗性,并将被丢弃。如果路由表中不存在默认网关项目,ISA 防火墙将认为
外部网络暂时断开连接。
b) 配置过程,打开 ISA 服务器管理窗口。
点击新建网络,出现下图所示对话框
在 网 络 类 型
中选择“外围网络”
在下图对话框中选择
“添加适配器”
剩余16页未读,继续阅读
资源评论
jenner111
- 粉丝: 0
- 资源: 1
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功