DMZ 的部署及配置
DMZ 是 Demilitarized Zone 的缩写,俗称非军事化隔离区。DMZ 是一个位于内网和外网之间的特殊区域,一般用于
放置公司对外开放的服务器,例如 Web 服务器,Ftp 服务器,邮件服务器等。其实从 ISA 的角度来看,DMZ 就是一
个网络。有些朋友可能会有些疑问,为什么不把这些服务器直接放到内网呢?为什么需要 DMZ 这个单独的网络呢?
被发布的服务器放在内网是可以的,我们在前面的博文中已经讨论了技术上的可能性。但把发布服务器放在内网并
非最佳选择,因为内网中还有其他的计算机,这些计算机和发布服务器的安全设置并不相同。例如内网中的域控制
器并不适合开放给外网用户,财务室人员使用的工作站更是要严加防护。但如果这些计算机和发布服务器都放在内
网,对我们进行访问控制是不利的。一旦发布服务器出现安全问题,有可能会危及内网其他计算机的安全。因此比
较安全的解决方法是把发布的服务器放在一个单独的隔离网络中,管理员针对隔离网络进行有别于内网的安全配置
这样一来的话显然对安全更加有利。
一、 创建 DMZ 网络:在上图所示拓扑结构中发现 ISA 服务器具备三块网卡。
a) 注意事项:
i. ISA 防火墙上的每个网络适配器可以有单个或者多个 IP 地址,但是每个 IP 地址只能与一
个网络适配器所关联(NLB 的虚拟 IP 地址不在此讨论范围内)。
ii. 一个地址只能属于一个网络;ISA 防火墙上任何一个网络适配器都必须并且只能属于一个
网络,并且这个网络适配器上的所有地址都必须属于相同的网络;一个网络可以包含一个
或者多个网络适配器。
iii. 在网络定义的 地址范围中,应包含 ISA 防火墙对应网络适配器接口的 IP 地址。ISA 将没
有关联适配器的网络视为暂时断开连接,也就是说,ISA 服务器假定存在与该网络关联的
适配器,但该适配器当前被禁用。当 ISA 服务器假定适配器断开连接时,ISA 服务器将拒
绝去往或来自属于断开的网络的 IP 地 址的通讯, 因为这些数据并没有通过和此网络相关
联的网络适配器来进行转发,并认为这些数据包欺骗所有已启用的适配器。
iv. 对于除外部网络之外的其他网络的网络适配器后还有其他子网的情况(即可以通过此网
络适配器所关联的网络中的某台路由器到达的其他的网络,称之为网络后面的网络),
你必须在 ISA 防火墙对应的网络的定义中,包含这些子网的地址,否则 ISA 防火墙会触发
IP 欺骗或者配置错误的警告。这是因为没有在此网络中定义的 IP 地 址范围,不属于此网
剩余16页未读,继续阅读
资源评论
