详解DMZ的部署与配置:ISA2006系列之二十九
2024-05-26 01:30:40
DMZ的部署及配置
DMZ是Demilitarized Zone的缩写,俗称非军事化隔离区。DMZ是一个位于内网和外网之间的特殊区域,一般用于放置公司对外开放的服务器,例如Web服务器,Ftp服务器,邮件服务器等。其实从ISA的角度来看,DMZ就是一个网络。有些朋友可能会有些疑问,为什么不把这些服务器直接放到内网呢?为什么需要DMZ这个单独的网络呢?被发布的服务器放在内网是可以的,我们在前面的博文中已经讨论了技术上的可能性。但把发布服务器放在内网并非最佳选择,因为内网中还有其他的计算机,这些计算机和发布服务器的安全设置并不相同。例如内网中的域控制器并不适合开放给外网用户,财务室人员使用的工作站更是要严加防护。但如果这些计算机和发布服务器都放在内网,对我们进行访问控制是不利的。一旦发布服务器出现安全问题,有可能会危及内网其他计算机的安全。因此比较安全的解决方法是把发布的服务器放在一个单独的隔离网络中,管理员针对隔离网络进行有别于内网的安全配置,这样一来的话显然对安全更加有利。
下面我们用一个实例来为大家介绍一下如何利用ISA2006部署和配置DMZ,拓扑如下图所示,Beijing是ISA2006服务器,Beijing有三块网卡,分别连接内网,外网和DMZ,DMZ在ISA中也被称为外围。Denver在内网,Perth是DMZ,Istanbul在外网。
一 创建DMZ
Beijing是一个有三块网卡的ISA服务器,我们准备在Beijing上手工创建DMZ网络,网络范围是23.1.1.0-23.1.1.255。这个工作我们也可以通过ISA2006自带的三向外围防火墙模板来进行,但这个模板和国内公司的网络环境不太匹配,因为国外公司的DMZ使用的往往是公网地址,而国内DMZ使用的大多是私网地址,这种环境上的差异会导致网络规则和防火墙策略配置上的差别,因此这个模板不太适合国内大多数公司使用,我们还是来手工创建并配置一个DMZ网络。
顺便介绍一个ISA中网络的一些基本原则,供大家创建网络时参考:
1、 ISA防火墙上的每个网络适配器可以有单个或者多个IP地址,但是每个IP地址只能与一个网络适配器所关联(NLB的虚拟IP地址不在此讨论范围内)。
2、 一个地址只能属于一个网络;ISA防火墙上任何一个网络适配器都必须并且只能属于一个网络,并且这个网络适配器上的所有地址都必须属于相同的网络;一个网络可以包含一个或者多个网络适配器。
3、 在网络定义的 地址范围中,应包含ISA防火墙对应网络适配器接口的IP地址。ISA将没有关联适配器的网络视为暂时断开连接,也就是说,ISA 服务器假定存在与该网络关联的适配器,但该适配器当前被禁用。当ISA服务器假定适配器断开连接时,ISA服务器将拒绝去往或来自属于断开的网络的IP地 址的通讯, 因为这些数据并没有通过和此网络相关联的网络适配器来进行转发,并认为这些数据包欺骗所有已启用的适配器。
4、 对于除外部网络之外的其他网络的网络适配器后还有其他子网的情况(即可以通过此网络适配器所关联的网络中的某台路由器到达的其他的网络,称之为网络后面的网络), 你必须在ISA防火墙对应的网络的定义中,包含这些子网的地址,否则ISA防火墙会触发IP欺骗或者配置错误的警告。这是因为没有在此网络中定义的IP地 址范围,不属于此网络,但是却又必须从此网络相关联的网络适配器进行数据的转发,ISA防火墙认为这是一种欺骗行为。
5、 通常情况下, 对于一个完整的网络定义,地址范围应该从网络地址起,到子网广播地址为止。例如一个C类网络192.168.0.0/24,那么完整的网络地址范围为 192.168.0.0~192.168.0.255。对于网络地址是从A类网络地址、B类网络地址中划分的子网的情况,在网络地址范围中还需要包含对应 的A类网络、B类网络的广播地址,例如一个A类子网10.1.1.0/24,那么内部网络地址中除了10.1.1.0~10.1.1.255外,还需要包 括A类网络的广播地址10.255.255.255~10.255.255.255。建议你总是通过添加适配器来添加内部网络地址。非完整的网络定义不需要遵循此要求。
不过,对于没有关联网络适配器的网络被视为暂时断开连接这一假设存在例外,在这些例外情况中,ISA 服务器将该网络视为网络后面的网络,这些例外包括下列网络:
默认的外部网络。ISA防火墙总是认为默认的外部网络位 于与默认路由所关联的网络适配器(配置了默认网关的网络适配器)所关联的网络的后面,去往或来自外部网络中的地址的通讯必须通过该适配器。来自外部网络中 的地址但是通过其他适配器的任何通讯都将被视为具有欺骗性,并将被丢弃。如果路由表中不存在默认网关项目,ISA防火墙将认为外部网络暂时断开连接。
配置为使用 IPSec 隧道模式的站点到站点***网络。
被隔离的***客户端网络,该网络从不与任何适配器关联,并总是位于与 *** 拨入适配器关联的 *** 客户端网络的后面
现在我们开始创建DMZ,在Beijing上打开ISA管理器,如下图所示,选择新建网络。
为新创建的网络命名为DMZ。
网络类型是外围网络。
DMZ的地址范围是23.1.1.0-23.1.1.255,注意,这个地址范围如果之前属于内网,那我们需要把它从内网范围中删除。根据我们刚才提到的网络原则,一个地址只能属于一个网络。
如下图所示,我们成功地完成了DMZ网络的创建,是不是很轻松啊。
二 创建网络规则
DMZ网络创建完毕后,我们需要创建DMZ网络和其他网络之间的网络规则。因为我们知道,ISA处理数据的访问请求,首先考虑的是这个数据包的源网络和目标网络的网络规则,因此网络规则决定了两个网络之间数据通讯的方向性和可能性。网络规则的设定取决于实际的访问需求,在本次实验中,DMZ的Perth拥有网站和Ftp服务器。我们希望内网用户和外网用户都可以访问DMZ的资源,同时DMZ的服务器需要对外网进行访问。基于这个需求,我们可以把网络规则设定为从内网到DMZ是NAT,从DMZ到外网是NAT。为什么DMZ到外网不设定为路由呢?因为DMZ使用的是内网地址,外网用户无法直接访问这些IP地址。
在Beijing上打开ISA管理器,如下图所示,选择“创建网络规则”。
为网络规则命名为“从内网到DMZ”。
源网络是内网。
目标网络是DMZ。
源网络到目标网络的网络关系设定为NAT。
这样我们就设定了从内网到DMZ的网络关系是NAT,用同样的方法,我们设定从DMZ到外网的网络关系是NAT。
三 创建防火墙访问规则
在我们的实验环境中,我们希望内网能够访问DMZ,由于内网和DMZ的网络关系是NAT,因此我们应该通过访问规则来完成这个任务。有的朋友可能会想,究竟什么情况下应该使用访问规则,而什么环境下更适用发布规则呢?我们给出使用访问规则的原则:
对于访问规则:
只适用于网络之间具有路由网络关系或正向NAT关系(源网络到目的网络为NAT)的网络间的访问;
一个访问规则可以允许到多个服务器的访问;
在访问规则中只应使用出站协议定义客户所访问的服务;
用户只能访问协议中所定义的端口
下面我们来具体创建访问规则,在Beijing上打开ISA管理器,如下图所示,选择新建“访问规则”。
我们在访问规则命名为“允许为内网访问DMZ”。
当访问请求符合规则时允许访问请求的操作。
允许所有的出站通讯协议。
访问请求的源网络是内网。
访问请求的目标网络是DMZ。
允许所有用户的访问请求。
如下图所示,顺利完成访问规则的创建。
测试一下访问规则的成果,在内网的Denver上访问DMZ的Perth,如下图所示,访问正常。
四 创建发布规则
我们在本次实验中还希望DMZ的服务器能够发布到外网,在这种情况下我们应该使用发布规则来完成任务。同样我们会给出使用发布规则的原则:
对于服务发布规则:
适用于源网络和目的网络之间具有路由网络关系或者NAT网络关系的网络间的访问。只是根据网络关系的不同,服务发布规则侦听的IP地址不同。在目的网络到源网络具有NAT网络关系的情况下,服务发布规则侦听的IP地址是ISA防火墙上连接源网络的网络接口的IP地址;而在源网络和目的网络之间具有路由网络关系或者NAT网络关系的的情况下,服务发布规则侦听的IP地址是被发布的服务器的IP地址;
一个发布规则只能允许到一个服务器的访问;
服务发布规则中只能使用入站协议定义所发布的服务;
通过服务发布规则,你可以通过修改服务发布规则的属性轻松的实现端口转换,并且许多内建的应用层过滤器或其某些特性只能通过服务发布规则实现,例如SMTP过滤器和Web代理过滤器的链接转换功能,就只能通过服务发布规则实现;
服务器应配置为SNAT客户;如果服务发布规则的到属性中配置为“使请求显示为来自初始客户端”,那么服务器应该配置ISA防火墙为其默认网关。
下面我们来创建发布规则,如下图所示,在ISA管理器中选择新建“非Web服务器协议发布规则”。
我们为发布规则命名为“发布Perth上的FTP服务器”。
被发布的服务器我们填写Perth的IP地址23.1.1.6。
发布协议选择FTP服务器。
侦听器监听外网的请求。顺便提一下,以前遇到有朋友想把DMZ的服务器发布到内网,但未能成功,他的实验环境和我们完全一样。用发布规则的使用原则分析一下就明白了,内网访问DMZ不能通过发布规则而应该使用访问规则。
好,完成发布规则的创建。
在外网的Istanbul上测试一下,看能否访问Perth的FTP服务器。测试结果如下图所示,DMZ的FTP服务器发布成功!
今天我们用一个实例介绍了DMZ的部署和配置,DMZ从ISA的角度看,其实只是一个网络。本文的重点在于讨论了一般意义上的网络创建原则,访问规则和发布规则的使用原则。大家如果能够对这些原理融会贯通,一定能够对大家的ISA管理大有裨益。
感谢ISA中文网的风间子提供的技术支持。
详解DMZ的部署与配置:ISA2006系列之二十九相关推荐
- 使用Minikube部署本地Kubernetes集群(二十九)
前言 使用Minikube部署本地k8s集群相对比较简单,非常推荐将其用于本地k8s开发环境,唯一麻烦点的仅仅是网络问题. 在本篇教程中,我们使用了国内的镜像来完成本地k8s集群的搭建.如果搭建过程中 ...
- 详解MOM2005监控Active Directory:MOM2005系列之二
用MOM2005监控Active Directory 上篇文章中我们介绍了如何部署MOM2005,本文我们来介绍一下如何利用MOM2005监控Active Directory.Active Dire ...
- 实验详解——Cobbler自动部署最小化安装
实验详解--Cobbler自动部署最小化安装 一.实验:自动部署 二.Cobbler自动装机服务搭建步骤 1.导入epel源并加载在线安装源 2.安装Cobbler以及其相关服务软件包 3.修改cob ...
- 详解 Jenkins 自动化部署平台
详解 Jenkins 自动化部署平台 原文来源:Jenkins自动化部署 Jenkins介绍 Jenkins是一个开源的.可扩展的持续集成.交付.部署(软件/代码的编译.打包.部署)的基于web界面的 ...
- 大型企业网络配置系列课程详解(五) --Frame-Relay配置与相关概念的理解
大型企业网络配置系列课程详解(五) --Frame-Relay配置与相关概念的理解 实验原理: Frame-Relay(帧中继)简称FR,是国际电信联盟通信标准化组(ITU ...
- mysql_slow_详解MySQL中SlowLog的配置方法(图文)
mysql 日志系统上线有段时间了,前端在慢慢切站点过来写入,未雨绸缪 diy了套 mysql 监控工具. 分为 slave status ,sync,objec infot,userprivile ...
- idea看java版本设置_详解IntelliJ IDEA 中如何配置多个jdk版本即(1.7和1.8两个jdk都可用)...
详解IntelliJ IDEA 中如何配置多个jdk版本即(1.7和1.8两个jdk都可用) 有时候需要看Java源码,但是 Java 1.7 和 Java 1.8的差别的关系,有时候你想查看不同jd ...
- DZ各个数据表详解(DZ论坛各表详细说明,二次开发用)
DZ各个数据表详解(DZ论坛各表详细说明,二次开发用) DZ默认库的53个数据表 cdb_access (用户权限表) uid 用户id fid 论坛id allowview 允许浏览 allowpo ...
- 【5年Android从零复盘系列之二十】Android自定义View(15):Matrix详解(图文)【转载】
[转载]本文转载自麻花儿wt 的文章<android matrix 最全方法详解与进阶(完整篇)> [5年Android从零复盘系列之二十]Android自定义View(15):Matri ...
最新文章
- This is probably not a problem with npm. There is likely additional logging output above
- Windows下修改Git Bash 默认路径
- c语言里变量列表,嵌入式C语言里的土豪们之变量类型
- 用计算机打字英语单词,常用计算机专业英语词汇-前401-500单词
- OpenCV3学习(11.6) ORB特征检测器及BRIEF描述符
- 使用ETags减少Web应用带宽和负载
- java酒店信息管理系统_java实现酒店管理系统
- python导入mat文件_python读取并写入mat文件的方法
- 嗯....零乱知识点map和字符串转换的
- 必须收藏的MATLAB画图指南
- 通俗地讲一下Web是什么意思。
- 惠普服务器lio装系统,惠普Pavilion一体机一键u盘装系统win10教程
- Java基础之MySQL数据库与JDBC
- python-DRF_限流Throttling_自定义频率类_内置频率类使用_过滤排序功能
- FL Studio教程之在线面板详解
- 阿里云邮箱登录日志中有异地IP登录是怎么回事?该怎么办?
- OSChina 周二乱弹 —— 同在一室不相亲,早晚相见不相识
- Shell 脚本的详细解读 (一)
- 波形发生器设计(频率、占空比、幅值可调)
- 共享打印机查找计算机名,如何查找网络共享打印机