Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 14-08-2009, 10:06 PM   #1
hoctinhoc
Guest
 
Trả Lời: n/a
Publish server on isa 2004 dmz
PUBLISH SERVER ON ISA 2004 DMZ

DẪN NHẬP

DMZ (De-Militarized Zone): Khu vực phi quân sự hóa, đôi khi được gọi tắt là khu phi quân sự. Khi các bên tham chiến bất phân thắng bại, người ta thường hoà đàm để quy định một khu vực mà không bên nào được phép triển khai lực lượng quân sự (quân sự hoá). Tuy nhiên, vì không ai được quyền quản lý thực sự (cho dù trong hoà ước đã giao quyền cho một bên thứ ba – Liên Hiệp Quốc chẳng hạn) có nhiều DMZ lại trở thành mục tiêu bắn phá tự do mà chẳng ai có thể kiện tụng gì cả!!! Vì thế, trong một ngữ cảnh nào đó, có thể hiểu rằng DMZ là “khu vực oanh kích tự do”.

Nhằm mục đích ngăn chặn các tác động bất lợi hoặc ác ý từ internet đến hệ mạng nội bộ, người ta xây dựng firewall.

Sự tồn tại của các máy chủ có nhiệm vụ đáp ứng truy cập từ internet, ví dụ web server, FTP server, mail gateway (Fore-front của Exchange 2003 hoặc Edge transport của Exchange 2007…) lại trở thành một nguy cơ hiển hiện đối với sự an toàn của hệ mạng.

Người ta cô lập khu vực nguy cơ này trên một phân đoạn mạng (network segment) riêng biệt nối trực tiếp với firewall gọi là DMZ hoặc perimeter (khu ngoại vi). Khái niệm DMZ dùng trong ngữ cảnh này có hàm ý đây là khu vực có nguy cơ hứng chịu các cuộc tấn công từ nhiều nguồn khác nhau. Nhiệm vụ của firewall là chặn lọc để hạn chế tối đa nguy cơ và chỉ cho phép các thông tin hợp lệ từ internet đi vào DMZ mà thôi.



Thông thường, khi xây dựng DMZ người ta thường mua và gán các public IP cho các máy chủ trên DMZ. Để có thể định tuyến (routing) luồng thông tin, các public IP này đương nhiên phải thuộc cùng 1 subnet. Thông tin từ internet hoặc từ mạng nội bộ hướng đến DMZ sẽ có thể được định tuyến mà không phải trải qua bất cứ khâu xử lý biên dịch địa chỉ (NAT) nào. Công suất của firewall được phân phối hợp lý hơn cho quá trình chặn lọc và qua đó làm tăng tốc đáp ứng của các máy chủ trên DMZ.

Điều khó xử là không phải doanh nghiệp nào cũng có khả năng tài chính để đăng ký sở hữu cả một subnet. Hơn nữa theo nguyên lý định tuyến, có thể chỉ cần mua một số IP cùng subnet và yêu cầu nhà cung cấp thiết lập định tuyến đến từng IP (route to host). Thế nhưng trong thực tế, không dể tìm nhà cung cấp có thể đáp ứng một cách nghiêm túc yêu cầu này. Vì thế, bài viết này chọn giải pháp mô phỏng mô hình DMZ trên cơ sở 1 subnet public IP tĩnh.

TÌNH HUỐNG

- Hệ thống domain nội bộ: NhatNghe.local (internal domain name)
- Có public domain name: NhatNghe.com
- Nhu cầu:
1. Đáp ứng truy vấn và quản lý thông tin của public DNS domain NhatNghe.com
2. Cung cấp cho mọi đối tác khả năng truy cập đến trang web www.NhatNghe.com
3. Ngăn chặn mọi thông tin phát sinh từ internet hướng vào mạng nội bộ để tăng cường bảo mật.

SUY LUẬN VÀ HƯỚNG GIẢI QUYẾT

Nhu cầu 1: --> Publish DNS server
Nhu cầu 2: --> Publish Web server
Nhu cầu 3: --> Dựng member server ISA 2004
Nếu dựng published server trên mạng nội bộ thì sẽ không thể thoả nhu cầu 3: --> ISA server có 3 card mạng & đặt các published server trên network DMZ của ISA.
Cần 03 public IP cho 2 server trên DMZ và card DMZ của ISA --> phải mua network có 6 host ID (net mask 255.255.255.248)
Để route từ internet vào DMZ và dự trữ IP cho nhu cầu phá triển, card external của ISA nên có IP thuộc supernet của DMZ --> mua network có 14 host ID (net mask 255.255.255.240)
Giả định mua public network: 210.245.1.16 / 28 (14 host ID từ 1.17 đến 1.30)
- Dùng IP 210.245.1.17 / 28 đặt cho card external của ISA
- Dùng subnet 210.245.1.24 / 29 (6 host ID từ 1.25 đến 1.30) cho DMZ.

MÔ HÌNH THỰC TẾ



MÔ HÌNH LAB





TRIỂN KHAI LAB

Cấu hình IP:

DC:

- IP address: 192.168.1.1
- Subnet mask: 255.255.255.0
- Default gateway: 192.168.1.254
- Preferred DNS server: 192.168.1.1



ISA:

1. Card Internal:
- IP address: 192.168.1.254
- Subnet mask: 255.255.255.0
- Default gateway: trống
- Preferred DNS server: 192.168.1.1

2. Card External:
- IP address: 210.245.1.17
- Subnet mask: 255.255.255.240 (/28)
- Default gateway: 210.245.0.1
- Preferred DNS server: trống

Chú ý: Khi chỉnh IP card external sẽ gặp cảnh báo > chọn Yes



3. Card DMZ:
- IP address: 210.245.1.25
- Subnet mask: 255.255.255.248 (/29)
- Default gateway: trống
- Preferred DNS server: trống



External DNS server:

- IP address: 210.245.1.26
- Subnet mask: 255.255.255.248 (/29)
- Default gateway: 210.245.1.25
- Preferred DNS server: 210.245.1.26



Web server:

- IP address: 210.245.1.27
- Subnet mask: 255.255.255.248 (/29)
- Default gateway: 210.245.1.25
- Preferred DNS server: trống



ISP rourter & DNS server:

1. NIC01 (nối với ISA)
- IP address: 210.245.0.1
- Subnet mask: 255.255.0.0
- Default gateway: trống
- Preferred DNS server: 210.245.0.1

2. NIC02 (nối với Client)
- IP address: 203.162.1.1
- Subnet mask: 255.255.255.0
- Default gateway: trống
- Preferred DNS server: trống



Client:

- IP address: 203.162.1.2
- Subnet mask: 255.255.255.0
- Default gateway: 203.162.1.1
- Preferred DNS server: 203.162.1.1




Cấu hình các server:

1. ISP:

b1. Cấu hình DNS server delegate về ExtDNS.NhatNghe.com – 210.245.1.26





b2. Cấu hình routing:

- Kiểm tra routing table



- Tạo static route đến subnet 210.245.1.16 / 28





2. External DNS server:

b1. Dựng DNS server:

- Computername: ExtDNS; Primary DNS suffix: NhatNghe.com
- Cài DNS service
- Tạo primary FLZ. Chú ý: zone name: NhatNghe.com; “Do not allow dynamic update”







- Tạo primary RLZ. Chú ý: net ID: 210.245.1; “Do not allow dynamic update”





- Tạo pointer ứng với host của SOA



- Tạo host & pointer www.NhatNghe.com – 210.245.1.27





- Kết quả





3. Web server:

- Cài Internet information Services
- Tạo trang chủ cho default web site, nội dung: “TEST WEB SITE FOR PUBLISHING SERVER ON DMZ”

4. ISA server:

b1. Tạo net work DMZ















b2. Tạo network rule:















b3. Tạo address range External DNS





b5. Tương tự b4, tạo address range Web server





b6. Tạo access rule cho phép truy vấn external DNS.
Chú ý:
- Selected Protocol: DNS
- Rule Destination: External DNS (address range)



















b7. Tương tự, tạo access rule cho phép truy cập web
Chú ý:
- Selected Protocol: HTTP & HTTPS
- Rule Destination: Web Server (address range)









Client test

- Ping: ISA chặn



- Phân giải:



- Truy cập web







Theo: LÊ NGỌC HIẾN (Nhất Nghệ)

  Trả lời ngay kèm theo trích dẫn này
Gửi trả lời



Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 04:44 AM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.