Cai đặt DMZ server
Chia sẻ bởi Trumhaichum Tran |
Ngày 14/10/2018 |
25
Chia sẻ tài liệu: Cai đặt DMZ server thuộc Tư liệu tham khảo
Nội dung tài liệu:
DẪN NHẬP DMZ (De-Militarized Zone): Khu vực phi quân sự hóa, đôi khi được gọi tắt là khu phi quân sự. Khi các bên tham chiến bất phân thắng bại, người ta thường hoà đàm để quy định một khu vực mà không bên nào được phép triển khai lực lượng quân sự (quân sự hoá). Tuy nhiên, vì không ai được quyền quản lý thực sự (cho dù trong hoà ước đã giao quyền cho một bên thứ ba – Liên Hiệp Quốc chẳng hạn) có nhiều DMZ lại trở thành mục tiêu bắn phá tự do mà chẳng ai có thể kiện tụng gì cả!!! Vì thế, trong một ngữ cảnh nào đó, có thể hiểu rằng DMZ là “khu vực oanh kích tự do”. Nhằm mục đích ngăn chặn các tác động bất lợi hoặc ác ý từ internet đến hệ mạng nội bộ, người ta xây dựng firewall. Sự tồn tại của các máy chủ có nhiệm vụ đáp ứng truy cập từ internet, ví dụ web server, FTP server, mail gateway (Fore-front của Exchange 2003 hoặc Edge transport của Exchange 2007…) lại trở thành một nguy cơ hiển hiện đối với sự an toàn của hệ mạng. Người ta cô lập khu vực nguy cơ này trên một phân đoạn mạng (network segment) riêng biệt nối trực tiếp với firewall gọi là DMZ hoặc perimeter (khu ngoại vi). Khái niệm DMZ dùng trong ngữ cảnh này có hàm ý đây là khu vực có nguy cơ hứng chịu các cuộc tấn công từ nhiều nguồn khác nhau. Nhiệm vụ của firewall là chặn lọc để hạn chế tối đa nguy cơ và chỉ cho phép các thông tin hợp lệ từ internet đi vào DMZ mà thôi. Thông thường, khi xây dựng DMZ người ta thường mua và gán các public IP cho các máy chủ trên DMZ. Để có thể định tuyến (routing) luồng thông tin, các public IP này đương nhiên phải thuộc cùng 1 subnet. Thông tin từ internet hoặc từ mạng nội bộ hướng đến DMZ sẽ có thể được định tuyến mà không phải trải qua bất cứ khâu xử lý biên dịch địa chỉ (NAT) nào. Công suất của firewall được phân phối hợp lý hơn cho quá trình chặn lọc và qua đó làm tăng tốc đáp ứng của các máy chủ trên DMZ. Điều khó xử là không phải doanh nghiệp nào cũng có khả năng tài chính để đăng ký sở hữu cả một subnet. Hơn nữa theo nguyên lý định tuyến, có thể chỉ cần mua một số IP cùng subnet và yêu cầu nhà cung cấp thiết lập định tuyến đến từng IP (route to host). Thế nhưng trong thực tế, không dể tìm nhà cung cấp có thể đáp ứng một cách nghiêm túc yêu cầu này. Vì thế, bài viết này chọn giải pháp mô phỏng mô hình DMZ trên cơ sở 1 subnet public IP tĩnh. TÌNH HUỐNG - Hệ thống domain nội bộ: NhatNghe.local (internal domain name) - Có public domain name: NhatNghe.com - Nhu cầu: 1. Đáp ứng truy vấn và quản lý thông tin của public DNS domain NhatNghe.com 2. Cung cấp cho mọi đối tác khả năng truy cập đến trang web [Chỉ thành viên mới có thể xem liên kết này. Vui lòng hoặc ] 3. Ngăn chặn mọi thông tin phát sinh từ internet hướng vào mạng nội bộ để tăng cường bảo mật. SUY LUẬN VÀ HƯỚNG GIẢI QUYẾT Nhu cầu 1: --> Publish DNS server Nhu cầu 2: --> Publish Web server Nhu cầu 3: --> Dựng member server ISA 2004 Nếu dựng published server trên mạng nội bộ thì sẽ không thể thoả nhu cầu 3: --> ISA server có 3 card mạng & đặt các published server trên network DMZ của ISA. Cần 03 public IP cho 2 server trên DMZ và card DMZ của ISA --> phải mua network có 6 host ID (net mask 255.255.255.248) Để route từ internet vào DMZ và dự trữ IP cho nhu cầu phá triển, card external của ISA nên có IP thuộc supernet của DMZ --> mua network có 14 host ID (net mask 255.255.255.240) Giả định mua public network: 210.245.1.16 / 28 (14 host ID từ 1.17 đến 1.30) - Dùng IP 210.245.1.17 / 28 đặt cho card external của ISA - Dùng subnet 210.245.1.24 / 29 (6 host ID từ 1.25 đến 1.30) cho DMZ. MÔ HÌNH THỰC TẾ MÔ HÌNH LAB TRIỂN KHAI LAB Cấu hình IP: DC: - IP address: 192.168.1.1 - Subnet mask: 255.255.255.0 - Default gateway: 192.168.1.254 - Preferred DNS server: 192.168.1.1 ISA: 1. Card Internal:
* Một số tài liệu cũ có thể bị lỗi font khi hiển thị do dùng bộ mã không phải Unikey ...
Người chia sẻ: Trumhaichum Tran
Dung lượng: 1,21MB|
Lượt tài: 0
Loại file: zip
Nguồn : Chưa rõ
(Tài liệu chưa được thẩm định)