详述DMZ(非军事区)的部署和配置.docVIP

DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。 详解DMZ的部署与配置：ISA2006系列之二十九 DMZ的部署及配置 DMZ是Demilitarized Zone的缩写，俗称非军事化隔离区。DMZ是一个位于内网和外网之间的特殊区域，一般用于放置公司对外开放的服务器，例如Web服务器，Ftp服务器，邮件服务器等。其实从ISA的角度来看，DMZ就是一个网络。有些朋友可能会有些疑问，为什么不把这些服务器直接放到内网呢？为什么需要DMZ这 个单独的网络呢？被发布的服务器放在内网是可以的，我们在前面的博文中已经讨论了技术上的可能性。但把发布服务器放在内网并非最佳选择，因为内网中还有其 他的计算机，这些计算机和发布服务器的安全设置并不相同。例如内网中的域控制器并不适合开放给外网用户，财务室人员使用的工作站更是要严加防护。但如果这 些计算机和发布服务器都放在内网，对我们进行访问控制是不利的。一旦发布服务器出现安全问题，有可能会危及内网其他计算机的安全。因此比较安全的解决方法 是把发布的服务器放在一个单独的隔离网络中，管理员针对隔离网络进行有别于内网的安全配置，这样一来的话显然对安全更加有利。 下面我们用一个实例来为大家介绍一下如何利用ISA2006部署和配置DMZ，拓扑如下图所示，Beijing是ISA2006服务器，Beijing有三块网卡，分别连接内网，外网和DMZ，DMZ在ISA中也被称为外围。Denver在内网，Perth是DMZ，Istanbul在外网。 一 创建DMZ Beijing是一个有三块网卡的ISA服务器，我们准备在Beijing上手工创建DMZ网络，网络范围是－55。这个工作我们也可以通过ISA2006自带的三向外围防火墙模板来进行，但这个模板和??内公司的网络环境不太匹配，因为国外公司的DMZ使用的往往是公网地址，而国内DMZ使用的大多是私网地址，这种环境上的差异会导致网络规则和防火墙策略配置上的差别，因此这个模板不太适合国内大多数公司使用，我们还是来手工创建并配置一个DMZ网络。 顺便介绍一个ISA中网络的一些基本原则，供大家创建网络时参考： 1、? ISA防火墙上的每个网络适配器可以有单个或者多个IP地址，但是每个IP地址只能与一个网络适配器所关联（NLB的虚拟IP地址不在此讨论范围内）。 2、? 一个地址只能属于一个网络；ISA防火墙上任何一个网络适配器都必须并且只能属于一个网络，并且这个网络适配器上的所有地址都必须属于相同的网络；一个网络可以包含一个或者多个网络适配器。 3、? 在网络定义的 地址范围中，应包含ISA防火墙对应网络适配器接口的IP地址。ISA将没有关联适配器的网络视为暂时断开连接，也就是说，ISA 服务器假定存在与该网络关联的适配器，但该适配器当前被禁用。当ISA服务器假定适配器断开连接时，ISA服务器将拒绝去往或来自属于断开的网络的IP地 址的通讯， 因为这些数据并没有通过和此网络相关联的网络适配器来进行转发，并认为这些数据包欺骗所有已启用的适配器。 4、? 对于除外部网络之外的其他网络的网络适配器后还有其他子网的情况（即可以通过此网络适配器所关联的网络中的某台路由器到达的其他的网络，称之为网络后面的网络）， 你必须在ISA防火墙对应的网络的定义中，包含这些子网的地址，否则ISA防火墙会触发IP欺骗或者配置错误的警告。这是因为没有在此网络中定义的IP地 址范围，不属于此网络，但是却又必须从此网络相关联的网络适配器进行数据的转发，ISA防火墙认为这是一种欺骗行为。 5、 通常情况下， 对于一个完整的网络定义，地址范围应该从网络地址起，到子网广播地址为止。例如一个C类网络/24，那么完整的网络地址范围为 ～55。对于网络地址是从A类网络地址、B类网络地址中划分的子网的情况，在网络地址范围中还需要包含对应 的A类网络、B类网络的广播地址，例如一个A类子网/24，那么内部网络地址中除了～55外，还需要包 括A类网络的广播地址55～55。建议你总是通过添加适配器来添加内部网络地址。非完整的网络定义不需要遵循此要求。 不过，对于没有关联网络适配器的网络被视为暂时断开连接这一假设存在例外，在这些例外情况中，ISA 服务器将该网络视为网络后面的网络，这些例外包括