用VPN防火墙地DMZ端口实现企业信息化.docVIP

PAGE PAGE 9妙用VPN防火墙的DMZ端口实现企业信息化 目前典型的中小商用企业VPN防火墙部署需求目前一个典型的局域网用户数在200个以下的中小商业企业用户在构建自己单位的VPN防火墙时，基本的需求如下:所有局域网用户能通过此防火墙实现安全的宽带上网,访问Internet申请一个域名,部署自己的邮件服务器(Email Server) 和文件服务器(File Server), 能为互联网和内部网络用户提供服务采用VPN方式,能让自己的出差员工能通过公网访问公司局域网内的一些应用程序本文以自己单位信息化组网为实例，举例说明应如何合理部属中小商用网络的VPN防火墙，快速实现企业信息化。理解DMZ（非军事区）DMZ的定义DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。就是在一般的防火墙系统内定义一个区域，在该区域内通常放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可以接触到存放在内网中的公司机密或私人信息等。 如下图，是一个典型的DMZ区的应用图，用户将Web、Mail、FTP等需要为内部和外部网络提供服务的服务器放置到防火墙的DMZ区内。通过合理的策略规划，使DMZ中服务器既免受到来自外网络的入侵和破坏，也不会对内网中的机密信息造成影响。DMZ服务区好比一道屏障，在其中放置外网服务器，在为外网用户提供服务的同时也有效地保障了内部网络的安全。图1：DMZ应用图例在上图中，我们可以看到用户将其网络划分为三个区域：安全级别最高的LAN Area（内网）,安全级别中等的DMZ区域和安全级别最低的Internet区域（外网）。三个区域因担负不同的任务而拥有不同的访问策略。我们在配置一个拥有DMZ区的网络的时候通常定义以下的访问控制策略以实现DMZ区的屏障功能。1.内网可以访问外网　　内网的用户需要自由地访问外网。在这一策略中，防火墙需要执行NAT。 2.内网可以访问DMZ　　此策略使内网用户可以使用或者管理DMZ中的服务器。 3.外网不能访问内网　 这是防火墙的基本策略了，内网中存放的是公司内部数据，显然这些数据是不允许外网的用户进行访问的。如果要访问，就要通过VPN方式来进行。4.外网可以访问DMZ　　DMZ中的服务器需要为外界提供服务，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。 5.DMZ不能访问内网　 如果不执行此策略，则当入侵者攻陷DMZ时，内部网络将不会受保护。　6.DMZ不能访问外网　　此条策略也有例外，比如我们的例子中，在DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。在没有DMZ的技术之前，需要使用外网服务器的用户必须在其防火墙上面开放端口(就是Port Forwarding技术)使互联网的用户访问其外网服务器，显然，这种做法会因为防火墙对互联网开放了一些必要的端口降低了需要受严密保护的内网区域的安全性，黑客们只需要攻陷外网服务器，那么整个内部网络就完全崩溃了。DMZ区的诞生恰恰为需用架设外网服务器的用户解决了内部网络的安全性问题。以下我们以美国网件公司(NETGEAR Inc.,)的高性能VPN防火墙FVX538为例子，介绍如何通过合理地利用DMZ发布外网服务器及有效地保护公司的内部网络不受破坏。网络规划单位欲构建一个150个用户左右的局域网，局域网需要实现资源共享及Internet访问，同时需要建立Email邮件服务器 ( Email Server) 和文件共享服务器 (File Server)，为互联网和内部网络用户提供服务设备选型：根据单位使用的要求要求，我们选择了性价比比较高的的美国网件公司的FVX538 VPN防火墙，该产品提供5年的质量保证（信心的保证），两个WAN接口（负载均衡、冗余），10，000并发连接（200个用户上网是无问题的，SPI状态检测的防火墙（配置简单），200通道的VPN（企业发展的需要），独立的DMZ端口（有效的外网发布），另外值的一提的是还赠送五用户的VPN客户端软件，实在是物超所值的。线路选择：线路根据单位的使用条件和用户数量，我们选用了中国网通的10兆的光纤线路，两个固定的公网IP地址，一个用户上网，另外一个用于收发邮件。网络规划：内部网络： /24 网关：/24DMZ服务区：/24 网关：/24Internet端口：28邮件服务器： 29配置FVX538的DMZ服务区：FVX538的DMZNetgear的FVX538上定义第八个交换端口为固定的硬件DMZ端口，但在默认状态下，该端口被