ＤＭＺ区域的创建

项目实施简介：

Benet公司是一家拥有300多名员工的新型IT企业，公司有300多台安装WindowsXp/2003/2008的计算机。公司总部位于北京，在广州，上海等地设有分公司。随着公司业务的不断拓展，原有网络已不能满足公司的要求。公司决定将目前的网络进行改造，将网络重新规划为三个物理网段，增加DMZ区域，并把邮件服务器，数据库以及WEB服务器放置在DMZ区域中，整个网络拓扑如下：

 

                                                       拓扑做的不好，多多指教哈！

网络改造的总体要求：

（1） 易于配置

（2） 高可靠性和稳定性

（3） 更低的成本

（4） 安全性因素

（5） 易于管理

（6） 可拓展性

（7） 良好的售后服务

（8）所有项目的改造和实施符合国家相关标准

 

 

ISA server服务器实施

DMZ区域：

DMZ是英文“DeMiLitarized Zone”的简写，中文意思是非军事化区，也称停火区。

当DMZ区被创建后，相当于安全和非安全系统之间建立了一个缓冲区。这个区域主要用来放置一些必须公开的应用服务器，如Web服务器，邮件服务器，数据库服务器等。

DMZ一般被认为是一个过滤的子网，通过部署DMZ可以在内部网络和外部网络之间构造相应的安全区域。该区域的构造为内网又增加了一道安全屏障，同时也不会妨碍一些需要的互联网应用。DMZ的缺点就是在部署时比较繁琐。

创建并配置DMZ区：

 

1：创建DMZ区域

（1）在ISA Server计算机上打开“ISA服务管理器”，展开“配置”，右击“网络”，选择“新建” “网络”。

 

（2）：在“网络类型”页选择“外围网络”，单击“下一步”

 

（3）:在网络地址里单击“添加适配器”选择DMZ接口的网络地址，单击“确定”

 

2：创建DMZ区域的网络规则

在创建DMZ区域后，就要考虑DMZ区域的安全问题了。在ISA Server2006中，允许或拒绝访问该区域都是最先由网络规则来决定的，设置步骤如下：

（1） 打开ISA 管理器，单击“配置”，右击“配置”，右击“网络”，选择“新建”“网络规则”

 

（2） 在“网络通讯源”页中选择“内部”，单击“下一步”

 

(3) 在“网络通讯目标”页中选择“DMZ network”,单击“下一步”

 

（3） 在“网络关系”页中选择“路由”，单击“下一步”。

注意： 如果在两个网络间有一个NAT关系的网络规则，那么内部到外部的数据传输通过访问规则来定义，而外部到内部的数据传输通过发布规则来定义。

如果在两个网络间有一个路由关系的网络规则，那么无论是内部到外部的访问还是外部到内部的访问都可以使用访问规则。

（4） 重复步骤（1）~（3），创建DMZ-外网的网络规则。唯一不同之处是在创建网络规则时，网络源选择“DMZ network”，网络通讯目标选择“外部”，并且网络关系为“网络地址转换（NAT）”。

（5） 完成以上配置后单击“应用”，应用所有配置。

配置防火墙策略

1：防火墙访问规则的建立

完成区域的创建后，基本的网络规则也被创建了。这时已经具备了访问Internet 或发布服务器的前提条件。下面创建防火墙的访问规则来实现公司内部员工向DMZ区域的访问和对于Internet中Web服务器的访问。

（1）打开“ISA 服务管理器”，单击“阵列”右击“防火墙策略”，选择“新建”“访问规则”，创建访问规则。

 

（2）在“规则操作”页中选择“允许”，单击“下一步”。

 

（3）在“协议”页中选择“所有出站通讯”，单击“下一步”。

注意：在实际环境中严格禁止选择“所有出站协议”，如果选择了所有的出站协议，意味着ISA Server 将开放所有端口，只能起到代理服务器的功能，为了验证试验效果才可以采用“所有出站协议”

（4） 在“访问规则源”页中，选择“内部”，单击“下一步”。

 

（5）在“访问规则目标”页中，选择“DMZ network”“外部”单击“下一步”。

 

（6）在“用户集”页中选择“所有用户”，单击“下一步”。

（7）测试：在Client A客户机上登录，验证ISA设置规则的效果。可以看到访问外网的Web服务器和DMZ区的Web服务器时都是正常的。由于本人的电脑配置不好，具体的测试就要靠大家自己去测试了，只要安装我的步骤来的话，不会有问题的。如果有问题可以联系我。

2：发布DMZ区域中的邮件服务器

（1） 打开“ISA服务管理器”，右击“阵列”中的“防火墙策略”，选择“新建”“邮件服务器发布规则”。

 

（2） 选择访问类型时，选择“客户端访问（C）：RPC，IMAP，POP3，SMTP”

 

（3） 选择服务时，按照我的截图选择对应的服务

 

（4） 在选择服务器的时候，一定要选择DMZ区域中的邮件服务器地址，注意：只有这里和发布普通的内网邮件服务器不同。

（5） 在选择侦听的网络时，选择“外部”。

（6） 确认发布无误后，单击“完成”，完成创建邮件服务器发布规则。

（7） 接着创建OWA的访问规则。这些大家应该都会哦！如果不会站内站外联系我，我会在方便的时间及时回复你的。

（8） 在“ISA服务管理器”上单击“应用”。完成整个邮件服务器的发布工作。

（9） 最后发布DNS服务器，由于在通信的时候邮件的域名需要DNS服务器提供解析。所以一定要记得把DNS服务器发布出来，步骤和发布内网中的DNS服务器的做法相同。

3：发布DMZ区域中的Web服务器

（1） 新建Web服务器访问发布规则，建立单网站发布规则。

 

（2） 选择“使用不安全连接连接发布的Web服务器或服务器场”

（3） 在“内部发布详细信息”页要求按照我的截图来设置，也就是你要发布的Web网站的域名。

 

（4） 在“公共名称细节”页中选定“接受请求”为www.benet.com

（5）选择创建好的侦听器，并设置身份验证委派为“无委派”，客户端无法直接进行身份验证

（6）设定规则后应用下就OK了。完成Web规则的发布。

（7）最后就是验证了，前面说了哦！本人的计算机配置暂时不能运行3台虚拟机。本实验按照拓扑最少需要3台Windows Server 2003/2008。如果你是在机房做实验的话可以把网卡桥接出来，开至少3台虚拟机来完成实验。如果你是在真实的企业环境中的话，直接按照截图步骤来就OK。拓扑部分按照你自己的公司状况来。如果有什么问题可以站内站外联系我.

还是一样借用广告语：喜欢您来喜欢您再来@！@

Dominic

2011年3月28日星期一