DMZ报告Word文档格式.docx
《DMZ报告Word文档格式.docx》由会员分享,可在线阅读,更多相关《DMZ报告Word文档格式.docx(18页珍藏版)》请在冰豆网上搜索。
我們替STAR這家公司的DMZ內建置四種服務伺服器:
<
1>
DNSServer:
在ISAServer將DMZ內的DNSServer發行出去後,當外網的使用者提出DNS要求時,ISAServer會將要求轉向DMZ內的DNSServer來達到查詢的目標。
2>
WebServer(WebFarm+SSL):
●WebFarm:
在ISAServer將DMZ內的WebServer發行出去後,外網的使用者要求連接到STAR的WEB網站時,會因WebFram作用把要求分散到同一伺服器陣列中的不同網站,進而達成分擔網頁存取負荷的功能,若陣列中的一台網站故障,要求連入的使用者會自動導向另一台網站,得到所需的內容。
WebFram的設定,是在ISAServer端,新增一個伺服器陣列規則,將所需陣列的網頁的數個IP位址加入,並且將所需開通的規則發行。
●SSL:
SSL是一個安全性的通訊協定,它在網站與使用者間提供了驗證身分、加密與確認資料完整性的功能在網站主機向CA(CertificationAuthority憑證授權單位)申請憑證後,替網站安裝憑證,則可以針對整個網站、單一資料夾或是某個網頁來要求使用SSL連線。
3>
SMTP(Relay):
在ISAServer將DMZ內的SMTPServer發行出去後,使用者發送的郵件會傳送至SMTPServer,由SMTPServer負責將其傳送到目的地的SMTPServer並存放在Mailstore內。
在一個安全的網路中,SMTPServer應該避免直接與外網的SMTPServer溝通,所以在內網與網際網路之間,通常會架設一台SMTPRelay,它的作用是接收網際網路來的郵件,透過IIS內SMTP虛擬伺服器的設定,將外部郵件透過SMTPRelay轉送到所指定的網域內部SMTPServer。
SMTPRelay伺服器的最大功能除了轉送郵件以外,還有著過濾垃圾、病毒郵件,有效的管制Internet上的秩序
在ISAServer端的設定,需要開放SMTPRelay與內部網路、SMTPRelay與外部網路間可以流通的通訊協定。
4>
FTP(SSL):
檔案轉換通訊協定(FTP)是經由網路將檔案從一部電腦移動至另一部電腦的標準通訊協定,檔案會儲存在執行FTP伺服器軟體的伺服器電腦上。
而遠端電腦會使用FTP進行連接,從伺服器讀取檔案或是將檔案複製到伺服器上。
FTP伺服器是使用網際網路通訊協定進行通訊。
但FTP伺服器並不會執行Web網頁,而只會對遠端電腦傳送檔案以及從遠端電腦接收檔案
DMZ架設說明
✓以下建置過程預設在所有實體電腦、線路連結、程式安裝、TCP/IP設定正確後執行!
網路拓樸規劃請參照(圖1)。
✓所有的測試過程,都在完成ISA流量開放後執行,參照下圖(圖2)前牆規則,紅色框框部分為DMZ區內的規則與伺服器發行。
(圖2)
✧DNS:
1.在【開始>
控制台>
新增移除程式>
新增/移除Windows元件>
NetworkingServices的詳細資料中選取[網域名稱系統(DNS)]】,執行安裝。
2.在【開始>
系統管理工具>
DNS>
雙擊伺服器名稱>
對[正向對應區域]按右鍵>
新增區域】,在此建立一個名稱為STAR.com的正向對應區域並在STAR.com內新增以下(圖3)幾筆主機(A)資源紀錄
(圖3)
註:
由於此圖是於架設過程中擷取,因測試需要,有其他多筆主機資料
3.接著到外牆ISAServer(FW3、FW4)上點擊防火牆原則>
工作標籤>
發行非WEB伺服器通訊協定。
輸入DMZ內的DNS伺服器IP位置,接著通訊協定選擇[DNS伺服器],再勾選傾聽[外部]網路的要求,套用新設定,完成了發行DMZ內的DNS伺服器
4.最後要測試DNS發行是否成功,以及是否可以正確解析登記在DNS伺服器內的主機IP位置。
尋找一台外部的Client端電腦,在命令提示字元底下執行ping指令,向DMZ內的DNS查詢DC1的IP位置。
由於查詢及回應皆須通過前牆ISAServer,所以相關的通訊流量一定要開啟,流量過程詳圖如下(圖4)所示
(圖4)
✧WebServer(Farm+SSL):
1.由於為了降低STAR公司的網站負載及提高網頁存取效率,我們替WEB Server架構了WEBFarm的功能,使WEBServer有了容錯的功能。
又為了確保客戶連入WEB時所輸入的私人資料能夠在網路上安全的傳送,我們在替STAR公司的WEB設計時加入了SSL網站安全連線,以維護外部客戶的權益。
2.首先在DMZ區內替要做為WEBServer的兩部電腦安裝IIS。
【開始>
新增或移除程式>
新增/移除Windows元件>
ApplicationServer詳細資料內的[網際網路資訊服務(IIS)]】。
安裝完成後開啟系統管理工具內的IIS管理員,在資料夾-網站內會有一個預設網站,代表網站安裝正常。
3.先測試安裝的網站是否可以成功的執行,使用Host主機在IE上輸入WebServer的IP位置,連結成功,則會顯示出[建構中](圖5)的網頁,此網頁是安裝IIS後預設的Web網頁。
✓注意!
開啟預設頁面前,先確定預設網站的狀態是在[執行中]
(圖5)
4.為了要建立SSL安全連線,網站本身需要憑證資料(內含公開金鑰)才可以與使用者建立安全的連線管道。
憑證伺服器CA位於總公司DC1(192.168.10.1)上,在IE連結列輸入[
(圖6)
5.我們先替網站建立一組憑證申請檔案,在【開始>
網際網路資訊服務(IIS)管理員內>
展開本機電腦>
網站>
預設網站點擊右鍵>
內容>
標籤[目錄安全設定]>
安全通訊的[伺服器憑證]】,接著選擇建立新憑證,稍後傳送,輸入憑證名稱,在網站的一般名稱輸入[],最後設定憑證申請檔案的名稱,完成憑證申請檔案的建立。
6.到CA的首頁選擇【要求憑證>
進階憑證要求>
用Base-64編碼的CMC或PKCS#10檔案來提交憑證要求,或用...】。
之後利用記事本將上一步驟所建立的憑證申請檔案開啟,複製整個檔案的內容,貼到[以儲存的要求]下面的框內,之後提交。
7.由於STAR公司的CA伺服器是獨立CA,所以我們在CA上設定成自動發放,有利LAB架設時的方便。
提交後CA會直接發出憑證,選取[下載憑證]將檔案儲存到硬碟內。
回到CA首頁,在[選擇工作]下面選擇[下載CA憑證、憑證鏈結或CRL],並將CA憑證安裝到電腦,讓網站信任CA。
8.到預設網站的伺服器憑證,將CA發放的伺服器憑證安裝,SSL連結埠為預設的443,之後完成伺服器憑證安裝(圖7)。
(圖7)
回到【目錄安全設定>
安全通訊>
編輯】,勾選[必須使用安全通道(SSL)](圖8),之後當使用者連入時,就需使用https連入。
(圖8)
9.因為STAR公司的網站須具備WebFarm的功能,防止WebServer停止服務造成外部使用者無法連線,對公司及客戶造成損失,所以必須要有多台的WebServer來提供伺服器正常服務,因此到DMZ內的第二台WebServer安裝IIS,同樣將預設的網頁成功架設令其成為Web2。
10.在Web1上將申請的伺服器憑證(SSL)匯出(圖9),再匯入到Web2內,讓Web2也有SSL安全連線的能力,並讓Web2信任CA伺服器,這樣在客戶連入網頁的時候,才會讓兩個網站擁有相同的功能與服務。
✓注意!
千萬不可用[複製]將憑證匯入Web2,因為複製功能無法將[私密金鑰]一起匯出,必須在【預設網站>
目錄安全設定>
伺服器憑證>
匯出目前的憑證到pfx檔案】,或是在[執行]輸入mmc,在主控台根目錄>
憑證(本機電腦)>
個人>
憑證>
在點右鍵,將伺服器憑證匯出。
(圖9)
11.接著到前牆ISAServer建立伺服器陣列。
點擊【防火牆原則>
右側工作列工具箱>
網路物件>
新增[伺服器陣列]】
(圖10),輸入要伺服器陣列的電腦IP位置(192.168.11.1)與(192.168.11.2)。
(圖10)
接著在[伺服器連線陣列能力]我們選擇使用[傳送PING要求],因為在ISA端的所有PING流量全部開放,為了方便,所以我們使用PING要求來監視連線(圖11),完成伺服器陣列的新增(圖12)。
(圖11)
✓圖10是在尚未驗證時截取的畫面,正常畫面的結果欄位會顯示[正常]
(圖12)
✓注意,建立、發行或更動設定之後,務必要套用,讓總公司內部的CSS可以讀取到各ISAServer的設定。
12.接著要將剛剛建立的伺服器陣列發行,【防火牆原則>
右側工作列的工作>
發行網站】,選擇[允許]符合規則條件的連入要求,接著選擇[發行負載平衡的Web伺服器的伺服器陣列]。
由於外部使用者本來就可以透過ISASerevr存取DMZ區內的資源,所以在[伺服器連線安全性]我們選擇不使用SSL連線,降低網路負載。
接著輸入內部網站名稱[],在[指定伺服器陣列]內選取步驟11建立好的STAR公司的[WebFarm]伺服器陣列,接著在公用名稱輸入Web網址[],接著新增一個新的網頁接聽程式,同樣不選擇SSL安全連線,再接聽從[外部]連入的Web要求,接著選擇[沒有驗證]完成新增[Web接聽程式]。
在最後[驗證委派]選擇[沒有委派,用戶端無法直接驗證],完成了[SSL網站伺服器陣列]的發行(圖13)
(圖13)
13.所有的規則、流量、發行都已經在ISAServer前端防火牆設定完成,我們利用外部電腦(192.168.17.xxx)測試連接到DMZ的網站成功開啟Web1頁面後,接著測試WebFarme功能,我們將Web1關機,在剛剛Web1的頁面按重新整理,畫面則成功的導向Web2頁面,順利完成SSL連線的WebFarm架設。
測試電腦的預設閘道要設定ISAServer外網卡的預設閘道,DNS則是要指向ISAServer外網卡的IP,否則連結不到所查詢的頁面。
✓我們在設定Web接聽程式時,外牆的OWA佔用了80Port,內牆的CA也佔用了80Port,在同一端的ISA規則內,不允許兩種規則使用同一Port接聽,所以必須更改Web的HttpPort或是更改OWA與CA的HttpPort,才不會造成衝突,不然不能完成新增Web接聽程式,會出現警告畫面。
✓因為STAR公司的ISAServer前牆有NLB,所以我們有設定一組對外的VIP,這組VIP是外部流量對內的入口,要注意各Server的設定。
✧FTP(SSL)
1.FTP的架設是因應目前的資料量越來越大、越多的檔案需要被上傳下載或者是共享,而資料共享這樣的服務,也成為目前熱門且需求量大的資源之一。
我們替STAR這家公司架設了FTP站台,運用了zFTPServerSuiteV3.0,相較之Windows內建的FTP功能,zFTPServer提供了更為方便、人性化、強大的功能介面,包括:
●具備每秒34.95M高速傳輸速度實力。
●管理介面與主程式分離概念,方便遠端遙控。
●虛擬檔案系統,不同權限可以看到不同資料夾內容。
●支援系統服務,開機後背景執行。
●SSL/TLS加密傳輸、IP位址存取控管、防止連線攻擊。
●強大又有彈性的群組/使用者管理。
●PASV進階模式…等。
2.首先至官方網站http:
//zftp.twftp.org/index.php下載伺服器端主程式,安裝並且執行,並設定成系統開機時自動執行該服務,並選擇[以系統服務執行],讓FTP隨時處於提供服務的狀態。
3.開啟伺服器端程式後,會要求輸入登入伺服器的IP位置、系統管理員帳號、密碼等選項(圖14),在安裝時一定要設定系統管理員密碼,才可以控管伺服器端軟體。
(圖14)
✓註:
zFTPServer的伺服器位置[localhost:
3145]預設指向主機IP位置
4.在[設定帳號]內建立群組、使用者帳戶、設定檔案權限(圖15)
(圖15)
5.在[設定帳號]內選擇[只能使用SSL/TLS登入]
(圖16)
6.在[伺服器設定]內的SSL/TLS勾選使用FTP安全連線。
zFTPServer所提供的SSL連線模式分為ExplicitSSL(外顯式)與Implicit(隱含式),我們所選用的是ImplicitSSL(圖16)。
兩項設定的差異是Explicit是當Client端試圖連線到Server端時還是採用傳統的連線方式,並沒有因為使用ExplicitSSL/TLS的關係而不能開始連線!
!
這樣的好處是增加FTPClient端軟體的相容性,而只有在開始驗證帳號密碼後才開始使用AUTHSSL指令進行SSL/TLS加密,當然相對的這樣對伺服器的保護也稍差了些。
而ImplicitSSL/TLS相對的就是除了Client端開始進行TCP交握後就直接開始SSL/TLS連線,也就是全程都在SSL/TLS保護之下,這樣子的保護當然就更加嚴密了!
至於SSL和TLS的差別在於TLS是最新的SSL通訊協定版本,而TLS1.0套用了「訊息驗證碼的索引鍵雜湊(HMAC)」演算法,SSL3.0則套用「訊息驗證碼(MAC)」演算法。
如同MAC一般,HMAC也能產生完整性檢查值,但它具有雜湊函數架構
✓兩種SSL各會額外用到兩個Port:
490/990,建議使用預設值,並在外牆的FTP規則中一定要開放這兩個Port的流量(依個人所設定何種的SSL),否則會被ISA阻擋。
✓若客戶登入FTP時可以連線,但卻無法取得目錄,原因是FTP在防火牆使用被動模式連線,除了固定Port21/490/990之外,還需增加一個動態Port來連線。
要將動態Port定義好的範圍在防火牆中開放,才可以取得目錄。
7.接下來要測試所架設的zFTPServer是否可以成功的提供服務給客戶端程式。
我們所使用的客戶端程式是FileZilla,在測試電腦上安裝客戶端FileZilla,官網是http:
//filezilla-project.org/。
安裝完成之後,執行客戶端程式,在[站台管理員]內新增一個FP站台,並輸入所要連結的站台主機資料,伺服器的類型選擇FTPS,之後點選[連線](圖17)
(圖17)
✓注意,由於ISAServer的發行規則是設定FTP流量從192.168.17.10(ISAServer前牆的外網卡VIP)進入,所以客戶端不能直接設定FTPSerevr的IP位置(192.168.11.1),不然會無法連結到FTP。
✓IANA指定Ftps:
tcp:
990為ImplicitSSLFTP的預設Port,所以要輸入990,而伺服器端的監聽連接埠也需要為990。
8.成功連入之後,會取得FTP站台的SSL連線憑證(圖18)
(圖18)
✓若客戶端使用非FTPS的SSL安全連線,則完全無法連結到FTP站台,在伺服器端的畫面會顯示使用者不是使用安全的連線,進而拒絕連線(圖19)。
(圖19)
9.當客戶端確認信任這個憑證之後,訊息畫面就顯示SSL安全連線登入成功(圖20)。
(圖20)
10.完成FTP站台使用SSL安全連線的架設。
◆個人心得
這次的LAB從得知題目、分組、人員工作指派、環境規畫、採購、實體架設…一路到驗收,總共耗時一個半月多的時間,在這個TeamWork的過程當中,我相信每個組員都清楚了解到互助合作、溝通協調的重要性。
LAB的涵義不只在實現所學的技術,更重要的是每個人的想法觀念不同,要怎麼樣整合每個人的意見,接納別人的意見,都是需要學習的,外面社會的每一個群體若要有所成,一定是個人、團隊和組織相處良好,互信而產生共識,這都是LAB過程中所帶來給每個組員的附加價值。
當初在指派分工的時候,我自願選擇DMZ這個區塊,那時對DMZ是甚麼東西一點概念都沒有,沒聽過也沒有去了解過,直到後來不斷的看書、開會討論、到最後上課實做才徹底清楚DMZ在實際環境的運用,或許這也是對自己的挑戰,去嘗試未知的事情,才會學習到更多。
架設的過程從一開始,不知要設定哪些IP、該從哪個服務伺服器開始架設、該如何安裝和設定內容,實體線路要怎麼連結,經過不斷的嘗試,跟組員的討論,不同區塊主機互相的調整配合,接著大家一起除錯,一起苦惱,順利的一一把該有的服務全部上線,謝謝全組的組員大家同心協力,謝謝老師的問題指導,謝謝資策會這雙大手將我們拉攏在一起,可以有這個機會經歷這一次的LAB考驗,相信這會是對所有人一次極大的成長。
……網工73版主……阿默
升级会员 