小默

http://www.microsoft.com/china/community/Column/72.mspx
-------------------------------------------------------------- 
這次筆者將介紹如何在企業(yè)中利用ISA Server部署一個(gè)DMZ區(qū)域。一般來(lái)講利用ISA Server可以實(shí)現(xiàn)三宿主的DMZ區(qū)域，也可以實(shí)現(xiàn)背靠背的DMZ區(qū)域。本文討論的焦點(diǎn)是三宿主的DMZ區(qū)域。

 首先，我們談?wù)劄楹我渴餌MZ區(qū)域，也就是說(shuō)一旦部署了DMZ，他對(duì)你的網(wǎng)絡(luò)產(chǎn)生什么樣的積極作用。有些企業(yè)可能從ISP申請(qǐng)了一個(gè)地址段的IP，但是往往出現(xiàn)這些IP不能有效的利用，構(gòu)建了DMZ區(qū)域后，這些IP可以靈活的分配到DMZ上的主機(jī)。此外，從DMZ區(qū)域到Internet流動(dòng)的數(shù)據(jù)包是被路由的，而不是被NAT，從ISA處理數(shù)據(jù)包的效率角度講，前者要優(yōu)于后者。
 現(xiàn)在，我們來(lái)看看要部署DMZ需要哪些條件
 - ISA需要有至少3個(gè)網(wǎng)絡(luò)接口卡
 - ISA Server是做為防火墻模式或者集成模式安裝的，可以是單機(jī)模式也可以是陣列模式
 - 在IP PACKET Filter的全局設(shè)置中，必須啟用Enable IP Routing
 - ISP分配了一個(gè)地址段的IP給你的公司
 - 配置在ISA外部接口的IP的子網(wǎng)掩碼不能與DMZ區(qū)域的子網(wǎng)掩碼相同

 在這篇文章里，筆者以一個(gè)模擬的真實(shí)環(huán)境來(lái)描述DMZ，試驗(yàn)的拓?fù)淙鐖D1所示。

(圖1)
 我們假設(shè)，你的公司從ISP購(gòu)買了一個(gè)C類的IP段，172.16.1.0/24。我們將172.16.1.33分配給ISA的外部接口。把172.16.1.64/26從172.16.1.0/24劃分出來(lái)分配給DMZ區(qū)域。注意，DMZ區(qū)域和ISA外部接口連接的區(qū)域是不同的邏輯網(wǎng)絡(luò)。一個(gè)常見(jiàn)的錯(cuò)誤是把DMZ區(qū)域和ISA外部接口規(guī)劃在一個(gè)IP邏輯網(wǎng)絡(luò)里。記住，從DMZ和外部網(wǎng)絡(luò)的通訊角度講，ISA扮演一個(gè)有過(guò)濾功能的路由器，而不是網(wǎng)橋，這也是為什么必需要啟用Enable IP Routing的原因。

 ISA Server的網(wǎng)絡(luò)接口配置如下

 Internal NIC
 IP:192.168.100.20/24
 Defaul Gateway(DG):None
 DNS:192.168.100.100

 DMZ NIC
 IP:192.168.100.65/26
 DG:None
 DNS:None

 External NIC
 IP:172.16.1.33/24
 DG:172.16.254
 DNS:10.10.10.10

 DMZ上的主機(jī)的網(wǎng)絡(luò)接口配置
 IP:172.16.1.66-126/26
 DG:172.16.1.65
 DNS:None

 內(nèi)部網(wǎng)絡(luò)（Internal）上的計(jì)算機(jī)
 IP:192.168.100.x/24
 DG:192.168.100.20
 DNS:192.168.100.100

 請(qǐng)?zhí)貏e注意以上的配置。對(duì)于ISA來(lái)講，缺省網(wǎng)關(guān)一定要配置在外部接口，原因很簡(jiǎn)單，一個(gè)去往未知IP的數(shù)據(jù)包，目標(biāo)一定位于Internet上，如果這個(gè)IP是在你的公司內(nèi)部網(wǎng)絡(luò)，那么你的網(wǎng)絡(luò)中的路由設(shè)置肯定存在問(wèn)題。既然是去往Internet上的，ISA必須可以將這個(gè)數(shù)據(jù)包從外部接口上送出去，所以缺省網(wǎng)關(guān)一定要配置在外部接口上。如果你的其他接口也配置的缺省網(wǎng)關(guān)，那么就一定會(huì)出現(xiàn)問(wèn)題，因?yàn)槟J(rèn)情況下，各個(gè)網(wǎng)絡(luò)接口上配置的缺省網(wǎng)關(guān)的Metric都是1，所以去往未知IP的數(shù)據(jù)包，就會(huì)從所有配置了缺省網(wǎng)關(guān)的網(wǎng)卡送出，也就是負(fù)載均衡，但是另一個(gè)不應(yīng)該配置缺省網(wǎng)關(guān)的網(wǎng)卡不能將數(shù)據(jù)包成功的送到目的IP，所以導(dǎo)致丟包，甚至無(wú)法通訊。內(nèi)部接口的DNS指向公司內(nèi)部的DNS服務(wù)器。外部接口的DNS指向一個(gè)可以解析Internet上所有域名的DNS服務(wù)器，這一點(diǎn)很重要，別忘了ISA要代理Web Proxy Client和FWC進(jìn)行DNS解析。DMZ接口上，我們并沒(méi)有配置DNS，當(dāng)然你也可以配置。對(duì)于DMZ區(qū)域上的主機(jī)，我們把網(wǎng)關(guān)指向ISA的DMZ網(wǎng)絡(luò)接口，因?yàn)镈MZ區(qū)域上的主機(jī)需要與Internet通訊，確切的講是被Internet用戶訪問(wèn)，而ISA是Internet出口的持有者。DNS指向我們也沒(méi)有在DMZ上的主機(jī)配置，因?yàn)镈MZ應(yīng)該是一個(gè)無(wú)人區(qū)，也就是說(shuō)DMZ上應(yīng)該是一個(gè)服務(wù)器農(nóng)場(chǎng)，而不是被用戶使用，瀏覽Internet的計(jì)算機(jī)，所以它沒(méi)有必要配置DNS，除非某臺(tái)服務(wù)器運(yùn)行的服務(wù)必須依賴與DNS。內(nèi)部網(wǎng)絡(luò)的主機(jī)設(shè)置不是此文討論的重點(diǎn)，所以在這里不展開(kāi)討論。
 另外，如果你對(duì)路由非常了解，從上邊給出的ISA的網(wǎng)絡(luò)接口配置看，你馬上會(huì)發(fā)現(xiàn)一個(gè)問(wèn)題。ISA外網(wǎng)接口連接172.16.1.0/24網(wǎng)段、而DMZ區(qū)域在172.16.1.64/26網(wǎng)段。我們假設(shè)這兩個(gè)網(wǎng)段的物理介質(zhì)是以太網(wǎng)標(biāo)準(zhǔn)，當(dāng)172.16.1.64/26網(wǎng)段中的某個(gè)主機(jī)發(fā)起和172.16.1.0/24網(wǎng)段中某臺(tái)主機(jī)通訊時(shí)，不妨假設(shè)172.16.1.69/26和172.16.1.254/24通訊，對(duì)于172.16.1.69/26，它認(rèn)為172.16.1.254/24和自己不同屬一個(gè)邏輯網(wǎng)段，所以它知道要把去往172.16.1.254/24的數(shù)據(jù)包發(fā)送給自己的網(wǎng)關(guān)172.16.1.65/26，由于172.16.1.69/26和172.16.1.65/26在一個(gè)廣播域，所以ARP解析不會(huì)出現(xiàn)問(wèn)題。但是反過(guò)來(lái)，當(dāng)172.16.1.254/24要路由或者始發(fā)一個(gè)數(shù)據(jù)包到172.16.1.69/26時(shí)，問(wèn)題就出現(xiàn)了。對(duì)于172.16.1.254/24來(lái)講，它認(rèn)為172.16.1.69和自己在一個(gè)邏輯網(wǎng)段，所以這個(gè)數(shù)據(jù)包應(yīng)該是直接發(fā)送到172.16.1.69/26，因此它就會(huì)ARP解析172.16.1.69/26的MAC地址，然而它們并不在同一個(gè)廣播域，所以這個(gè)ARP解析得不到答案，因此這個(gè)數(shù)據(jù)包就無(wú)法發(fā)送，然而，如果172.16.1.254/24可以成功的把去往172.16.1.69/26的數(shù)據(jù)包發(fā)送給172.16.1.33/24，也就是ISA Server，則這個(gè)數(shù)據(jù)包就可以被最終送往172.16.1.69/26。要解決這個(gè)問(wèn)題，我們應(yīng)該從兩個(gè)方面出發(fā)。如果ISA Server連接ISP的鏈路層協(xié)議是通過(guò)廣播技術(shù)尋址的，則解決的方法有3種，一是，與你的ISP聯(lián)系，使得和ISA相連的路由器中有一條明確的到172.16.1.64/26網(wǎng)絡(luò)下一跳為172.16.1.33/24的路由；二是，在ISA上實(shí)施一種對(duì)于鏈路層尋址的欺騙手段，例如，以太網(wǎng)的鏈路層尋址是通過(guò)ARP協(xié)議，所以你的ISA計(jì)算機(jī)上必須可以實(shí)現(xiàn)Proxy ARP功能，使得ISA計(jì)算機(jī)可以以自己外網(wǎng)接口的MAC地址回應(yīng)對(duì)172.16.1.64/26網(wǎng)絡(luò)中主機(jī)的ARP查詢；三是，把172.16.1.0/24和172.16.1.64/26網(wǎng)絡(luò)規(guī)劃到一個(gè)廣播域之中，如果采用這種方法，請(qǐng)注意ISA只能做“半過(guò)濾”來(lái)保護(hù)DMZ區(qū)域，但是這種保護(hù)也是有效的。換句淺顯易懂的話說(shuō)，從外網(wǎng)到DMZ區(qū)域的數(shù)據(jù)包是直接發(fā)送的，但是從DMZ區(qū)域到外網(wǎng)的數(shù)據(jù)包是經(jīng)由ISA Server送出到外網(wǎng)的。如果，ISA Server連接ISP的鏈路層協(xié)議是點(diǎn)對(duì)點(diǎn)的，那么你不用做任何事情，因?yàn)橹灰侨ネ?72.16.1.x的數(shù)據(jù)包，不論子網(wǎng)掩碼是24位還是26位還是27位，數(shù)據(jù)包都會(huì)正確無(wú)誤的發(fā)送到你的ISA Server的外網(wǎng)接口。在筆者的測(cè)試環(huán)境中，ISA和ISP的路由器之間的鏈路層協(xié)議是以太網(wǎng)，筆者對(duì)這個(gè)路由器有管理權(quán)力，所以采用了在路由器上添加路由的方法解決上述問(wèn)題。

 請(qǐng)?jiān)谀惆惭bISA Server之前，將這些配置設(shè)置好。一旦安裝好ISA Server，在ISA計(jì)算機(jī)上添加或者刪除網(wǎng)卡可能會(huì)引起意想不到的錯(cuò)誤。此外，最好在安裝好ISA Server后，不要修改IP的配置，如果你不得不這樣做，請(qǐng)遵循以下步驟：
 1， 在命令行中輸入net stop mspfltex
 2， 在命令行中輸入net stop gksvc
 3， 在命令行中輸入net stop IPNAT
 4， 修改相應(yīng)網(wǎng)卡的IP設(shè)置
 5， 在命令行中輸入net start mspfltex
 6， 在命令行中輸入net start IPNAT
 7， 在命令行中輸入net start isactrl
 8， 在命令行中輸入net start “Microsoft Web Proxy”
 9， 在命令行中輸入net start “Microsoft Firewall”
 10，在命令行中輸入net start “Microsoft Scheduled Cache Content Download”

 為了驗(yàn)證網(wǎng)絡(luò)層的連通性，我們通常會(huì)使用Ping工具。Ping工具實(shí)際上是ICMP協(xié)議的一種應(yīng)用實(shí)例。為了實(shí)現(xiàn)目的，你需要對(duì)ICMP協(xié)議有一些了解。當(dāng)一臺(tái)主機(jī)Ping一個(gè)遠(yuǎn)端計(jì)算機(jī)時(shí)，會(huì)以ICMP協(xié)議 類型8 代碼0（也就是通常所說(shuō)的ICMP Ping Query或者是ICMP Ping Request）封裝一個(gè)數(shù)據(jù)包發(fā)送出去，當(dāng)遠(yuǎn)端計(jì)算機(jī)收到這個(gè)數(shù)據(jù)包后，會(huì)以ICMP 協(xié)議類型0代碼0封裝（ICMP Ping Reply）回應(yīng)的數(shù)據(jù)包發(fā)送給源端。為了使DMZ上的主機(jī)可以Ping通Internet上的主機(jī)，你需要允許DMZ主機(jī)發(fā)送的ICMP Ping Query能夠被ISA Server發(fā)送到Internet上，反過(guò)來(lái)，要允許ICMP Ping Reply進(jìn)入到DMZ區(qū)域。這需要你在IP PACKET FILTER中建立2個(gè)封包過(guò)濾，具體內(nèi)容如圖2－圖9。

 完成之后，等待一會(huì)兒以便新建的封包過(guò)濾生效，也可以重新啟動(dòng)一下Firewall Service服務(wù)。之后驗(yàn)證DMZ的主機(jī)是否可以Ping通Internet上的主機(jī)（也就是我們模擬的10.10.10.10那臺(tái)計(jì)算機(jī)）。沒(méi)有問(wèn)題，DMZ和Internet的網(wǎng)絡(luò)層確實(shí)具有連通性，但是反過(guò)來(lái)10.10.10.10卻無(wú)法Ping通DMZ上的主機(jī)，也許這恰巧是你的愿望。如果你希望Internet的主機(jī)可以Ping通DMZ的主機(jī)，也很簡(jiǎn)單，只要把剛才建立的2個(gè)封包過(guò)濾的Direction 設(shè)置為Both即可，原理不再冗述。講到這里，如果你希望Internet上的計(jì)算機(jī)可以Ping通你的ISA Server的外部接口，就會(huì)變得極其簡(jiǎn)單，筆者也就不必浪費(fèi)筆墨。值得注意的是你不需要添加2個(gè)封包過(guò)濾，而是1個(gè)，如果你注意到IP PACKET FILTER中，已經(jīng)有默認(rèn)的名為ICMP outbound的封包過(guò)濾就不難理解，這個(gè)封包過(guò)濾允許ICMP 所有類型和代碼的數(shù)據(jù)包從ISA的外部接口送出，也就是說(shuō)你只需為進(jìn)入的ICMP Ping Query設(shè)置一個(gè)允許的封包過(guò)濾即可。如果你想了解ICMP協(xié)議的更多細(xì)節(jié)，可以參考TechNet CD或者微軟幫助站點(diǎn)中的Q170292文檔。

 在驗(yàn)證了DMZ區(qū)域和Internet的網(wǎng)絡(luò)層連通性后，我們要立刻切入正題：實(shí)現(xiàn)對(duì)DMZ區(qū)域的應(yīng)用。我們的目的是要使得DMZ區(qū)域的各種服務(wù)能夠被Internet上的用戶訪問(wèn)。你可以將Web服務(wù)、FTP服務(wù)、郵件服務(wù)等等部署在DMZ區(qū)域，從而提供Internet用戶的訪問(wèn)。筆者舉3個(gè)典型的例子來(lái)說(shuō)明ISA如何發(fā)布DMZ區(qū)域的服務(wù)器。

發(fā)布DMZ區(qū)域的Web服務(wù)
     1. 首先，設(shè)置好DMZ區(qū)域的Web 服務(wù)器，默認(rèn)情況下它應(yīng)該在80端口監(jiān)聽(tīng)Web請(qǐng)求,如圖10。設(shè)置完成后，請(qǐng)利用netstat 工具查看Web服務(wù)器是否在0.0.0.0上監(jiān)聽(tīng)80端口（筆者假設(shè)你沒(méi)有禁用SocketPooling）
   2. 在ISA Server上利用IP PACKET FILTER將Web服務(wù)發(fā)布。其實(shí)說(shuō)發(fā)布有些過(guò)于牽強(qiáng)，ISA實(shí)際上是一個(gè)具有過(guò)濾功能的路由器，所以我們只是允許來(lái)自Internet用戶的Web請(qǐng)求可以進(jìn)入到DMZ上的Web服務(wù)器。設(shè)置的內(nèi)容如圖11－圖14所示。
   3. 在Internet上的計(jì)算機(jī)驗(yàn)證是否可以正確訪問(wèn)位于DMZ區(qū)域的Web服務(wù)器。可以看到我們可以正確的訪問(wèn)Web頁(yè)面，正如圖15顯示的那樣。在驗(yàn)證之前，你應(yīng)該等待一會(huì)兒以使剛剛建立的封包過(guò)濾生效，或者重新啟動(dòng)Firewall Service服務(wù)。

 完成了，上邊的設(shè)置后，不僅Internet上的用戶可以訪問(wèn)這臺(tái)Web服務(wù)器，ISA Server連接的內(nèi)部網(wǎng)絡(luò)中的用戶也可以訪問(wèn)，因?yàn)槲覀冊(cè)趫D14中的Remote Computer中選擇的是All Remote Computers。

發(fā)布DMZ區(qū)域的FTP服務(wù)

 由于FTP有兩種工作模式，PORT和PASV模式，具體區(qū)別詳見(jiàn)本刊雜志2002年第九期《淺析FTP工作原理》。

 發(fā)布PORT模式的FTP的步驟如下
  1，設(shè)置好DMZ區(qū)域的FTP服務(wù)器，使其在21端口上監(jiān)聽(tīng)。如圖16。當(dāng)然你也可以使用其他端口，只不過(guò)要在配置IP PACKET FILTER時(shí)要做相應(yīng)的調(diào)整。
  2，不論哪種模式的FTP，都需要允許遠(yuǎn)端用戶連接FTP服務(wù)器21端口的進(jìn)入請(qǐng)求，所以需要為此建立一個(gè)封包過(guò)濾，具體設(shè)置如圖17－圖20。
  3，為FTP的數(shù)據(jù)通道的建立設(shè)置一個(gè)封包過(guò)濾。由于PORT模式的數(shù)據(jù)通道的建立請(qǐng)求是由FTP服務(wù)器主動(dòng)發(fā)起的，所以封包過(guò)濾的direction 應(yīng)該是Outbound而不是Inbound。具體的設(shè)置如圖21－圖22。

 發(fā)布PASV模式的FTP的步驟如下
  1，設(shè)置FTP服務(wù)器在21端口監(jiān)聽(tīng)，如上邊所述
  2，由于PASV模式的所有連接都是有FTP客戶端發(fā)起的，并且使用的端口并不是固定的，因此只需要一個(gè)“非安全”的封包過(guò)濾即可完成PASV模式的FTP服務(wù)器發(fā)布。如圖23－圖26。

 完成FTP的發(fā)布后，我們?cè)贗nternet上的FTP客戶端驗(yàn)證是否可以正確的以PORT和PASV模式連接到位于DMZ的FTP服務(wù)器，可以看到，如圖27和圖28，連接成功。在發(fā)布PASV模式的FTP服務(wù)器時(shí)，我們?cè)O(shè)置了一個(gè)安全性較差的封包過(guò)濾，但是這也是發(fā)布位于DMZ區(qū)域的PASV模式FTP的無(wú)奈之舉。因?yàn)槲覀冎繤TP的數(shù)據(jù)通道使用的端口是動(dòng)態(tài)的，而且動(dòng)態(tài)的范圍我們不易控制，特別是使用微軟IIS中提供的FTP服務(wù)，我們根本無(wú)法控制。不過(guò)你可以選擇另一款FTP服務(wù)器端軟件：ServU。這個(gè)服務(wù)器端軟件可以控制PASV模式建立數(shù)據(jù)通道時(shí)使用的端口范圍，通過(guò)設(shè)置這個(gè)端口范圍我們可以控制本地FTP數(shù)據(jù)通道使用的端口，但是相應(yīng)的，在IP PACKET FILTER中的設(shè)置也會(huì)麻煩許多，你要為這個(gè)端口范圍中包含的所有端口都設(shè)置一個(gè)進(jìn)入的封包過(guò)濾。如果你對(duì)安全性很重視，這個(gè)一勞永逸但是絕對(duì)麻煩的工作還是有必要的。筆者認(rèn)為，將FTP服務(wù)器部署在DMZ區(qū)域也許并不是一個(gè)明智之舉，除非你可以承受這臺(tái)FTP服務(wù)器可以受到攻擊的事實(shí)，或者你放棄使用PASV模式的FTP。然而，將FTP服務(wù)器部署在內(nèi)部網(wǎng)絡(luò)，可以在保證安全性的前提下（甚至是加強(qiáng)安全性）減輕許多工作，因?yàn)閯?dòng)態(tài)端口的問(wèn)題你不必勞神，F(xiàn)TP Application Filter和MS Proxy Protocol可以很好的為你解決，有關(guān)在內(nèi)部網(wǎng)絡(luò)部署FTP服務(wù)器的問(wèn)題請(qǐng)參考《使用ISA Server發(fā)布非標(biāo)準(zhǔn)端口的FTP服務(wù)器》以及《用ISA Server 2000發(fā)布內(nèi)部網(wǎng)絡(luò)的IIS FTP 服務(wù)器》。

 此外，如果你決定為在DMZ區(qū)域部署的FTP設(shè)置那個(gè)“非安全”封包過(guò)濾，筆者有必要做一些安全警告：你的這臺(tái)FTP服務(wù)器完全暴露給Internet上的所有用戶，任何Internet用戶可以連接這臺(tái)服務(wù)器的任意端口。ISA Server唯一可以做的是利用IP PACKET FILTER中的全局配置（Instruction Detection ）為這臺(tái)FTP服務(wù)器做一些保護(hù)。在這種情況下，你可以在FTP服務(wù)器上，安裝一款單機(jī)版的防火墻軟件來(lái)加強(qiáng)對(duì)這臺(tái)服務(wù)器的保護(hù)，這種保護(hù)是確實(shí)有效的，但是相應(yīng)的也會(huì)增加成本。筆者推薦以下幾款單機(jī)版防火墻軟件：Norton Internet Security、BlackICE、ZoneAlarm、天網(wǎng)防火墻。

 下邊，筆者介紹一個(gè)很有意思的發(fā)布DMZ區(qū)域的Mail Relay Server的案例。在很多企業(yè)中，郵件服務(wù)是非常重要的，所以要有一種可行的措施有效的保護(hù)企業(yè)內(nèi)部的郵件服務(wù)器不被攻擊。如果這個(gè)郵件服務(wù)器必須被漫游的用戶使用，那么這臺(tái)郵件服務(wù)器就必須可以通過(guò)Internet被訪問(wèn)，這樣就面臨兩種選擇，一是把郵件服務(wù)器部署在內(nèi)部網(wǎng)絡(luò)，然后通過(guò)ISA發(fā)布出去；另一種是把郵件服務(wù)器部署在DMZ區(qū)域利用IP PACKET FILTER發(fā)布。我們可以綜合一下以上兩種方案的安全和性能的平衡點(diǎn)，把郵件服務(wù)器部署在內(nèi)部網(wǎng)絡(luò)，在DMZ區(qū)域部署一臺(tái)郵件轉(zhuǎn)發(fā)服務(wù)器，通過(guò)ISA只發(fā)布位于DMZ區(qū)域的郵件轉(zhuǎn)發(fā)服務(wù)器，這樣不僅可以有效的保護(hù)郵件系統(tǒng)的真實(shí)宿主不被攻擊，因?yàn)槟惆l(fā)布的只是一個(gè)郵件轉(zhuǎn)發(fā)服務(wù)器，同時(shí)也能夠利用郵件轉(zhuǎn)發(fā)服務(wù)器和ISA的SMTP Filter實(shí)施分級(jí)的郵件過(guò)濾。

 完成這個(gè)發(fā)布工作我們需要做以下幾件事情
 - 在企業(yè)內(nèi)部部署Exchange Server 2000（本文不討論）
 - 在DMZ區(qū)域部署郵件轉(zhuǎn)發(fā)服務(wù)器
 - 發(fā)布內(nèi)部網(wǎng)絡(luò)的郵件服務(wù)器給DMZ區(qū)域的郵件轉(zhuǎn)發(fā)服務(wù)器
 - 利用IP PACKET Filter發(fā)布郵件轉(zhuǎn)發(fā)服務(wù)器