طراحی ساختار DMZ
با سلام و خسته نباشید خدمت اساتید بزرگوار
من توی جایی چنین شبکه ای پیاده کردم :
ساختار DMZ با دو عدد فایروال و سرورهای DMZ من بصورت VM هستند.Getway سرورهای DMZ هم 10.1.1.14 هست.حالا با توجه به قرارگیری سرور Exchange تو Server Zone و Edge Server تو DMZ Zone و نیاز به ارتباط بین آنها (یعنی ارتباط DMZ & Server Zone)چه باید کرد؟
مشکل من اینه که با توجه به Getway سرورهای DMZ (یعنی 10.1.1.14)کلیه ترافیک به سمت فایروال بیرونی میره و من مجبورم تو فایروال بیرونی Route به سمت زون داخلی ها بنویسم و تو فایروال داخلی ترافیک رو از فایروال بیرونی به سمت فایروال داخلی باز کنم که فک کنم این یک ضعف حساب میشه و خیلی ریسک پذیره.
تو اینترنت که سرچ کردم بعضی ها پیشنهاد دادن که سرورهای DMZ میتونن دو تا کارت شبکه داشته باشن.کسی در مورد این قضیه میتونه کمکم کنه؟آیا با این روش میشه به نتیجه رسید؟
7 پاسخ
اکی.
یعنی شما میگین Getway سرورها به سمت اینترنت رو بردارم و از فایروال بیرونی به سمت سرورها NAT کنم.درسته؟
بعد برای دسترسی کلاینت ها (Internal) و سرورها (Server) به اینترنت چیکار کنم؟باید روی یکی از سرورهای DMZ عملیات روتینگ رو انجام بدم؟چجوریه؟
من میگم اصلا به سرورها اینترنت ندین ، دوست عزیز در مراکز حساس هیچ ارتباطی بین اینترنت و سرور های اصلی وجود نداره
دوست عزیز اگر این کارها رو میخواین انجام بدین ، میشه بفرمائید پس این dmz رو برای چی راه اندازی کردین؟
اگر میخواین بازم همچین کاری انجام بدین کلاینتها رو هم توی dmz قرار بدین تا dmz و کلاینتها توی یک شبکه باشن و سرورها پشت فایروال داخلی...
ممنون از راهنماییتون
طبق چیزی که شما گفتین شکل به صورت زیر میشه :
الان تمام سرورهایی که در زون DMZ هستند به دو تا شبکه وصل هستند و در واقع دو تا Getway دارند!! که دوباره این خودش یک مشکله.یکی برای ارتباط به Internal و یکی برای دسترسی به اینترنت.برای این قضیه که دو تا Getway داره راه حلی هست؟
از طرفی برای سیستم های Internal & Server Zone برای اتصال به اینترنت چه باید کرد؟نیاز به راه اندازی Routing روی کدوم سرورهای DMZ می باشد؟یا اینکه باید Router در راه قرار داد؟
با تشکر و سپاس از جناب رسول دانش نسبت به توضیحات ارائه شده.
تو اینترنت که سرچ زدم نوشته بود محیط DMZ باید 4 ویژگی داشته باشد :
1)دسترسی به سرورهای DMZ از اینترنت (Mapping HTTP Service)
2)دسترسی سرورهای DMZ به اینترنت (NAT)
3)Rule به جهت دسترسی LAN 2 DMZ
4)Rule به جهت عدم دسترسی DMZ 2 LAN
به خاطر همین گفتم.ولی شما که توضیح دادین متوجه شدم و دسترسی مستقیم به اینترنت رو قطع کردم.
در مورد آخرین دیاگرام کشیده شده چجوری باید به کلاینتها اینترنت بدم؟
شما dmz رو راه اندازی کردین که ارتباط مستقیم سرورها با اینترنت رو قطع کنید تا امنیت رو افزایش بدین ، اما الان دوباره میخواین اونها رو اینترنت وصل کنید؟!!!!!
سلام
توضیحاتتون با نقشه ای که کشیدین هم خوانی نداره
اینجوری که نقشه کشیدین یعنی dmz شما دوتا ورودی و خروجی داره اما توی توضیحاتی که دادین نشون میده که یک رنج شبکه است و یعنی dmz شما یک ورودی و خروجی داره
دوست عزیز بهتره که همون کاری که خودتون فرمودین رو انجام بدین و برای ارتباط داخلی یک کارت شبکه دیگه با رنج دیگه داشته باشین.. یعنی دقیقا مثل نقشه ای که کشیدین اما رنج ip اون قسمتی که از dmz به سمت فایروال داخلی میاد متفاوت است
خواهش میکنم
عرض کردم اگر میخواین کلاینتها اینترنت داشته باشند ، کلاینتها رو بیارین توی dmz و بهشون اینترنت بدین تا امنیت سرور ها برقرار بشه
البته میشه توی فایروال داخلی هم به ip کلاینتها به صورت محدود اینترنت بدین ، اما اگر این کار رو نکنید بهتره و همون روش اول که عرض کردم رو اجرا کنید