一、网络概况
假设站点包含两个网段,即10.1.0.0和外部接口IP地址段202.96.215.49---202.96.215.62.
子网掩码分别为255.0.0.0、255.255.255.240.
其中的两台服务器10.1.0.1 及 10.1.0.2 分别扮演防火墙和应用服务器的角色,作为防火墙的服务器还具有一个外部接口地址202.96.215.49,以便内部网络访问INTERNET和内部Web信息的发布.服务器由路由器通过64K DDN 专线连入INTERNET.在NT服务器上运行的服务包括Proxy、Dns、Firewell、www及E-mail,操作系统为Windows NT 4.0.
二、相应服务的实现
<一>域名解析
由于域名系统DNS为一个分布式的数据库,因此各区域内的信息记录可由自身的域名服务器管理并向外提供解析服务,只要站点申请了域名、具有了一段有效的IP地址和ISP供应商给予了自身解析的权力,确切的说在ISP 的DNS服务器中相应的区域下具有标明权威信息的NS记录和指向相应域名服务器的A记录.以此站点(假设域名为3-enet.com,Web访问网址为www.3-enet.com)为例,在ISP的DNS服务服务器的3-enet.com区域下有如下记录:
3-enet.com NS dns.3-enet.com
dns A 202.96.215.49
在这里指明了所有3-enet.com区域的名字解析由地址为202.96.215.49的域名服务器负责管理.而在3-enet.com站点中,域名服务器的角色由地址为10.1.0.1的服务器扮演,其具有外部接口202.96.215.49.
为实现自身的域名解析,就需要在服务器中载入DNS服务,创建3-enet.com区域,配置如下信息:
3-enet.com NS dns.3-enet.com
dns A 202.96.215.49
mail A 202.96.215.49(实现E-mail服务器的隐藏转发)
www CNAME dns.3-enet.com
3-enet.com MX[10] mail.3-enet.com
每一条信息的具体含义在下面一一说明
<二>代理服务和防火墙
在站点的规划上从安全性上考虑有如下思路:把具体的应用服务器如www,E-mail服务等放置在地址为10.1.0.2的服务器上隐藏于服务器202.96.215.49(其DNS名称为dns.3-enet.com,别名为www.3-enet.com)之后,如前面拓扑图所示.这样一来对于外部访问者来说,进入站点访问相关服务的途径仿佛只有202.96.215.49这一接口.
A.www,E-mail服务的隐藏和转发
在服务器202.96.215.49中除了运行DNS服务之外,为实现服务的隐藏和转发,还装载了MS Proxy server.通过代理服务器具有的反向代理和多主机反向代理的机制,利用Web Proxy 把所有www服务的访问转向10.1.0.2,但是在这转发和隐藏实现的前提是web访问必须首先指向202.96.215.49,由于Web访问的地址是www..3-enet.com.因此在域名解析记录的配置中就有了这一条记录:
www CNAME dns.3-enet.com.
Web proxy 的Web publishing 属性可实现上述功能,注意:其中的send to the local server应指向10.1.0.2 端口为80.
同理对于E-mail service 转发和隐藏,可通过proxy server 提供的Winsock proxy 服务实现.由于Winsock proxy 可与Exchange server很好的通信,能把从Internet进来的邮件直接发往由Exchange server 构建的服务器.因此通过Exchange server的IMS 服务在应用服务器10.1.0.2上建立邮件接收和发送服务并且在应用服务器上装载Winsock proxy client 软件让其成为202.96.215.49的代理客户,这样就能很好的实现隐藏和转发.(注意:隐藏于代理服务器后的应用服务器地址必须在proxy server 所指明的局部地址表中,否则安装Winsock proxy client会出现错误).
B. IP包过滤及日志
为了让站点具有更好的安全性,在服务器202.96.215.49采用IP包过滤,只允许相应的协议和端口通过,其余的都被堵塞和过滤.在这里允许通过并访问相关的服务的端口和协议分别为:
protocol port comment 访问方向
UDP 53 DNS服务 IN&OUT
TCP 110 POP3服务 IN&OUT
TCP 25 SMTP服务 IN&OUT
TCP 80 WWW服务 IN&OUT
这里可通过Proxy server 提供的动态包过滤服务来实现.
有必要在包过滤运行的同时做好日志的记录,这是由于Proxy server具有动态记录和跟踪的特点,可利用此特点做好相应的记录,当发现异常时可及时获取通知以采取措施.
C.代理服务
为内部网络用户浏览INTERNET提供接口,这也由Proxy server 实现. 同时为防止诸如”代理猎手”之类的黑客软件的端口探测,在代理服务中使用了Access control.
<三>邮件服务
在应用服务器10.1.0.2上,以Exchange server 5.5 提供的IMS service ,提供接受和发送E-mail的服务.配置IMS时,有两点需要注意:
SMTP地址范围的设置
在DNS中建立正确的MX记录:
3-enet.com MX[10] mail.3-enet.com
c.邮件服务器地址:mail.3-enet.com
注意是指向202.96.215.49.这样一来才能实现邮件服务器的隐藏,所有的邮件操作均由代理服务器转发.
<四>客户端软件的安装和各种应用服务的代理
为了在客户端上运行各种Winsock ,Socks应用程序(如OICQ,收发电子邮件(outlook express)),还必须在客户端上运行Winsock proxy client.
