现在防火墙（或者路由器）大多是阻止Internet上的用户攻击内网的服务器，但许多情况下，攻击并不是由外部发起的，也可能是从内部发起的。所谓“日防夜防，家贼难防”，如果内部的用户试图攻击服务器，服务器对于内部用户的攻击是没有任何保护措施的。多数情况下，内网用户需要高速访问内部服务器。那么，怎样才能既让内部用户高速访问内部服务器，又可以保护服务器不受内部、外部（Internet）用户的攻击呢？一个可靠的方案是将服务器放在防火墙的DMZ（Demilitarized Zone，隔离区）。

    本文将介绍怎样在不改变原服务器内网地址的情况下，将服务器放在DMZ区域的办法。

    内网直接访问隐患突出

    在大多数单位中，网络中的所有服务器通常接在核心交换机上，工作站通过接入层交换机接到核心交换机，服务器与工作站划分在不同的VLAN中。在图1所示的拓扑情况下，网络中的路由器（或者防火墙）可以阻止Internet的用户访问服务器，从而对服务器提供了一定的保护能力。但对于局域网来说，所有的工作站可以直接访问服务器。如果服务器没有及时打补丁或者存在某些漏洞，很容易被内网上的工作站攻击。这种攻击有时候并不是由使用工作站的用户发起的，可能是这些工作站感染了某些病毒或者木马而自动攻击服务器。另外，在大多数情况下，使用路由器提供到Internet的访问，性能与功能有限。

    网络改造 保护服务器

    基于此，可以将图1改成图2的拓扑结构，用一台具有三块网卡且已经安装ISA Server 2006的服务器代替原来的路由器。这台ISA Server的两块网卡设置了与原来路由器相同的IP地址，第三块网卡接入一个单独的交换机，网络中的服务器也接到这个单独的交换机上。

    在图1所示的网络中，划分了60个VLAN，分别从192．168．1．0～192．168．60．0，子网掩码都是255．255．255．0，服务器区使用了192.168.100.0/24，每个VLAN的网关地址都是254（例如192．168．1．0的网关地址是192．168．1．254）。路由器的内网地址是10．10．10．20/24，路由器接三层交换机的端口地址是10．10．10．10/24。三层交换机上有一条静态路由：

    ｉｐ ｒｏｕｔｅ－ｓｔａｔｉｃ ０．０．０．０ ０．０．０．０ １０．１０．１０．２０

    在改造后，ISA Server内网的地址设置为10．10．10．20/24，在此块网卡上不添加网关地址（并将此网卡命名为LAN），外网网卡设置为路由器原来的外网地址、子网掩码、网关地址与DNS地址（并将此网卡命名为Internet）。在该ISA Server的命令提示符下键入：

    Ｒｏｕｔｅ ａｄｄ －ｐ １９２．１６８．０．０ ｍａｓｋ ２５５．２５５．１９２．０ １０．１０．１０．１０

    这条命令的意义，是添加192．168．0．0～192．168．63．0/24这个64网段的静态路由，且包括了原来的60个VLAN的内部地址。

    在该ISA Server上创建一条规则，允许内网中的计算机访问外部Internet，从而ISA Server完成了代替图1中路由器的功能。

    后继调试

    经过上面的改造之后，还需要对核心交换机做如下调试：

    将图1中服务器区所在的VLAN的IP地址删除（在本例中，就是192．168．100．0/24），并且把所在VLAN删除。

    在ISA Server上再添加一块网卡，将新添加网卡接到新添加的千兆交换机上，原来服务器上的网线接到该千兆交换机上。

    在ISA Server上主要做以下的调试：

    1．将新添加的网卡重命名为DMZ，设置IP地址为192．168．100．254（就是在核心交换机中删除的那个VLAN端口的IP地址），设置子网掩码为255．255．255．0，不要设置网关地址。

    2．进入ISA Server 2006管理控制台，在“配置→网络”中，在右侧的任务窗格中，选中“模板”，单击“3向外围网络”。在“内部 网络IP地址”页中，单击“添加适配器”按钮，添加名为LAN的网卡。在“外围 网络IP地址”窗口中，单击“添加适配器”，选择名为DMZ的网卡。在“选择一个防火墙策略”窗口中，选择“阻止所有访问”，然后单击“下一步”按钮。在“正在完成网络模板向导”窗口中，单击“完成”按钮。

    3．修改网络规则：在默认情况下，外围与内部的关系是NAT，外围与外部的关系是路由。在此，需要修改外围与内部的关系是路由，修改外围与外部的关系是NAT。

    4．在ISA Server上创建规则，允许内部到外围区，一般使用HTTP、SMTP、FTP、POP3、DMZ和HTTPS协议即可，这已经包括了大多数的协议。如果你的服务器区使用了其他协议，例如SQL Server、非默认的Web端口（例如TCP的81），则添加这些协议即可。最后，单击“应用”按钮，让设置生效。

    改造后，不需要修改服务器的地址，也不需要修改客户端访问服务器的地址，但工作站与服务器之间经过ISA Server进行保护，增强了网络的安全。如果需要让Internet上的用户访问DMZ区域的服务器，创建到DMZ区域的服务器发布规则即可，有关这些操作在此不再赘述。

    这是一个真实的案例，为了保护原单位的信息，文中的IP地址已做了改动。从理论上来说，改造后的网络，在内部访问服务器时速度要比原来略慢，因为与以前的网络相比，增加了防火墙。但在实际使用中，最终用户没有觉察到网络做了改变。从改造后到现在已经过了一段时间，用户的使用与以前相同。

    ISA Server保护服务器技巧

    １．创建ＩＳＡ Ｓｅｒｖｅｒ协议规则，启用Ｉｎｔｅｒｎｅｔ ｐｒｏｔｏｃｏｌ（ＩＰ）数据包过滤，保护内网，防止病毒木马对服务器的攻击。

    ２．通过Ｉｎｔｅｒｎｅｔ启动客户端与ＩＳＡ Ｓｅｒｖｅｒ服务器的ＶＰＮ连接。然后，ＩＳＡ 服务器将远程客户端连接到内部网络，从而为用户提供对内部网络资源（包括数据和应用程序）的无缝访问权限。

    ３．ＩＳＡ和Ｍｉｃｒｏｓｏｆｔ Ｏｕｔｌｏｏｋ Ｗｅｂ Ａｃｃｅｓｓ 通过协作，共同增强电子邮件消息的安全性，从而安全地发布Ｏｕｔｌｏｏｋ Ｗｅｂ Ａｃｃｅｓｓ服务器。

    ４．使用ＩＳＡ Ｓｅｒｖｅｒ作为企业的代理服务器，实现内部网络访问Ｉｎｔｅｒｎｅｔ的访问策略，使ＩＳＡ Ｓｅｒｖｅｒ作为公司网络的软件防火墙来保护内部网络的安全，还可以实现重要服务器如邮件服务器和Ｗｅｂ服务器的安全发布等等。

    ５．对于企业中的多数典型部署，可以在一个安全的网络上将 Ｅｘｃｈａｎｇｅ部署在ＩＳＡ Ｓｅｒｖｅｒ服务器的后面。这样，就能够充分利用 ＩＳＡ Ｓｅｒｖｅｒ 的功能加固Ｅｘｃｈａｎｇｅ服务器的安全。
 

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。