首页 理论教育 公司对外服务安全配置优化

公司对外服务安全配置优化

时间:2023-06-24 理论教育 版权反馈
【摘要】:为了使外网能正常并安全地访问这些服务,需要在防火墙上做目的地址转换配置。当配置成功后,PC2能通过公共网络访问总公司DMZ区域的服务器资源。项目拓展在企业A总公司的Server1服务器上部署FTP服务,利用

公司对外服务安全配置优化

学习目标

·了解DMZ区域的作用

·理解DNAT的原理

·掌握DNAT的配置方法

任务引言

在当前的网络结构中,设置外网对内网的安全访问已不可避免,特别是外网访问内网的各种服务,如DNS、WWW、E-mail等。

知识引入

目的地址转换(Destination Network Address Translation,DNAT)是在用外网IP地址访问内网服务时,将外网IP地址转换为指定的内网IP地址。这既能使外网正常访问内网服务,又能保护内网结构安全。

工作任务——DNAT配置

【工作任务背景】

企业A总公司在防火墙的DMZ区域放置服务器,提供Web、E-mail、DNS等服务。为了使外网能正常并安全地访问这些服务,需要在防火墙上做目的地址转换配置。拓扑如图5-3-1所示。

图5-3-1 公司网络DNAT配置

【工作任务分析】

PC1和PC2分别模拟总公司内部客户端和Internet客户端,Server1和Server2分别模拟总公司内部服务器和Internet服务器。当配置成功后,PC2能通过公共网络访问总公司DMZ区域的服务器资源。参数要求见表5-3-1和表5-3-2。

表5-3-1 网络设备信息

续表

表5-3-2 PC信息

【任务实现】

1.根据所学知识,完成拓扑中网络设备的主机名、网络地址的设定。

2.在路由器设备上设置必要的路由,实现网络拓扑通信

3.初始化在Server1上的Web和DNS服务。

(1)在Server1上打开网络连接控制面板,修改主机的IP地址和DNS服务器地址,如图5-3-2所示。

图5-3-2 Server1网络设置

(2)打开Server1服务区管理器仪表盘,单击右上角的“管理”菜单,选择“添加角色和功能”,如图5-3-3所示。

图5-3-3 服务器管理器仪表盘

(3)根据提示单击“下一步”按钮,在“选择服务器角色”面板中选择“DNS服务器”和“Web服务器”进行安装,如图5-3-4所示。

(4)安装成功后,使用指令“dnsmgmt.msc”打开“DNS管理器”页面,右击“正向查找区域”,选择“新建区域”,如图5-3-5所示。

(www.xing528.com)

图5-3-4 安装DNS和W eb服务

图5-3-5 新建DNS正向区域

(5)选择“主要区域”,单击“下一步”按钮,如图5-3-6所示。在区域名称中输入“example.com”,如图5-3-7所示。单击“下一步”按钮,单击“完成”按钮。

图5-3-6 创建主要区域

图5-3-7 创建examp le.com解析区域

(6)创建好正向区域后,单击“example.com”正向解析文件,在空白处右击,选择“新建主机(A或AAAA)”,如图5-3-8所示。新建主机解析A记录,输入名称为“www”,解析的地址为“100.1.1.2”,如图5-3-9所示。

图5-3-8 创建A记录

图5-3-9 指定解析明细

4.在Edgefw上部署DNAT。

5.在Edgefw上放行Internet端访问DMZ服务器上的DNS和HTTP流量

6.在PC2上进行域名解析和Web访问测试,如图5-3-10和图5-3-11所示。

图5-3-10 PC2域名解析测试

图5-3-11 PC2W eb访问测试

7.在Edgefw上查看NAT转换状态。

问题探究

1.简述DNAT的应用。

2.简述防火墙ACL的放行规则。

知识拓展

防火墙安全级别:默认情况下,同一个安全级别的接口不能相互通信,并且数据包无法进入和退出同一接口。

inter-interface:同一安全等级的接口之间可以通信。

intra-interface:启用连接同一接口的主机之间的通信。

项目拓展

在企业A总公司的Server1服务器上部署FTP服务,利用目的地址转换实现公共网络对服务的安全访问。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈