# 1

我砍了企業根 CA 我對不起大家

資策會網路工程師班83期

MS Lab第一組

DMZ報告

班級：UC105

姓名：許富評

指導老師：

劉家聖 老師

戴有煒 老師

楊宏文 老師

# 2

目錄

DMZ 區網路拓樸規畫 ----------------- 3

DMZ 區 ISA 規則設定 ----------------- 6

Web Server--------------------------------- 8

FTP (SSL)--------------------------------- 14

心得感想---------------------------------- 19

# 3

AIR.com 機場 DMZ 區網路拓樸規畫

AIR.com機場 所規劃的 DMZ 區架設於 Back to Back 的二道防火牆

之間,以確保本機場網路的安全,而此區域提供四個服務,，ＤＮＳ、

ETS、ＷＥＢ、ＦＴＰ四種服務。

# 4

建置清單 作業系統

WEB1 Windows Server 2008

WEB2 Windows Server 2008

DNS1 Windows Server 2003 SP2

DNS 2 Windows Server 2003 SP2

FTP Windows Server 2003 SP2

D M Z 區 各 S E R V E R 功 能

我們替 AIR.com 機場的 DMZ 設置四種伺服器：

<1>DNS Server：

提供外面的使用者訪問 DMZ 區時,查詢各個服務的 IP 位置。

SSL（Secure Sockets Layer）：

SSL 是一個安全性的通訊協定，可對網路瀏覽和 FTP 資料傳輸，提供

安全的網際網路通訊機制

# 5

<2>Web Server(SSL NLB+DFS)：

提供外面的使用者瀏覽機場的網頁,利用 NLB 網路負載平衡(Web Farm)和

DFS 分散式檔案系統構建 AIR.com 機場高可用性高性能的 WEB 網站,並採用

SSL 機密連線, 加入 AD 網域,功能較完善而且支援自動檔案複寫,

<3>FTP (SSL)：

提供外面的使用者檔案的下載

讓二部不同作業系統的電腦之間透過 FTP 作檔案交換

<4>ETS：

提供郵件過濾的功能

# 6

DMZ 區 ISA 規則設定

規則 4: 用 ISA Server 2006 發佈內部網路的 IIS FTP 服務器

規則 5: 開放 FTPS 的加密 port 和被動式 port

規則 6: 開放 FTP HTTP 內部到外部連線

規則 10: 在 ISA Server 2006 發佈使用「 Web 發佈負載平衡」 功能

# 7

DNS：

1. 在開始 -> 控制台 -> 新增移除程式 -> 新增 [網域名稱系統(DNS)]

2. 在正向對應區域，建立一個名稱為 AIR.COM 的正向對應區域並在 AIR.COM

區內新增主機(A)

主機設定:

1.www 10.120.0.102 對外網站 IP

2.web1 192.168.3.5

3.web2 192.168.3.6

4.ftp 10.120.0.100 對外 FTP IP

# 8

5.dns1 192.168.3.4

6.dns2 192.168.3.8

<2>Web Server(NLB+DFS)：

1 .DMZ 區

1. 從「伺服器管理員」介面中的「角色」節點項目上點選「新增角色」，即可

開啟「選取伺服器角色」頁面。勾選「網頁伺服器（IIS）」元件

2. 接著測試安裝的網站是否可以瀏覽，在 IE 上鍵入 Web Server 的 IP 位置，

則會顯示出[建構中]的網頁，此為預設 Web 網頁。

3. 接著連到總公司 DC1 的 CA 首頁 dc1.air.com/certsrv

申請憑證資料

# 9

# 10

4. 使用 IIS 管理員指派 Web 元件伺服器的憑證

站台 -> Default Web Site 按右鍵 -> 聯繫 -> 新增 https 連接埠 -> 選擇

剛製作出的伺服器憑證(www1.air.com)

Default Web Site -> SSL 設定 -> 開啓功能

完成後點選動作中的瀏覽*.80(http)會發現 http://localhost 的伺服器回應要求

須使用 https 加密傳輸，但若瀏覽*.443(https)會發現瀏覽器驗證

https://localhost/憑證是不安全的，原因在於 URL 中的伺服器名稱和憑證主體

名稱不同，導致驗證失敗。如果將 URL 改為 https:// www1.air.com 便沒有此

問題了

5. 在 Web1 上將 AIR.com 申請的伺服器憑證(SSL)匯出，再匯入到 Web2 內

6. 接著到 CCS 前牆 ISA Server 建立伺服器陣列。點擊【防火牆原則 > 右側

工作列工具箱 > 網路物件 > 新增[伺服器陣列]】(圖 10)，輸入要伺服器

陣列的電腦 IP 位置(192.168.3.5)與(192.168.3.6)。

# 11

7.在[伺服器連線陣列能力]選擇使用[傳送 PING 要求]，因為在 ISA 端的所有

PING 流量全部開放，比較方便。

2 .公司內部

內部 Web Server(供機場內部員工使用)

外部網站使用 ISA 規則建立 Web Farm

而內部網站則透過網路負載平衡管理員建立 Web Farm

1.NLB 網路負載平衡

開啟 [網路負載平衡管理員]。

在 [網路負載平衡叢集] 上按一下滑鼠右鍵，再按 [連線到現存的]。

鍵入其中一個叢集主機的名稱，然後按一下 [連線]。

# 12

按一下 [連線] 後，存在該主機的「網路負載平衡」將列在此對話方塊的下方。

從 [網路負載平衡叢集管理員] 按一下要管理的叢集名稱，然後按一下 [結束]。

3. DFS

建立複寫資料夾

按一下 [開始]，並指向 [系統管理工具] 後，再按一下 [DFS 管理]。

在主控台樹狀目錄的 [複寫] 節點下，以滑鼠右鍵按一下複寫群組，然後按一下

[新增複寫資料夾]。

# 13

網站預覽

# 14

FTP (SSL):

FTP 則採用 FileZilla–免費 FTP 用戶端軟體，他有簡單直覺的介面，有著多

線程傳輸、續傳等功能，簡易的 FTPS 設定和隔離使用者。

# 15

1. 在[伺服器設定]內的 SSL/TLS settings 勾選 enable 使用 FTP 安全連線。

2.接著開啟被動模式,選到 Passive mode setting 最下面的 use custom port

range 就是 Server 選定 8890-8899 的 port 讓 Client 連入來傳送資料

# 16

並勾選 Use the fellowing IP:10.120.0.100

3.在 ISA 開放加密和被動式 port

# 17

4.接著使用 FTPS 加密連入

5.接收憑證

# 18

6.訊息畫面就顯示 SSL 安全連線登入成功

7.記得取消唯讀

# 19

心得感想:

這次做 LAB 感覺實做比平常老師上課時難度提高了許多,還好在

同學們的幫助下得以順利的完成 ,經過本次的練習,我對公司內

部的網路架構也比教清楚了,也感謝所有老師和同學的幫助和解

決難題