Upload
song-song
View
218
Download
6
Embed Size (px)
DESCRIPTION
111111111111111111111111111111
Citation preview
# 2
目錄
DMZ 區網路拓樸規畫 ----------------- 3
DMZ 區 ISA 規則設定 ----------------- 6
Web Server--------------------------------- 8
FTP (SSL)--------------------------------- 14
心得感想---------------------------------- 19
# 3
AIR.com 機場 DMZ 區網路拓樸規畫
AIR.com機場 所規劃的 DMZ 區架設於 Back to Back 的二道防火牆
之間,以確保本機場網路的安全,而此區域提供四個服務,,DNS、
ETS、WEB、FTP四種服務。
# 4
建置清單 作業系統
WEB1 Windows Server 2008
WEB2 Windows Server 2008
DNS1 Windows Server 2003 SP2
DNS 2 Windows Server 2003 SP2
FTP Windows Server 2003 SP2
D M Z 區 各 S E R V E R 功 能
我們替 AIR.com 機場的 DMZ 設置四種伺服器:
<1>DNS Server:
提供外面的使用者訪問 DMZ 區時,查詢各個服務的 IP 位置。
SSL(Secure Sockets Layer):
SSL 是一個安全性的通訊協定,可對網路瀏覽和 FTP 資料傳輸,提供
安全的網際網路通訊機制
# 5
<2>Web Server(SSL NLB+DFS):
提供外面的使用者瀏覽機場的網頁,利用 NLB 網路負載平衡(Web Farm)和
DFS 分散式檔案系統構建 AIR.com 機場高可用性高性能的 WEB 網站,並採用
SSL 機密連線, 加入 AD 網域,功能較完善而且支援自動檔案複寫,
<3>FTP (SSL):
提供外面的使用者檔案的下載
讓二部不同作業系統的電腦之間透過 FTP 作檔案交換
<4>ETS:
提供郵件過濾的功能
# 6
DMZ 區 ISA 規則設定
規則 4: 用 ISA Server 2006 發佈內部網路的 IIS FTP 服務器
規則 5: 開放 FTPS 的加密 port 和被動式 port
規則 6: 開放 FTP HTTP 內部到外部連線
規則 10: 在 ISA Server 2006 發佈使用「 Web 發佈負載平衡」 功能
# 7
DNS:
1. 在開始 -> 控制台 -> 新增移除程式 -> 新增 [網域名稱系統(DNS)]
2. 在正向對應區域,建立一個名稱為 AIR.COM 的正向對應區域並在 AIR.COM
區內新增主機(A)
主機設定:
1.www 10.120.0.102 對外網站 IP
2.web1 192.168.3.5
3.web2 192.168.3.6
4.ftp 10.120.0.100 對外 FTP IP
# 8
5.dns1 192.168.3.4
6.dns2 192.168.3.8
<2>Web Server(NLB+DFS):
1 .DMZ 區
1. 從「伺服器管理員」介面中的「角色」節點項目上點選「新增角色」,即可
開啟「選取伺服器角色」頁面。勾選「網頁伺服器(IIS)」元件
2. 接著測試安裝的網站是否可以瀏覽,在 IE 上鍵入 Web Server 的 IP 位置,
則會顯示出[建構中]的網頁,此為預設 Web 網頁。
3. 接著連到總公司 DC1 的 CA 首頁 dc1.air.com/certsrv
申請憑證資料
# 10
4. 使用 IIS 管理員指派 Web 元件伺服器的憑證
站台 -> Default Web Site 按右鍵 -> 聯繫 -> 新增 https 連接埠 -> 選擇
剛製作出的伺服器憑證(www1.air.com)
Default Web Site -> SSL 設定 -> 開啓功能
完成後點選動作中的瀏覽*.80(http)會發現 http://localhost 的伺服器回應要求
須使用 https 加密傳輸,但若瀏覽*.443(https)會發現瀏覽器驗證
https://localhost/憑證是不安全的,原因在於 URL 中的伺服器名稱和憑證主體
名稱不同,導致驗證失敗。如果將 URL 改為 https:// www1.air.com 便沒有此
問題了
5. 在 Web1 上將 AIR.com 申請的伺服器憑證(SSL)匯出,再匯入到 Web2 內
6. 接著到 CCS 前牆 ISA Server 建立伺服器陣列。點擊【防火牆原則 > 右側
工作列工具箱 > 網路物件 > 新增[伺服器陣列]】(圖 10),輸入要伺服器
陣列的電腦 IP 位置(192.168.3.5)與(192.168.3.6)。
# 11
7.在[伺服器連線陣列能力]選擇使用[傳送 PING 要求],因為在 ISA 端的所有
PING 流量全部開放,比較方便。
2 .公司內部
內部 Web Server(供機場內部員工使用)
外部網站使用 ISA 規則建立 Web Farm
而內部網站則透過網路負載平衡管理員建立 Web Farm
1.NLB 網路負載平衡
開啟 [網路負載平衡管理員]。
在 [網路負載平衡叢集] 上按一下滑鼠右鍵,再按 [連線到現存的]。
鍵入其中一個叢集主機的名稱,然後按一下 [連線]。
# 12
按一下 [連線] 後,存在該主機的「網路負載平衡」將列在此對話方塊的下方。
從 [網路負載平衡叢集管理員] 按一下要管理的叢集名稱,然後按一下 [結束]。
3. DFS
建立複寫資料夾
按一下 [開始],並指向 [系統管理工具] 後,再按一下 [DFS 管理]。
在主控台樹狀目錄的 [複寫] 節點下,以滑鼠右鍵按一下複寫群組,然後按一下
[新增複寫資料夾]。
# 15
1. 在[伺服器設定]內的 SSL/TLS settings 勾選 enable 使用 FTP 安全連線。
2.接著開啟被動模式,選到 Passive mode setting 最下面的 use custom port
range 就是 Server 選定 8890-8899 的 port 讓 Client 連入來傳送資料