Blogs

Vùng Dmz Host Là Gì ? Phân Biệt Các Khái Niệm Về Dmz Đầy Đủ Nhất

Bạn đang quan tâm đến Vùng Dmz Host Là Gì ? Phân Biệt Các Khái Niệm Về Dmz Đầy Đủ Nhất phải không? Nào hãy cùng ONLINEAZ đón xem bài viết này ngay sau đây nhé, vì nó vô cùng thú vị và hay đấy!

XEM VIDEO Vùng Dmz Host Là Gì ? Phân Biệt Các Khái Niệm Về Dmz Đầy Đủ Nhất tại đây.

– DMZ là một vùng mạng trung lập giữa mạng nội bộ và mạng internet.– DMZ là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào và chấp nhận các rủi ro tấn công từ internet.– Các dịch vụ thường được triển khai trong vùng DMZ là: Mail, Web, FTP– Có hai cách thiết lập vùng DMZ:+ Đặt DMZ giữa 2 firewall, một để lọc các thông tin từ internet vào và một để kiểm tra các luồng thông tin vào mạng cục bộ.+ Sử dụng Router có nhiều cổng để đặt vùng DMZ vào một nhánh riêng tách rời với mạng cục bộ

*

Mô Hình Mạng Bảo Mật Dmz Host Là Gì, Phân Biệt Các Khái Niệm Về Dmz Đầy Đủ Nhất 4

Mục đích khi thiết lập một vùng DMZ là né sự tấn công từ bên ngoài và từ trong mạng nội bộ

ISA Server hỗ trợ thiết lập DMZ – là đơn vị lưu lượng Internet riêng rẽ từ mạng cục bộ. DMZ là khu vực bảo mật thực hiện ngăn những lưu lượng Internet cách xa hệ thống mạng cuc bộ.

Đang xem: Dmz host là gì

Đang xem: Dmz host là gì

Thiết lập DMZ, bạn không thể phổ biến (public) server trên hệ thống mạng cục bộ. ISA Server làm cộng việc phổ biến (public) server trong mạng cục bộ dễ dàng hơn. Nhưng khi phổ biến (public) server, thì các client Internet có thể truy cập được. Họ có thể truy cập dữ liệu trong mạng cục bộ, hệ thống mạng không an toàn.

Để thực hiện mục tiêu trên, bạn có thể tạo lớp mạng bảo mật bên ngòai của mạng cục bộ. Đó chính là DMZ. DMZ là vùng mà cả 2 mạng đều không thể kết nối được nếu không có sự đồng ý của nó. Nhưng nếu có

To get around this, you can create secure networks outside of the internal network. This is what a DMZ is. The term DMZ or Demilitarized Zone comes from military. The DMZ area is an area that both sides agree there will be no military actions. But if one side does violate the agreement, then both sides can start firing. This is a buffer zone between the two parties and is designed to protect the populace on both sides of the DMZ.

Các bước cấu hình DMZ :

* Trihomed DMZ* Địa chỉ Back to Back Private DMZ* Địa chỉ Back to Back Public DMZ

Trihomed DMZ

Trihomed DMZ (three-homed DMZ) được tạo bởi 3 card mạng trên vùng ISA Server:

* 1 card mạng kết nối thẳng với Internet.* 1 card mạng kết nối với hệ thống mạng cục bộ.* 1 card kết nối thẳng với DMZ

Cấu hình có dạng như hình sau:

Những cấu hình Trihomed DMZ:

* DMZ phải sử dụng địa chỉ IP công cộng (public)* Mạng cục bộ thì nên sử dụng địa chỉ IP riêng (private)* Mạng bên ngòai kết nối thẳng Internet.

Trihomed DMZ phải có địa chỉ IP công cộng (public)

Trên Trihomed DMZ cần phải có địa chỉ public. Vài người khi xây dựng hệ thống này bị lỗi, vì họ sử dụng địa chỉ riêng (private) trên DMZ. Bạn tạo 2 giao diện mạng cục bộ hay giao diện mạng bên ngòai mà không thể truy cập dữ liệu mạng cục bộ hay mạng bên ngòai.

DMZ phải cấu hình là giao diện mạng bên ngòai. Dữ liệu bên ngòai không được ủy thác (trusted) bởi mạng cục bộ. Để cấu hình DMZ là dữ liệu mạng bên ngòai, bạn KHÔNG cần phải thêm địa chỉ IP của DMZ trong LAT. LAT chi chứa địa chỉ mạng cục bộ.

XEM THÊM:  Vải thun CVC 65/35 là gì ? Cách nhận biết vải cotton 65/35

Các gói tin được định tuyến đến DMZ mà không cần thông dịch (Packets are Routed to the DMZ – NOT Translated)

Các gói tin từ Internet đến DMZ thật ra đã được định tuyến đến DMZ. Điều đó trái ngược với cách các gói tin từ Internet đến mạng cục bộ được dịch và không định tuyến đến mạng nội bô.

Để lấy được địa chỉ IP DMZ, bạn cần ngăn chặn địa chỉ Ip, subnet. Một trong những Network ID phải xác nhận giao diện mạng bên ngòai của ISA Server. Bất cứ lời yêu cầu Network IDs nào đều có thể sử dụng DMZ.

Chú ý:

Bạn cần phải hiểu về địa chỉ IP, Variable Length Subnet Masking (VLSM), subnet và công việc supernet nếu bạn muốn có khả năng quản lý ISA Server và hệ thống mạng TCP/IP

Vì những gói tin này đã được định tuyến đến DMZ, nên nó lời đi những qui tắc (bypass the rules). Nếu những qui tắc này được thực hiện để chuyển những gói tin giữa mạng cục bô và mạng bên ngòai. Những qui tắc được thực hiện để những gói tin chuyển giữa DMZ và Internet là các qui tắc packet filter. Packet filter quản lý sự truy cập bên ngòai, bên trong và từ DMZ.

Cấu hình Packet Filter và IP Routing

Bật chức năng Packet Filter và cũng bật chức năng IP Routing.

Click phải IP Packet Filters ở cột bên trái ISA Management và click Properties

Chọn đánh dấu 2 ô Enable packet filtering và Enable IP routing

Tóm tắt về Trihomed DMZ:

1. Không đặt địa chỉ IP DMZ trong LAT2. DMZ sử dụng subnet bị ngăn chặn của địa chỉ public3. Bật chức năng packet filtering và IP Routing trên ISA Server4. Tạo packet filters cho phép truy cập vào và ra từ DMZ

Back to Back DMZ với địa chỉ riêng (Private) trên DMZ

Back to back DMZ sử dụng địa chỉ riêng (private) là cấu hình bảo mật nhất của DMZ mà ISA thiết lập nên. Cấu hình này sử dụng dãy địa chỉ IP riêng (IP private) trên DMZ. Vì sử dụng địa chỉ riêng (IP privarte) và bao gồm DMZ trên LAT bên ngòai của ISA Server, thì bạn có nhiều hỗ trợ của ISA Server mà Trihomed DMZ không có, như: sử dụng những IP public, không ủy thác (untrusted) trên DMZ.

Địa chỉ riêng (private) back to back DMZ có những đặc điểm sau :

* Gồm 2 ISA Server: ISA Server bên trong (internal) và bên ngòai (external)* ISA Server bên ngòai gồm có 2 card: 1 dùng kết nối với Internet và trên DMZ* ISA Server bên trong có 2 card mạng: 1 card kết nối với DMZ và còn lại kết nối với hệ thống mạng cục bộ.* DMZ sử dụng địa chỉ IP riêng (private IP)* Mạng DMZ trong LAT của ISA Server bên ngòai.* Mạng DMZ không nằm trong bảng LAT của ISA Server bên trong.* Bạn có thể sử dụng qui tắc (rule) phổ biến (public) Web và Server để quản lý truy cập đến DMZ.

Cấu hình ISA Server bên ngòai (External)

ISA Server bên ngòai có giao diện kết nối thẳng với Internet và 1 giao diện kết nối với DMZ. Địa chỉ IP của DMZ nên thuộc bảng địa chỉ cục bộ (LAT) của ISA Server bên ngòai, bạn có thể quản lý truy cập bằng qui tắc (rule) Web and Server publishing.

XEM THÊM:  Máy tính nhúng là gì? và đặc điểm của máy tính nhúng

Xem thêm: Subs Cen Profil – 10 Situs Download Subtitle Indonesia Terbaik 2021

Chú ý, kể cả khi chúng ta đặt DMZ trong LAT của ISA Server bên ngòai thì lưu lượng Internet cũng không thể kết nối/truy cập với mạng cục bộ. Tổng quát, những yêu cầu (request) Internet và trả lời là của mạng cục bộ. Điều này giúp bảo vệ lưu lượng Internet tương tự mô hình Trihomed DMZ và thực hiện tốt hơn

Không cần tạo và sử dụng packet filter, mô hình back to back địa chỉ IP riêng (private) DMZ sử dụng qui tắc (rule) Web and Server publishing. Nếu bạn có Web Server trên DMZ, bạn có thể sử dụng qui tắc Web Publishing, được tạo ra trên ISA Server bên ngòai. Nếu bạn có server khác, ví dụ như SMTP mail server, bạn cũng có thể sử dụng qui tắc (rule) Server Publishing trên ISA Server bên ngòai.

Cấu hình ISA Server bên trong (Internal)

ISA Server bên trong (internal) cấu hình LAT là dãy địa chỉ mạng cục bộ. Nếu địa chỉ IP của DMZ là địa chỉ riêng (private IP) thì nó cũng không được kết nố/truy cập mạng cục bộ, vì vậy bạn không nên để địa chỉ IP trong LAT. Gỡ bỏ địa chỉ DMZ trong LAT của ISA Server bên trong thì bạn có thể tách DMZ với mạng cục bộ.

Chú ý:

LAT của ISA Server bên trong chỉ là dãy địa chỉ IP của mạng cục bộ. Bởi vì DMZ gồm địa chỉ IP trong cấu hình back to back địa chỉ riêng DMZ (back to back private address DMZ ).

Cho phép DMZ truy cập mạng cục bộ

Bạn có thể cấu hình qui tắc publishing cho phép chỉ có Server trên DMZ có thể kết nối với server mạng cục bộ. Trong trường hợp, bạn có WebServer trên DMZ, cần truy cập với SQL Server mạng cục bộ. Bạn nên tạo Client Address Set gồm những địa chỉ IP của Web Server và chỉ cho những địa chỉ client được thiết lập truy cập.

Cho phép đi ra/đi vào Internet.

Bạn có thể cấu hình qui tắc giao thức (protocol rule) trên ISA Server, cho phép lưu lượng tương tự như ISA Server bên trong. Nhưng thực hiện như vậy thì không an tòan bảo mật (non-secure).

Để giải quyết trường hợp trên, cấu hình ISA Server bên trong sử dụng ISA Server bên ngòai trong dãy srever. Bạn có thể cấu hình 2 dịch vụ: Firewall và Web Proxy trong ISA Server bên ngòai. (không cần cấu hình lại qui tắc giao thức – protocol rule.)

Tóm tắt cấu hình Back to Back Private Address DMZ

1. Gồm 2 ISA Server – ISa Server bên trong và bên ngoài.2. ISA Server bên ngòai chứa địa chỉ DMZ trong LAT3. ISA Server bên ngòai sử dụng địa chỉ dành riêng (private IP) cho DMZ4. Quản lý truy cập đến Server trên DMZ bằng cách sử dụng qui tắc publishing trên ISA Server bên ngòai. Không sử dụng packet filter quản lý sự truy cập đến DMZ.5. ISA Server bên trong khai báo địa chỉ IP mạng cục bộ trong LAT. Không đặt địa chỉ DMZ trong LAT của ISA Server bên trong.6. Bạn có thể sử dụng qui tắc publishing nếu bạn có yêu cầu server trên DMZ truy cập vào server của mạng cuc bộ.7. Bạn nên bật chức năng packet filter trên cả 2 ISA Server bên torng và bên ngòai để tối ưu bảo mật.8. Cấu hình Web và Firewall trên ISA Server bên trong.

XEM THÊM:  Động thổ là gì? Hướng dẫn thực hiện nghi lễ động thổ khi xây nhà

Back to Back DMZ với địa chỉ công cộng (public IP) trên DMZ

Vài người muốn cấu hình back to back ISA Server và sử dụng địa chỉ public trên DMZ. Phải có máy DMZ và những máy có sẵn mã hóa địa chỉ IP trong DNS public. Không cần thay đổi địa chỉ IP trong giao diện bên ngòai của ISA Server.

Bạn có thể thực hiện cấu hình back to back ISA Server sử dụng địa chỉ IP public trên DMZ. Tuy nhiên bạn cần chú ý vài trường hợp đặc biệt :

* Bạn sử dụng packet filter để quản lý quyền đi ra / vào của DMZ.* Bạn cần cài card giả và chỉ định IP giả.* ISA Server bên ngòai có 3 card mạng bên ngòai, DMZ và card giả* Bạn cần subnet bị chặn và chỉ định địa chỉ cho DMZ* DMZ không có trong LAT của ISA bên ngòai

Tạo card mạng bogus (Create a Bogus NIC)

Thủ thuật tạo cấu hình back to back địa chỉ IP public DMZ là cấu hình ISA Server bên ngòai là Trihomed ISA Server. Sự khác nhau giữa Trihomed ISA Server và card bogus . Card giả có thể là Microsoft Loopback.

Nguyên nhân cần cài card bogus là bạn cần có 1 card mạng trong hệ thống mạng riêng biệt (private network). ISA Server không cho cài 2 card mạng với giao diện bên ngòai. Nếu bạn không có địa chỉ nào trong LAT thì cần khai báo, ngược lại thì ISA Server không họat động.

Vì vậy, bạn cần cài card bogus và chỉ định nó là địa chỉ riêng biệt (private IP) và địa chỉ này có trong LAT.

Xem thêm: Cách Chơi Blade And Soul Mobile Cơ Bản Cho Tân Thủ, Hướng Dẫn Chơi Blade And Soul Từ A Đến Z

Tương tự như cấu hình Trihomed ISA Server

Tương tự như Trihomed DMZ, bạn cần tạo packet filter cho phép truy cập từ ngòai vào hay từ trong đi ra của DMZ. Bạn cũng có thể tạo packet filter lưu lượng đi ra bên ngòai của mạng cục bộ vì lưu lượng này không phải của mạng cuc bộ; hơn nữa phải đi qua DMZ đến ISA Server bên ngòai.

Back to back địa chỉ IP public ISA Server có thể tắt hay mở tùy theo yêu cầu packet filter. Tuy nhiên, nếu bạn có thói quen thiết lập firewall, thì tiến hành cấu hình packet filter router như firewall với mức thấp

Tóm tắt back to back public IP address DMZ:

1. Cần tạo Trihomed DMZ trên ISA Server bên ngòai2. Card thứ 3 là card giả (bogus card) với địa chỉ IP riêng biệt giả (private Ip)3. Cần cấu hình packet filter cho phép truy cập vào bên trong từ DMZ4. Cần cấu hình packet filters cho tất cả truy cập vào và ra từ mạng cục bộ thông qua DMZ và ra Internet.5. Bạn không cần sử dụng qui tắc Web and Server publishing trên ISA Server bên ngòai

Tóm tắt

Tùy tình huống khác nhau để sử dụng 3 trường hợp ISA Server DMZ. Tìm hiểu những ưu điểm và khuyết điểm của Trihomed DMZ, back to back private IP address DMZ và back to back public IP address

Vậy là đến đây bài viết về Vùng Dmz Host Là Gì ? Phân Biệt Các Khái Niệm Về Dmz Đầy Đủ Nhất đã dừng lại rồi. Hy vọng bạn luôn theo dõi và đọc những bài viết hay của chúng tôi trên website Onlineaz.vn

Chúc các bạn luôn gặt hái nhiều thành công trong cuộc sống!

Related Articles

Trả lời

Email của bạn sẽ không được hiển thị công khai.

Back to top button