公司最近要上套业务系统,需要一个外网ip给它,于是就要在路由上给它个映射,我在网上看到一个资料很适合
下面将说明怎么样在网络中配置一台DMZ站点
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。网络结构如下图所示。
路由器有3块网卡
CODE
[admin@gateway] interface> print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R Public ether 0 0 1500
1 R Local ether 0 0 1500
2 R DMZ-zone ether 0 0 1500
[admin@gateway] interface>
给网卡添加所有需要的ip地址
CODE
[admin@gateway] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.2/24 192.168.0.0 192.168.0.255 Public
1 10.0.0.254/24 10.0.0.0 10.0.0.255 Local
2 10.1.0.1/30 10.1.0.0 10.1.0.3 DMZ-zone
3 192.168.0.3/24 192.168.0.0 192.168.0.255 Public
[admin@gateway] ip address>
给路由器添加默认静态路由
CODE
[admin@MikroTik] ip route> print
Flags: X - disabled, I - invalid, D - dynamic, J - rejected,
C - connect, S - static, r - rip, o - ospf, b - bgp
# DST-ADDRESS G GATEWAY DISTANCE INTERFACE
0 S 0.0.0.0/0 r 192.168.0.254 1 Public
1 DC 10.0.0.0/24 r 0.0.0.0 0 Local
2 DC 10.1.0.0/30 r 0.0.0.0 0 DMZ-zone
3 DC 192.168.0.0/24 r 0.0.0.0 0 Public
[admin@MikroTik] ip route>
给DMZ服务器添加ip地址10.1.0.2 ,网关地址10.1.0.1
配置dst-nat 规则,使DMZ服务器能通过192.168.0.3这个互联网地址访问
CODE
[admin@gateway] ip firewall dst-nat> add action=nat /
/... dst-address=192.168.0.3/32 to-dst-address=10.1.0.2
[admin@gateway] ip firewall dst-nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 dst-address=192.168.0.3/32 action=nat to-dst-address=10.1.0.2
[admin@gateway] ip firewall dst-nat>
根据上面的资料,我们自己的服务器配置为:
一台应用服务器:win2003+单网卡
网关设备:路由器
步骤:
1.外网网卡绑定一个ip地址(给应用服务器配置的ip)
2.配置一个静态路由
3.在firewall nat配置dst-nat 规则即可
至此问题搞定
上面时一个方法,还有一个方法,就是把应用服务器配置成公网ip,然后通过路由器来路由到internet上,我觉得这个
方法是可行的,但安全性要降低了,我也正在测试这个方法.
