使用公共IP地址来访问DMZ中的服务器(DMZ网络添加)
How to :使用公共IP地址来访问DMZ中的服务器
当你从ISP处获得了多个Internet的IP地址时,你肯定想在DMZ网络中部署Internet的IP地址,以便对外部网络提供服务。ISA 2004防火墙是支持在DMZ区域中使用公共IP地址的。但是如果直接在DMZ网络中部署公共IP地址,会受到外部ISP路由的限制,外部ISP必须在路由器上添加指向你的DMZ区域网络的路由,否则外部用户是不能访问你的DMZ区域的。
另外一个办法就是在ISA 2004防火墙的外部接口上绑定ISP分配给你的所有Internet的IP地址,然后使用不同的公共IP地址来发布你DMZ区域中的服务器。在这篇文章中,你可以学习到如何部署ISA 2004防火墙实现这一想法。
下图是我们的试验网络拓朴结构,
测试
现在我们来测试一下我们刚才建立的配置,首先是在内部网络的计算机Client2上,访问172.16.0.2的Ftp服务,
服务是可以访问的。
现在我们回到Internet上的主机Client1上,我们来使用HTTP访问ISA上绑定的几个外部IP地址试试,
可以很清楚的看到,只有我们发布了Web服务的61.139.0.5这个IP才能访问Web服务,其他的IP地址都不能。
现在我们测试一下访问这几个IP地址上的FTP服务,
如上图,只有发布了FTP服务的61.139.0.6才能访问。
最后,我们在DMZ网络的服务器上看看我们的FTP日志,如下图
你可以很清楚的看到外部IP地址为61.139.0.1的登录;至于前面一个172.16.0.1的IP地址,是我开始用内部网络中的Client2来访问留下的。至于为什么会留下这个IP地址,前面的图上是有答案的,我就不会回答了。
我们从ISP处获得了61.139.0.4~61.139.0.8共计5个IP地址,然后,我使用61.139.0.5这个IP地址来发布DMZ网络中服务器172.16.0.2上的Web服务,然后使用61.139.0.6这个IP地址来发布172.16.0.2上的Ftp服务。
各计算机的TCP/IP设置如下,此试验中不涉及DNS解析,DNS服务器均设置为空:
DMZ的WWW/FTP服务器:
- IP:172.16.0.2/24
- DG:172.16.0.1
Client2:
- IP:192.168.0.2/24
- DG:192.168.0.1
Client1:
- IP:61.139.0.1/24
- DG:61.139.0.1
ISA防火墙:
Internal接口:
- IP:192.168.0.1/24
- DG:None
DMZ接口
- IP:172.16.0.1/24
- DG:None
External接口
- IP:61.139.0.8/24(主要IP)
61.139.0.4/24
61.139.0.5/24
61.139.0.6/24
61.139.0.7/24- DG:61.139.0.1
在此文章中,我们按照以下步骤进行:
- 使用网络模板配置DMZ网络;
- 配置网络规则和访问规则;
- 发布DMZ网络中的Web服务器;
- 发布DMZ网络中的Ftp服务器;
- 测试。
发布DMZ网络中的Web服务器
我们现在要使用61.139.0.5这个外部IP地址来发布内部的Web服务器,右击防火墙策略,指向新建,然后选择Web服务器发布规则;
在欢迎使用新建Web发布规则向导页,为此规则输入一个名字,在此我命名为Publish DMZ's Web server,点击下一步;
在请选择规则操作页,选择允许,然后点击下一步;
在请定义要发布的网站页,输入DMZ网络中Web服务器的IP地址,在此为172.16.0.2,点击下一步;
在公共名称细节页,在接受请求栏选择任何域名,然后点击下一步;
在选择Web侦听器页,点击新建,
在欢迎使用新建Web侦听器向导页,输入Web侦听器的名字,在此我命名为Listen 61.139.0.5's 80,点击下一步;
在IP地址页,勾选外部,然后点击地址按钮,
在弹出的外部网络侦听器IP选择页,选择在此网络上选择的IP地址,然后在可用的地址栏选择61.139.0.5,然后点击添加,最后点击确定;
在IP地址页,点击下一步;
在端口指定页,接受默认的HTTP 80端口,点击下一步;
在正在完成新建Web侦听器向导页,点击完成。
在选择Web侦听器页,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;
在正在完成新建Web发布规则向导页,点击完成,此时,Web发布规则就建立好了。
发布DMZ网络中的Ftp服务器
现在我们使用61.139.0.6这个外部IP地址来发布DMZ网络中FTP服务。右击防火墙策略,指向新建,然后选择服务器发布规则;
在欢迎使用新建服务器发布规则向导页,输入规则的名字,在此我命名为Publish DMZ's Ftp server,点击下一步;
在选择服务器页,输入DMZ网络中Ftp服务器的IP地址,在此是172.16.0.2,点击下一步;
在选择协议页,选择FTP服务器,然后点击下一步;
在IP地址页,勾选外部,然后点击地址按钮;