triển khai cấu hình ISA Server Firewall 2004 phần 3 docx

Trang 47 Triển khai ISA Server Firewall 2004

Chương 6: Cài đặt và cấu hình DNS Server với chức năng

Caching-only trên Perimeter Network Segment

DNS servers hỗ trợ cho các Clients giải quyết Name ra IP addresses. Khi các

Computers dùng các ứng dụng Internet (Web, mail, FTP, Chat, Game Online, Voice

over IP..), luôn cần phải biết IP address của các Internet Server trước khi có thể

connect đến những Server này. Toàn bộ hệ thống Internet, sử dụng giao thức TCP/IP

(và UDP/IP), cho nên việc xác định IP address là điều bắt buộc khi thực hiện giao

tiếp giữa Clients với các Internet Server. Tuy nhiên thói quen của người dùng

Internet khi truy cập đến các Internet Server là dùng tên (có lẽ vì dễ nhớ hơn so với

IP address), ví dụ

http:// www.nis.com.vn (dễ nhớ)

http:// 207.46.225.60 (khó nhớ)

cho nên hệ thống Internet vốn dùng TCP/IP, bắt buộc phải có DNS để giải quyết

Hostname ra IP address.

Một caching-only DNS server là một loại DNS không cần phải được sự ủy quyền

hoạt động (not authoritative )của bất cứ Internal Domain. Điều này có nghĩa là một

caching-only DNS server không nhất thiết phải chứa bất cứ name records của một

hay nhiều Domain cố định nào. Thay vào đó cách hoạt động của nó là: Nhận các truy

vấn tên từ DNS clients, giải quyết yêu cầu này cho DNS Clients, lưu giữ lại kết quả

vừa trả lời trong cache (nhằm phục vụ đối tương Clients tiếp theo). Khá đơn giản,

các DNS Admin không phải cấu hình phức tạp cho loại DNS này, không cần phải tạo

ra bất kì Forward hay Reverse lookup Zones, để phục vụ cho nhu cầu tìm tên của các

Clients trong Internal Domain, như chúng ta đã thực hiện ở phần trước với Internal

Domain DNS server (được cài trên Domain controller- 10.0.0.2)

Sử dụng một caching-only DNS server là điều không bắt buộc. Nhưng nếu khi triển

khai ISA SERVER 2004 Firewall, lên kế hoạch tạo một perimeter network segment

(hay còn được goi là DMZ- demilitarized zone), nên tuân theo các hướng dẫn sau

Trang 48 Triển khai ISA Server Firewall 2004

Mô tả về Perimeter Network:

Trong mô hình Lab của chúng ta, như các bạn đã thấy trên hình về một Perimeter

Network (hay DMZ Network- vùng phi quân sự, khái niệm này ra đời từ cuộc chiến

Nam, Bắc Triều Tiên). Trong hệ thống Mạng của một tổ chức, ví dụ như các ISP

(Internet Servies Provider). Khi triển khai cung cấp các dịch vụ cho khách hàng, như

Web Hosting, Mail..thường đặt các Servers cung cấp các dịch vụ này tại DMZ

network, phân vùng Mạng này tách biệt với Internal Network (Mạng làm việc của các

nhân viên và chứa các tài nguyên nội bộ). Mô hình Mạng trong Lab này, ISA SERVER

2004 Firewall (ISALOCAL), là một hệ thống Tree-homed Host (gắn 3 Network

Interface Cards)

Network Interface 1 (WAN): Tạo kết nối ra Internet

Network Interface 2 (DMZ): Tạo kết nối đến DMZ network

Network Interface 3: (LAN)Tạo kết nối đến Internal network

Như vậy thông thường các tổ chức triển khai DMZ network (nằm phía sau Firewall),

nhằm cung cấp cho các External clients (như khách hàng, người dùng Internet, đối

tác..) truy cập đến các tài nguyên công cộng của mình (Web, FTP publish

resourses…). Nếu DMZ network bị tấn công, attackers cũng chưa thể xâm nhập ngay

vào Internal Network (LAN bên trong), vì Attacker cần phải tiếp tục chọc thủng

Firewall. Đến đây, có lẽ các bạn cũng đã hình dung phần nào về DMZ network.

Các DNS servers được sử dụng trong DMZ network có hai mục đích chính: