triển khai cấu hình ISA Server Firewall 2004 phần 3

Chương 6: Cài đặt và cấu hình DNS Server với chức năng Caching-only trên Perimeter Network SegmentDNS servers hỗ trợ cho các Clients giải quyết Name ra IP addresses. Khi các Computers dùng các ứng dụng Internet (Web, mail, FTP, Chat, Game Online, Voice over IP..), luôn cần phải biết IP address của các Internet Server trước khi có thể connect đến những Server này.
Nội dung trích xuất từ tài liệu:
triển khai cấu hình ISA Server Firewall 2004 phần 3Chương 6: Cài đặt và cấu hình DNS Server với chức năngCaching-only trên Perimeter Network SegmentDNS servers hỗ trợ cho các Clients giải quyết Name ra IP addresses. Khi cácComputers dùng các ứng dụng Internet (Web, mail, FTP, Chat, Game Online, Voiceover IP..), luôn cần phải biết IP address của các Internet Server trước khi có thểconnect đến những Server này. Toàn bộ hệ thống Internet, sử dụng giao thức TCP/IP(và UDP/IP), cho nên việc xác định IP address là điều bắt buộc khi thực hiện giaotiếp giữa Clients với các Internet Server. Tuy nhiên thói quen của người dùngInternet khi truy cập đến các Internet Server là dùng tên (có lẽ vì dễ nhớ hơn so vớiIP address), ví dụhttp:// www.nis.com.vn (dễ nhớ)http:// 207.46.225.60 (khó nhớ)cho nên hệ thống Internet vốn dùng TCP/IP, bắt buộc phải có DNS để giải quyếtHostname ra IP address.Một caching-only DNS server là một loại DNS không cần phải được sự ủy quyềnhoạt động (not authoritative )của bất cứ Internal Domain. Điều này có nghĩa là mộtcaching-only DNS server không nhất thiết phải chứa bất cứ name records của mộthay nhiều Domain cố định nào. Thay vào đó cách hoạt động của nó là: Nhận các truyvấn tên từ DNS clients, giải quyết yêu cầu này cho DNS Clients, lưu giữ lại kết quảvừa trả lời trong cache (nhằm phục vụ đối tương Clients tiếp theo). Khá đơn giản,các DNS Admin không phải cấu hình phức tạp cho loại DNS này, không cần phải tạora bất kì Forward hay Reverse lookup Zones, để phục vụ cho nhu cầu tìm tên của cácClients trong Internal Domain, như chúng ta đã thực hiện ở phần trước với InternalDomain DNS server (được cài trên Domain controller- 10.0.0.2)Sử dụng một caching-only DNS server là điều không bắt buộc. Nhưng nếu khi triểnkhai ISA SERVER 2004 Firewall, lên kế hoạch tạo một perimeter network segment(hay còn được goi là DMZ- demilitarized zone), nên tuân theo các hướng dẫn sauTrang 47 Triển khai ISA Server Firewall 2004Mô tả về Perimeter Network:Trong mô hình Lab của chúng ta, như các bạn đã thấy trên hình về một PerimeterNetwork (hay DMZ Network- vùng phi quân sự, khái niệm này ra đời từ cuộc chiếnNam, Bắc Triều Tiên). Trong hệ thống Mạng của một tổ chức, ví dụ như các ISP(Internet Servies Provider). Khi triển khai cung cấp các dịch vụ cho khách hàng, nhưWeb Hosting, Mail..thường đặt các Servers cung cấp các dịch vụ này tại DMZnetwork, phân vùng Mạng này tách biệt với Internal Network (Mạng làm việc của cácnhân viên và chứa các tài nguyên nội bộ). Mô hình Mạng trong Lab này, ISA SERVER2004 Firewall (ISALOCAL), là một hệ thống Tree-homed Host (gắn 3 NetworkInterface Cards)Network Interface 1 (WAN): Tạo kết nối ra InternetNetwork Interface 2 (DMZ): Tạo kết nối đến DMZ networkNetwork Interface 3: (LAN)Tạo kết nối đến Internal networkNhư vậy thông thường các tổ chức triển khai DMZ network (nằm phía sau Firewall),nhằm cung cấp cho các External clients (như khách hàng, người dùng Internet, đốitác..) truy cập đến các tài nguyên công cộng của mình (Web, FTP publishresourses…). Nếu DMZ network bị tấn công, attackers cũng chưa thể xâm nhập ngayvào Internal Network (LAN bên trong), vì Attacker cần phải tiếp tục chọc thủngFirewall. Đến đây, có lẽ các bạn cũng đã hình dung phần nào về DMZ network.Các DNS servers được sử dụng trong DMZ network có hai mục đích chính:Trang 48 Triển khai ISA Server Firewall 2004• Giải quyết các truy vấn tên cho các DNS Clients trong Domain dưới sự kiểm soát vàủy quyền của Domain• Caching-only DNS services phục vụ cho các Internal network clients, hoặc nếukhông giải quyết được các yêu cầu truy vấn tên, nó có thể chuyển (forwarder) đếncác DNS servers khác của Internal networkMột DNS server tại DMZ network, có thể chứa những thông tin phục vụ cho publishdomain (Internet Domain, được đăng kí thông qua những nhà cung cấp tên miềnInternet). Ví dụ, nếu đã xây dựng hạ tầng DNS, tách biệt nhóm DNS server chuyêntrả lời các yêu cầu truy vấn tên của domain nội bộ (Internal Hostname) cho InternalDNS Clients, thì nên đặt các DNS server này trong Internal Network. Nhóm các DNSserver còn lại, phục vụ cho yêu cầu truy vấn tên xuất phát từ External Clients (ví dụcác Internet Clients) có thể được đặt trên DMZ network Khi các Internet Clients nàycần truy cập các DMZ servers (Web, FTP, SMTP., các server này được đưa ra phục vụInternet thông qua ISA SERVER 2004 Firewall .), các DNS server trên DMZ networksẽ phục vụ cho những yêu cầu này.DNS server trên DMZ network cũng có thể hoạt động như một caching-only DNSserver. Trong vai trò này, DNS server sẽ không chứa thông tin về name recor. Thayvào đó, caching-only DNS server sẽ giải quyết các yếu cầu tìm Internet host namesvà chỉ lưu giữ lại (cache) các kết quả này. Sau đó có thể sử dụng cache, để trả lờicác yêu cầu tương tự cho các Internet hostname đã cache. Nếu chưa cach ...