DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对***者来说又多了一道关卡。
具体见百度链接:http://baike.baidu.com/view/33936.htm
本次实验的目标是DMZ区的Web Server可以访问互联网,至于DMZ区发布Web Server下次博文实验下。
网络拓扑如下图,其中TMG没有加入域,Web Server当然也不加入域且DNS指向了公网DNS服务器
实验思路:
1.TMG添加一块网卡
2.TMG上创建一个DMZ网络,这样TMG就成了三向外围网络
3.创建网络规则,DMZ区到外部网络为NAT,DMZ区到内部网络为路由
4.TMG创建访问规则允许DMZ区访问外部网络的网站
1.添加网卡
如下图,我添加了一块网卡,并且命名为DMZ,ipconfig/all 确认了各网卡IP地址设置
2.创建一个新的DMZ网络
如下图,在任务中选择“创建一个新的网络”
网络名“DMZ”
选择“外围网络”
选择“添加适配器”
选择网络适配器“DMZ”
选择“下一步”
选择“完成”,应用,确定
完成后视图如下,在网络中多了一个DMZ
3.创建网络规则
如下图,选择“创建网络规则”
网络规则名称“DMZ to Internet”
网络通信源“DMZ”
网络通信目标“外部”
网络关系选择“网络地址转换”,选择“下一步”
选择Forefront TMG将用作出站通讯的源IP地址的公用IP地址,选择 “使用默认IP地址”
“完成”
完成后视图如下
创建内部到DMZ区的网络规则为路由,如下图,选择“创建一个网络规则”,网络规则名称“In to DMZ”
通讯源“内部”
网络通讯目标“DMZ”
选择“路由”
“完成”
如下图我们就完成了2条规则,有了规则后我们就可以创建防火墙策略了
4.创建一条防火墙策略允许DMZ区访问Internet上的网站
如下图,我直接修改以前的Web访问策略以及开放DMZ到外部网络的DNS流量
如下图,DMZ区的Web Server成功访问到了外部网站www.51cto.com
转载于:https://blog.51cto.com/ksyiwen/1340118
扫一扫
183
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
