UbuntuServer 簡易安裝
¢Linux 伺服器(Ubuntu 10.04) 建立以下服務(192.168.2.200/24)
l網頁伺服器(Aapche2)
l
lSSH 登入服務
l
¢位於 dmz 區,提供測試
UbuntuDesk 簡易安裝(192.168.1.64/24)
¢安裝 Ubuntu Desktop
¢作為 inside 桌面主機以供測試
¢可安裝網路客戶端各式應用軟體
lFirefox
lSSH client
Student XP 學生主機(140.137.214.223/24)
¢位於實際教室網路上
¢代表 outside / Internet 區
¢可以 VMware 架設 Guest XP
¢或直接使用教室實體主機
¢可架設各項服務(Server)提供測試
¢可擔任外部測試桌面主機(Client)
Internet(internet gateway 140.137.214.254 internet DNS 168.95.1.1)
真實 Global
Internet 環境
測試所有 Global
Services
可以透過 Gateway
(router, IP 分享器, Proxy…) 等連接全球網際網路
Internet DNS 可以以 Hinet DNS 作為測試點
網路架構 (Network
& Routers)
Network Topology: inside, dmz, outside 三區
inside zone
192.168.1.0 /24 網路
連接 VMnet1,即 “HostOnly” 虛擬網卡
企業內部網路,完全保護區
dmz zone
192.168.2.0 /24 網路
連接 VMnet2 (須先新增另一個HostOnly 虛擬網卡)
企業內部網路,開放服務區
Outside zone - 140.137.214.0 /24 網路
連接 VMnet0,即 “Bridge” 虛擬網卡
也是 Internet 網路(公開位址)
Routers:
linsideRouter
•連接 inside 與 dmz
•提供企業內部主機連外上網
•保護企業內部網路不受入侵
•提供 DHCP 服務
loutsideRouter
•連接 dmz 與 outside
•提供外部主機連入,存取企業網路開放服務(WWW, FTP…)
•保護企業內部網路未開放之服務
•提供 NAT/PAT 轉址服務
內部 inside 網路 - 192.168.1.0/24
DHCP 用戶 ( .64 - .95
) 共 32 位址自動分配
位址 .1 為 insideRouter fa0/0 介面位址 (內部 inside Gateway)
內部 dmz 網路 - 192.168.2.0/24
DHCP 用戶 ( .64 - .95
) 共 32 位址自動分配
位址 .1 為 outsideRouter fa1/0 介面位址 (內部 dmz Gateway)
位址 .2 為 InsodeRouter fa1/0 介面位址
位址 .200 為 Web, Mail, FTP 伺服器位址
網際網路 outside 網路 – 140.137.214.0/24
公司向 ISP 申請 class B 網路的子網段 (140.137.214.0/24) 供配置使用
位址 .254 為外部路由器位址 (外部 outside Gateway)
位址 .161 為 outsideRouter fa2/0 介面位址
位址 .162 為 Web, Mail, FTP 伺服器網際網路位址 (NAT 轉址)
位址 .171-.175 為 inside 內部網路主機的網際網路位址 (NAT 轉址)
位址 .176-.180 為內部 dmz 網路主機的網際網路位址 (NAT 轉址)
NAT/PAT Policy
內部 inside 網路 192.168.1.0/24 所有主機
出 outside 網路時,來源位址轉為 140.137.214.171 – .175
出 dmz 網路時,不作轉址
內部 dmz 網路 192.168.2.0/24 所有主機
出 outside 網路時,來源位址轉為 140.137.214.176 – .180
出 inside 網路時,不作轉址
Web, Mail, FTP 伺服器位址對映
(static mapping)
(真實位址) 內部 dmz 網路位址 - 192.168.2.200
(公開位址) 網際網路 outside 網路位址 - 140.137.214.162
IP Routing
Default Route ( 0.0.0 .0 0.0.0.0)
insideRouter: 由 RIP 學得 (outsideRouter 告知)
outsideRouter: 140.137.214.254
Dynamic Routing Protocol
無需任何動態路由協定
Access Policy (Services)
網際網路 (outside) 上的用戶
可存取內部 dmz 網路上的 Web、Mail 與 FTP伺服器
拒絕其對內部 dmz 網路上其他主機的存取
拒絕其對內部 inside 網路上其他主機的存取
內部 dmz 網路上的所有用戶
可以不受限制地存取網際網路 (outside)
拒絕其對內部 inside 網路上其他主機的存取
內部 inside 網路上的所有用戶
可以存取網際網路與內部 dmz 網路
只開放內部建立的 TCP 連線與必要 UDP 連線
Access Policy (PING Rule)
內部 inside 網路用戶
內部 inside 網路用戶可以 ping 在網際網路與內部 dmz 網路上的設備
內部 dmz 網路用戶
內部 dmz 網路用戶可以 ping 在網際網路上的設備
內部 dmz 網路用戶不能 ping 在內部 inside 網路上的設備
網際網路上的用戶
網際網路上的用戶只能 ping 到內部 dmz 網路上的 Web、Mail 與 FTP伺服器,但不能 ping 到其他設備
網際網路上的用戶不能 ping 到內部 inside 網路上的設備
Access Policy (Telnet Rule)
ciscoasa
只允許由內部 inside 網路用戶做 Telnet 連線
Telnet 登入密碼
passwd: cisco
Privilege password (level 15)
enable password: cisco
留言列表
