【文章內(nèi)容簡介】 圖 163 多條線路連接到多個(gè) POP ?在使用 BGP協(xié)定的時(shí)候，必須非常審慎地設(shè)定路由。 ?在這種架構(gòu)下仍然可能造成通訊故障的單一環(huán)節(jié) － 本地迴路和 CO。 ?除非該組織擁有兩組本地迴路和 CO，否則仍舊無法克服這兩種因素。 ?如果該組織真的採用兩組本地迴路和 CO，整體架構(gòu)就會(huì)變成圖 164的架構(gòu)。 圖 164 透過多條本地迴路的連線方式 1633 多條線路連接到多個(gè) ISP ?這種 Inter架構(gòu)不見得能夠解決所有的問題和風(fēng)險(xiǎn)。 ?如果妥善設(shè)定，使用多個(gè) ISP確實(shí)可以降低服務(wù)中斷的風(fēng)險(xiǎn)（詳見圖 165）。 ?除了如何選擇 ISP是需要考量的重點(diǎn)之外，組織採用的定址計(jì)畫也有極大的關(guān)聯(lián)性。 選擇 ISP ?採用多 ISP的 Inter架構(gòu)，確實(shí)是一項(xiàng)非常複雜的工程，而且也需要多方的知識(shí)和瞭解 ISP的實(shí)務(wù)經(jīng)驗(yàn)。 ? BGP是一種最需要瞭解的知識(shí)。 ?由於將會(huì)使用 BGP來路由組織的流量，所以組織和 ISP必須非常謹(jǐn)慎、妥善地設(shè)定 BGP。 ?連線的實(shí)際路由問題，是影響選擇 ISP的另一個(gè)問題。 圖 165 採用多個(gè) ISP的 Inter架構(gòu) ?如果組織的設(shè)施並沒有連接多組本地迴路時(shí)，本地迴路可能會(huì)持續(xù)造成單一環(huán)節(jié)失效的問題。 ?如果只有單一本地迴路時(shí)，選擇使用無線通訊替代末端線路（ last mile）的 ISP（詳見圖 166），也可達(dá)成電路備援的目地。 ?由於無線通訊可能受到天候狀況、暴風(fēng)雨的侵襲，或是飛行物的影響等，而造成資料遺漏或效能降低的問題。 圖 166利用無線網(wǎng)路 ISP提高可用性 ? 採用無線通訊並不能完全解決可用性的問題。 ? 雖說無線通訊也具有諸多的問題，不過卻也不至於造成通訊完全中斷的情況。 選用無線網(wǎng)路 ISP和傳統(tǒng)式 ISP的需求都一樣。任何 ISP都應(yīng)該提供服務(wù)等級(jí)的同意書，而且都應(yīng)該出具完整的管理實(shí)務(wù)同意書。 定址 ?採用多 ISP架構(gòu)運(yùn)作模式的另一項(xiàng)問題，就是 － 定址問題。 ?在一般的情況下，採用單一 ISP連線時(shí)， ISP會(huì)分配一段位址空間。 ? ISP會(huì)妥善地設(shè)定路由器，並確保屬於組織的流量最後都會(huì)找到送達(dá)組織的路徑。 ? ISP會(huì)將組織的位址廣播給其他 ISP，因此所有透過 Inter的流量最後都會(huì)傳送給組織的系統(tǒng)。 ?在採用多 ISP架構(gòu)時(shí)，每一個(gè) ISP分配的位址範(fàn)圍都不一樣，因此組織必須選擇將要使用的位址範(fàn)圍。 ?可能會(huì)發(fā)生一家 ISP的路由可以正常運(yùn)作，而其他 ISP必須同意、廣播分配給組織的位址空間，都是屬於前面那家 ISP管轄的位址。 ?這種組態(tài)設(shè)定方式需要非常專業(yè)的 BGP運(yùn)作知識(shí)，這樣才不會(huì)造成路由發(fā)生錯(cuò)誤。 ?另一種選擇就是組織購置自己的位址空間。 ?雖然這樣可以解決部分的問題，但是和組織連線的 ISP卻必須廣播不屬於自己的位址空間，而且也會(huì)帶來新的問題。 ?最後一種選擇就是同時(shí)使用兩家 ISP提供的位址。在這種情況下，某些系統(tǒng)會(huì)使用第一家ISP的位址，某些系統(tǒng)卻使用第二家 ISP的位址。 ?這種架構(gòu)無法真正地解決可用性的問題。 ?除非組織可以解決這種問題，否則請不要採用這種架構(gòu)。 164 設(shè)計(jì) DMZ ? DMZ是 『 demilitarized zone』 ，通常是指不能完全信任的網(wǎng)段。 ? DMZ提供 『 可供 Inter存取 』 和 『 只有內(nèi)部員工才能存取 』 的網(wǎng)段劃分方式。 ?如果是與商業(yè)夥伴或其他外部實(shí)體建立專屬連線時(shí)， DMZ也是一種不錯(cuò)的選擇。 ?本節(jié)的內(nèi)容如下： ? 1641 DMZ的定義 ? 1642 架設(shè)在 DMZ的系統(tǒng) ? 1643 合適的 DMZ架構(gòu) 1641 DMZ的定義 ? DMZ是一種部分保護(hù)的網(wǎng)段。 ?這個(gè)區(qū)段一般都是利用如防火牆，或路由器大量過濾網(wǎng)路存取控制的方式來區(qū)分網(wǎng)段。 ?網(wǎng)路存取控制接著會(huì)設(shè)定一套用來判斷允許進(jìn)入 DMZ的流量，以及允許哪些流量送出 DMZ的規(guī)則（詳見圖 167）。 ?只要外部使用者可以直接接觸到的系統(tǒng)，都應(yīng)該架設(shè)在 DMZ區(qū)段內(nèi)。 圖 167 一般性 DMZ政策規(guī)則 ?外部系統(tǒng)或使用者可以直接接觸到的系統(tǒng)，通常都是最先遭到攻擊或侵害的系統(tǒng)。 ?不能完全信任這些系統(tǒng)的原因，主要是因?yàn)樗鼈冸S時(shí)都可能會(huì)遭到侵害。 ? DMZ系統(tǒng)若要存取內(nèi)部網(wǎng)路的高敏感性系統(tǒng)時(shí)，存取能力多半都會(huì)受到限制。 ? DMZ系統(tǒng)的存取規(guī)則，都是開放外部使用者存取 DMZ系統(tǒng)適當(dāng)?shù)姆?wù)。 DMZ系統(tǒng)對內(nèi)部系統(tǒng)的存取能力都會(huì)受到限制。 ?應(yīng)該內(nèi)部系統(tǒng)對 DMZ系統(tǒng)發(fā)起連線的要求。 ?組織的政策或許可以允許內(nèi)部系統(tǒng)存取 DMZ或Inter系統(tǒng)，但嚴(yán)禁外部使用者存取內(nèi)部系統(tǒng)。 1642 架設(shè)在 DMZ的系統(tǒng) ?哪些系統(tǒng)應(yīng)該架設(shè)在 DMZ網(wǎng)段？ ?應(yīng)該架設(shè)在 DMZ的系統(tǒng)如下： ? 郵件系統(tǒng) ? Web 站臺(tái) ? 允許外部存取的系統(tǒng) ? 控制系統(tǒng) 郵件系統(tǒng) ?圖 168是 DMZ網(wǎng)段可能提供的服務(wù)。 ?內(nèi)部網(wǎng)路和外部網(wǎng)路都架設(shè)了郵件系統(tǒng)。 ?外部網(wǎng)路的郵件系統(tǒng)是用來收發(fā)郵件。 ?新送到的郵件是由外部系統(tǒng)接收，然後才傳送到內(nèi)部郵件系統(tǒng)。 ?內(nèi)部郵件系統(tǒng)會(huì)將外送的郵件送到外部郵件系統(tǒng)。 ?某些防火牆會(huì)提供郵件伺服器。 ? 如果啟用了防火牆郵件系統(tǒng)，那麼也就具有外部郵件系統(tǒng)的功能。 ? 可以移除多餘的外部郵件系統(tǒng)。 如果郵件系統(tǒng)對於營運(yùn)非常重要的話，不論是內(nèi)部郵件系統(tǒng)或外部郵件系統(tǒng)，都應(yīng)該建置備援系統(tǒng)。 圖 168 DMZ系統(tǒng)和內(nèi)部網(wǎng)路系統(tǒng)的規(guī)劃圖 Web 站臺(tái) ?允許公眾存取的 Web伺服器，也是架設(shè)在 DMZ網(wǎng)段內(nèi)。 ?從圖 168之中可以看到，架設(shè)在 DMZ網(wǎng)段的應(yīng)用程式伺服器。 ?許多 Wen站臺(tái)依據(jù)使用者輸入的資料提供適當(dāng)?shù)木W(wǎng)頁內(nèi)容。這些使用者輸入的資訊，是透過呼叫資料庫加以處理。 ?資料庫可能內(nèi)含敏感性資料，所以也不適合放在 DMZ網(wǎng)段中。 ? Web伺服器可以和資料庫伺服器溝通，但 Web伺服器卻允許外部使用者存取，因此也不能完全信任 Web伺服器。 ?利用應(yīng)用程式伺服器做為居間的系統(tǒng)，並實(shí)際和後端資料庫伺服器溝通。 ?當(dāng) We伺服器接受使用者輸入的資料，並將資料傳送給應(yīng)用程式伺服器加以處理。 ? 應(yīng)用程式將接收的資料傳送給後端資料庫系統(tǒng)處理，再將取回處理過的資料回傳給 Web伺服器，最後再由Web伺服器對使用者提供結(jié)果。 ? 雖然架構(gòu)看起來有些複雜，但是可以用來確實(shí)保護(hù)資料庫伺服器，並減輕 Web伺服器的負(fù)擔(dān)。 一旦資料庫系統(tǒng)含有組織某些相當(dāng)重要的敏感資訊時(shí)，或許也可以架設(shè)在其他防火牆的後端。在這種情況下，防火牆將會(huì)區(qū)隔敏感性資料庫和內(nèi)部網(wǎng)路，因此也會(huì)提高某些存取限制。 允許外部存取的系統(tǒng) ?所有允許外部存取的系統(tǒng)，都應(yīng)該架設(shè)在 DMZ網(wǎng)段中。 ?如果允許透過互動(dòng)式交談而存取的系統(tǒng)（例如tel或 SSH），使用者也將具有攻擊其他DMZ系統(tǒng)的能力。 ?這類系統(tǒng)應(yīng)該架設(shè)在第二個(gè) DMZ網(wǎng)段中，以免其他 DMZ系統(tǒng)遭到攻擊。 控制系統(tǒng) ?外部 DNS伺服器也應(yīng)該架設(shè)在 DMZ網(wǎng)段中。 ?如果組織計(jì)畫擁有自己的 DNS，這部 DNS伺服器也必須接受外部使用者的查詢。 ?在組織的基礎(chǔ)建設(shè)之中， DNS也是非常重要的一個(gè)環(huán)節(jié)。 ?或許組織會(huì)選用 DNS備援系統(tǒng)或是由 ISP代管的 DNS。如果組織選擇後者，那麼 ISP的 DNS將會(huì)需要組織內(nèi)部的 DN