【正文】 然而這樣的作法，將會(huì)影響整體設(shè)計(jì)的可用性。 ? Web和郵件伺服器應(yīng)該架設(shè)在 DMZ網(wǎng)段中。 ? ，先假設(shè)這家公司無(wú)法負(fù)擔(dān)整個(gè)設(shè)計(jì)所需的設(shè)備成本。 ? ISP數(shù)量在內(nèi)的通訊架構(gòu)。 ? 辦公室員工可以使用 Inter存取 Web。 專(zhuān)案實(shí)作 16： 建立 Inter架構(gòu) ? 本專(zhuān)案實(shí)作主要希望帶領(lǐng)讀者，逐步建立 Interent架構(gòu)。 ? 利用定義合作夥伴網(wǎng)路的轉(zhuǎn)譯原則，也可以將合作夥伴的網(wǎng)路納入組織的定址計(jì)畫(huà)中。 ?大部分組織都是使用私人位址空間，做為內(nèi)部網(wǎng)路的定址計(jì)畫(huà)。 ?任何規(guī)則都不應(yīng)該允許組織合作夥伴的系統(tǒng)，可以和內(nèi)部網(wǎng)路、 Inter DMZ或 Inter建立連線(xiàn)。 ?應(yīng)該確認(rèn)的連線(xiàn)需求，且提供這些服務(wù)的設(shè)備應(yīng)該架設(shè)在 DMZ網(wǎng)段中。 ?當(dāng)兩個(gè)組織連線(xiàn)之後，也就表示另一個(gè)組織的員工可以存取您的內(nèi)部網(wǎng)路。 ?本節(jié)的內(nèi)容如下： ? 1661 使用合作夥伴網(wǎng)路 ? 1662 設(shè)定 ? 1663 定址問(wèn)題 1661 使用合作夥伴網(wǎng)路 ?建立合作夥伴網(wǎng)路的目地，通常都是為了交換特定的檔案或部分資料。 ? 系統(tǒng)使用 DHCP之後，系統(tǒng)啟動(dòng)之後不見(jiàn)得都會(huì)使用相同的 IP位址，因此靜態(tài) NAT也無(wú)法運(yùn)作。 ?防火牆會(huì)追蹤連線(xiàn)，並為每一個(gè)連線(xiàn)開(kāi)啟一個(gè)連接埠。 ?每一部可以從 Inter存取的設(shè)備來(lái)說(shuō)，也只需要使用一個(gè)位址即可。 圖 1612 靜態(tài) NAT架構(gòu) ? 並非所有的 DMZ系統(tǒng)都需要使用真實(shí)的 IP位址。 ?圖 1612顯示轉(zhuǎn)換的過(guò)程。如果 ISP內(nèi)部使用私人位址空間的位址， ISP的內(nèi)部網(wǎng)路路由到這些網(wǎng)路時(shí)，也不應(yīng)該廣播到 ISP內(nèi)部網(wǎng)路以外的區(qū)域，因此也不會(huì)影響組織內(nèi)部所使用的位址。 ? 組織使用這些位址做為內(nèi)部網(wǎng)路的位址時(shí)，可依據(jù)需求自由搭配完全沒(méi)有任何限制。 ?如果沒(méi)有適當(dāng)?shù)卦O(shè)定位址時(shí)，內(nèi)部網(wǎng)路位址也會(huì)導(dǎo)致各種類(lèi)型的路由問(wèn)題。因?yàn)槿绻床坏教囟ㄏ到y(tǒng)，也就無(wú)法定位和攻擊設(shè)定目標(biāo)。 ?在應(yīng)用層房防火牆的原始設(shè)計(jì)中（詳見(jiàn)第 10章），就已經(jīng)含有執(zhí)行 NAT的能力。 ? 大多數(shù)的組織都擁有超過(guò) 30部以上的系統(tǒng)，那麼該怎麼辦？這個(gè)問(wèn)題的解決方案就是網(wǎng)路位址轉(zhuǎn)譯（ work address translation， NAT，簡(jiǎn)稱(chēng)轉(zhuǎn)址）。 ?主要問(wèn)題點(diǎn)在於 － 網(wǎng)路位址已經(jīng)不夠用。 為了進(jìn)一步防護(hù)，也可以在每一部 DMZ系統(tǒng)上安裝主機(jī)型防火牆或入侵偵測(cè)系統(tǒng)。 ?這兩部防火牆可以是不同類(lèi)型的防火牆。 ?防火牆 1設(shè)定成允許 DMZ和內(nèi)部網(wǎng)路所有的流量通過(guò)。 ? DMZ系統(tǒng)也會(huì)受到防火牆的保護(hù)，因此也會(huì)降低安全的需求。 ?如果預(yù)料會(huì)產(chǎn)生大量的 DMZ流量時(shí)，防火牆不但需要承受這些流量，也要處理通往內(nèi)部網(wǎng)路的 Inter流量。 ?防火牆必須設(shè)定成 － 只能允許存取每一部DMZ系統(tǒng)提供服務(wù)的流量才能通過(guò)。 ?採(cǎi)用單一防火牆的架構(gòu)時(shí)，就會(huì)產(chǎn)生圖 1610區(qū)隔 DMZ和外部網(wǎng)路的架構(gòu)。 圖 169 防火牆和路由器的 DMZ架構(gòu) ?在許多情況下， ISP擁有路由器並負(fù)責(zé)管理、維護(hù)。 ?為求降低遭到侵害的風(fēng)險(xiǎn)，可以利用路由器的封包過(guò)濾器，所以也只有允許存取 DMZ系統(tǒng)的流量才能進(jìn)入 DMZ網(wǎng)段。 路由器和防火牆 ?圖 169是簡(jiǎn)單的路由器和防火牆架構(gòu)。 ? NTP伺服器的另外一種解決方案就是 － 利用防火牆做為主要的 NTP地區(qū)伺服器。如果組織選擇後者，那麼 ISP的 DNS將會(huì)需要組織內(nèi)部的 DNS執(zhí)行分區(qū)轉(zhuǎn)送（ zone transfer）。 控制系統(tǒng) ?外部 DNS伺服器也應(yīng)該架設(shè)在 DMZ網(wǎng)段中。在這種情況下，防火牆將會(huì)區(qū)隔敏感性資料庫(kù)和內(nèi)部網(wǎng)路，因此也會(huì)提高某些存取限制。 ?當(dāng) We伺服器接受使用者輸入的資料，並將資料傳送給應(yīng)用程式伺服器加以處理。這些使用者輸入的資訊，是透過(guò)呼叫資料庫(kù)加以處理。 如果郵件系統(tǒng)對(duì)於營(yíng)運(yùn)非常重要的話(huà)，不論是內(nèi)部郵件系統(tǒng)或外部郵件系統(tǒng)，都應(yīng)該建置備援系統(tǒng)。 ?內(nèi)部郵件系統(tǒng)會(huì)將外送的郵件送到外部郵件系統(tǒng)。 1642 架設(shè)在 DMZ的系統(tǒng) ?哪些系統(tǒng)應(yīng)該架設(shè)在 DMZ網(wǎng)段？ ?應(yīng)該架設(shè)在 DMZ的系統(tǒng)如下： ? 郵件系統(tǒng) ? Web 站臺(tái) ? 允許外部存取的系統(tǒng) ? 控制系統(tǒng) 郵件系統(tǒng) ?圖 168是 DMZ網(wǎng)段可能提供的服務(wù)。 ? DMZ系統(tǒng)的存取規(guī)則，都是開(kāi)放外部使用者存取 DMZ系統(tǒng)適當(dāng)?shù)姆?wù)。 ?只要外部使用者可以直接接觸到的系統(tǒng)，都應(yīng)該架設(shè)在 DMZ區(qū)段內(nèi)。 ?如果是與商業(yè)夥伴或其他外部實(shí)體建立專(zhuān)屬連線(xiàn)時(shí)， DMZ也是一種不錯(cuò)的選擇。 ?這種架構(gòu)無(wú)法真正地解決可用性的問(wèn)題。 ?另一種選擇就是組織購(gòu)置自己的位址空間。 ? ISP會(huì)將組織的位址廣播給其他 ISP，因此所有透過(guò) Inter的流量最後都會(huì)傳送給組織的系統(tǒng)。任何 ISP都應(yīng)該提供服務(wù)等級(jí)的同意書(shū)，而且都應(yīng)該出具完整的管理實(shí)務(wù)同意書(shū)。 ?由於無(wú)線(xiàn)通訊可能受到天候狀況、暴風(fēng)雨的侵襲，或是飛行物的影響等，而造成資料遺漏或效能降低的問(wèn)題。 ?由於將會(huì)使用 BGP來(lái)路由組織的流量，所以組織和 ISP必須非常謹(jǐn)慎、妥善地設(shè)定 BGP。 ?如果妥善設(shè)定，使用多個(gè) ISP確實(shí)可以降低服務(wù)中斷的風(fēng)險(xiǎn)（詳見(jiàn)圖 165）。 ?在這種架構(gòu)下仍然可能造成通訊故障的單一環(huán)節(jié) － 本地迴路和 CO。在這樣的情況下，第二組做為備援線(xiàn)路或持續(xù)運(yùn)作的線(xiàn)路（稱(chēng)為熱備援線(xiàn)路， hot redundant）。 ?可預(yù)防任何一組設(shè)備故障而導(dǎo)致整個(gè)連線(xiàn)中斷。 ?備援電路可能包含備援路由器和 CSU，也有可能只有一部路由器而已。 ?不同的 ISP會(huì)提供不同的服務(wù)。 ?上述可能的原因還不包含 ISP本身發(fā)生故障在內(nèi)。 圖 161 標(biāo)準(zhǔn)單一通訊線(xiàn)路架構(gòu) ?在圖 161的連線(xiàn)架構(gòu)之中，只要一個(gè)環(huán)節(jié)故障，就會(huì)導(dǎo)致整個(gè)連結(jié)中斷。 ?本地迴路（ local loop）是組織設(shè)施連線(xiàn)到電話(huà)公司機(jī)房（ central office， CO）的線(xiàn)路或光纖，在 ISP附近也會(huì)有一個(gè)出線(xiàn)點(diǎn)（ point of presence， POP）。 ?本節(jié)的內(nèi)容如下： ? 1631 單一通訊線(xiàn)路 ? 1632 多條通訊線(xiàn)路連接到單一 ISP ? 1633 多條線(xiàn)路連接到多個(gè) ISP 1631 單一通訊線(xiàn)路 ?利用單一通訊線(xiàn)路連接 Inter，這是目前最常見(jiàn)的 Inter架構(gòu)。 ?可用性需求應(yīng)該由組織自行設(shè)定。 ?簡(jiǎn)單網(wǎng)路管理協(xié)定（ Simple Network Management Protocol,SNMP）（連接埠169），可用來(lái)管理組織內(nèi)部網(wǎng)路的網(wǎng)路管理，不過(guò)遠(yuǎn)地不應(yīng)該使用這項(xiàng)服務(wù)來(lái)管理組織的內(nèi)部系統(tǒng)。 ? NetMeeting需要編號(hào)較高的連接埠才能正常運(yùn)作，因此具有潛在的危險(xiǎn)性。如果需要接受內(nèi)送的互動(dòng)式交談時(shí)，建議透過(guò) SSH使用 tel。 NFS（連接埠 2049） 提供網(wǎng)路檔案系統(tǒng)（ Network File System， NFS）的服務(wù)。 162 不提供哪些服務(wù) ?在設(shè)計(jì) Inter架構(gòu)時(shí)，應(yīng)該要包含滿(mǎn)足需求的服務(wù)，但是也不要提供不必要的服務(wù)。 NTP ?網(wǎng)路校時(shí)協(xié)定（ Network Time Protocol，NTP），這是一種可以讓許多系統(tǒng)時(shí)間同步的服務(wù)。這些訊息都有助於提高網(wǎng)路運(yùn)作的效率。 ?為了完成這項(xiàng)目標(biāo)，組織可以選擇自行架設(shè)DNS或由 ISP的 DNS代轉(zhuǎn)，這項(xiàng)決策也會(huì)影響到組織的 Inter架構(gòu)。若 ?是少了這項(xiàng)服務(wù)，內(nèi)部使用者會(huì)難以解析 Web站臺(tái)的