Meningen med detta arrangemang är att skapa en DMZ zon som kan nås från båda hållen och inte släppa in användare från internet till det interna nätet. Jag kommer även att skapa en logisk web server som ligger utanför bordermanager servern.
När man talar om bordermanager så menar man allmänt om proxy funktionen i bordermanager. Men bordermanager är mycket mer än en proxy. Vad är en proxy ? Ordet proxy betyder fullmakt eller att göra något åt någon och det beskriver rätt bra vad en proxyserver gör.
När en klient skall ut och hämta information på internet så frågar klienten proxyn, och proxyn går ut på internet och hämtar informationen åt klienten som sedan skickar den vidare till klienten. Det kan låta omständigt att göra så men det finns fördelar med det.
En proxy kan filtrera trafiken och administratören kan på så sett ange vilka internet platser som är tillåtna. Dvs så att anställda inte sysslar med sådant som dom inte ska på arbetstid.
Proxyn lagrar informationen i en cache. Om en klient har gjort en förfrågan på en internet sida så har proxyn lagrat den i cachen. Då en annan klient vill gå till samma sida så hämtas sidan från cachen och inte på internet. Det i sin tur ger bättre prestanda.
Bordermanager fungerar även som en omvänd proxy. Om en "surfare" på nätet gör en förfrågan på företagets web server så cachar bordermanager även utåt sett på samma vis. Vilket avlastar det interna nätet och webservern.
Bordermanager installeras med en grupp av applikationer som tillsammans skapar en brandväggs funktion (Firewall). Brandväggen har till uppgift att skapa en säkerhets spärr mot internet, så att inte otillåtna användare kommer åt företagets information på det interna nätet från internet.
Brandväggen larmar så fort en användare försöker att "hacka" sig in i servern från internet och ger administratören tid att bryta förbindelsen till internet. NAT (Network Address Translation) är en annan funktion som gör att alla användare på det interna nätet ser ut att använda samma ip adress ut på internet. Det gör att det blir lättare att försvara en adress än 150 st. Då ip numren börjar/har tagit slut så används endast ett eller några nummer som "legala" och på det interna nätet så används "illegala" nummer. Se TCP/IP
Bordermanager har även andra funktioner men det kommer jag inte att gå in på nu. Installations anvisningarna kommer att handla om att skapa en proxy med enklare brandväggs funktion. Se bild.
Meningen med detta arrangemang är att skapa en DMZ zon som
kan nås från båda hållen och inte släppa
in användare från internet till det interna nätet.
Jag kommer även att skapa en logisk web server som ligger
utanför bordermanager servern.
Fysiskt sett ser arrangemanget ut så här
Jag pratade om NAT (Network Address Translation) tidigare. Vilket innebär att alla IP adresser på det egna interna nätet översätts till ett eller flera "legala" adresser. Det innebär att det ser ut att vara endast en dator som surfar på internet.
NAT har också den egenskapen att du kan lägga till flera IP adresser på public interfacet. I det här fallet ska vi lyfta ut web servern till internet från DMZ zonen. Och på så sett skapa en direkt ansluten web server till internet.
Fördelen med detta är fortfarande att det endast finns en fysisk dator som är ansluten till internet. Web servern är en NetWare 4.11 med två nätverkskort som med det yttre kortet endast har TCP/IP protokollet installerat.
Web servern har också ett eget NDS-träd p.g.a. att om en "hacker" skulle tas sig in i web servern så kan han inte ta sig vidare i det interna nätet och komma åt information om företaget.
I modulen filtcfg.nlm så finns det inställningar för filter. Dessa filter är statiska, dvs dom är öppna hela tiden för public interfacet för trafik. Ett annat ord för filter är regler. Bordermanager har endast regler för utgående trafik, dvs när en användare skickar en förfrågan till proxyn så öppnar bordermanager en port för den utgående trafiken och stänger den när informationen är skickad. Dessa filter är dynamiska.
Regler innebär att man nekar eller tillåter portar att öppna sig efter önskemålen ex. att neka port numret för Realaudio. I det här fallet kommer vi att skapa regler från internet till DMZ zonen som är statiska och ha dynamiska från det interna nätet till DMZ zonen samt internet.
Alla tjänster på internet har olika port nummer, WWW-HTTP har t.ex. port 80 och FTP har port 21 samt SMTP för mail har port 25. Även proxyn har en port som heter 8080.
Regler
|
Utgående trafik Status: Dynamisk Neka: Allt Tillåt: Alla interface www-http |
Port
80 |
Ingående trafik Status: Statisk Neka: Allt Tillåt: Public till DMZ www-http |
Port
80 |
Jag kommer senare att lägga till URL:en HTTP://www.microsoft.com är förbjuden. Bordermanager har funktionen att neka vissa hemsidor för användarna på det interna nätet. Det går till och med att neka Pelle att läsa sportsidorna på aftonbladet.se och tillåta samma sida för Lisa.