Курсовая работа: Инфраструктура территориально-распределительной корпоративной сети
В состав DMZ входят:
- сервера DMZ: Mail, Web, ftp,
внешний DNS и RAS;
- средства изоляции (межсетевые
экраны);
- коммутационное оборудование DMZ
(коммутатор РГ и прочее оборудование, обеспечивающее связь с другими зданиями и
сотрудниками корпорации по выделенным каналам).
В качестве серверов Mail, Web и ftp
берем свободное ПО, распространяемое по лицензии GNU(или схожим). В частности,
в качестве ОС используем FreeBSD, ориентированную на работу в сети. Для этой ОС
существуют все указанные сервера в виде свободно распространяемых продуктов,
поэтому их выбор должен осуществляться при консультации с отделом эксплуатации
сети. Например, в качестве Web – сервера может быть развернут Apach вместе с
PHP и MySQL или PostgreSQL. Поддержка мировым сообществом этих продуктов
достаточно сильная. Тоже самое относится и большинству других решений для
указанных серверов.
Для снижения стоимости DMZ следует
физически разместить сервера, выполняющие схожую по нагрузке работу, на одном
физическом сервере. Для этого развернем на одном сервере Mail и ftp, а на другом Web сервер.
Отдельно ставится сервер RAS на основе Windows Server 2003, так как он
призван обеспечить доступ к сети для удаленных пользователей. Развернуть его на
FreeBSD не получится. В добавок, служба DNS должна быть связана со службой AD,
поэтому ее также лучше развернуть на сервере с OC Windows 2003 Server.
Для защиты проникновения через
демилитаризованную зону в корпоративную сеть используются межсетевые экраны.
Существуют программные и аппаратные экраны. Для программных требуется отдельная
машина. Для установки аппаратного брандмауэра (программируемого моста) нужно
лишь подключить его в сеть и выполнить минимальное конфигурирование. Обычно
программные экраны используются для защиты сетей, где нет необходимости
производить много настроек, связанных с гибким распределением полосы
пропускания и ограничения трафика по протоколам для пользователей. Если сеть
большая и требуется высокая производительность, выгоднее становится использовать
аппаратные межсетевые экраны.
1) При достаточном финансировании
используются 2 firewall-а – один отделяет DMZ от внешней сети, другой- DMZ от
локальной сети
2) При ограниченном
финансировании используется более дешевый вариант: использованию одного сервера
с тремя сетевыми интерфейсами. Тогда один интерфейс «смотрит» в Интернет,
второй – в DMZ и третий – в локальную сеть.
При реализации такого варианта
необходимо обратить внимание на его недостатки:
- Снижение надежности
сети. В случае зависания или перезагрузки сервера ресурсы, находящиеся в DMZ,
будут временно недоступны пользователям;
- В случае его выхода из
строя все то время, которое вы потратите на замену, локальная сеть организации
будет практически неработоспособна;
- Слабая защита от
вмешательств извне.
Если используются два
межсетевых экрана, то все эти недостатки частично или полностью можно
устранить. В случае выхода из строя одного из них в течение буквально нескольких
минут сеть из варианта «1» можно превратить в вариант «2», добавив в сервер еще
одну сетевую карту и произведя соответствующие изменения в настройках. К тому
же безопасность сети при использовании двух межсетевых экранов повышается.
Например, если взломщик сумел проникнуть на сервер, подключенный к WAN и DMZ,
то ему не будут доступны ресурсы локальной сети.
Остановимся на втором
варианте при использовании программного firewall. В качестве ОС для firewall выбираем FreeBSD, в качестве программного firewall – пакет Smoothwall. В коммерческой версии этот продукт обладает
мощным набором настроек и предоставляет большие возможности по фильтрации
пакетов. Так же он предоставляет возможность организации NAT(п. 3.7.1), что
важно для внешнего FireWall-a.
Оборудование, которое
потребуется для такой организации DMZ, следующее:
- 5 серверов;
- 1 коммутатор ГП;
- коммутационное
оборудование в составе маршрутизаторов 5680 и OfficeConnect ADSL Wireless.
3.7.1 Распределение
внешних IP адресов, использование NAT
Технология
NAT
позволяет выполнять трансляцию адресов из локальных в глобальные через подмену
портов. Подмена должна происходить до попадания в WAN, то есть внутри DMZ.
Для обеспечения доступа к серверам
DMZ им должен быть назначены внешние IP адреса из доступного по заданию
диапазона. Для обеспечения подключения пользователей через Dial-Up (п. 3.7.3) реализацию технологии
NAT необходимо сделать на внешнем firewall. Так же необходимо назначить статические внешние IP адреса
на все сетевые интерфейсы внутреннего firewall, кроме связанного с локальной
сетью.
3.8 Подключение филиалов
и удаленных пользователей
Согласно заданию на
курсовую работу, все три здания корпорации CorpKAM географически разнесены, поэтому необходимо
определить, каким образом будет происходить подключение филиалов к главному
зданию A.
3.8.1
Подключение здания В по каналу Т1
Здание В расположено в
другом городе, удалённом на значительное расстояние от главного офиса. Для его
подключения арендуется канал T1. Для обеспечения репликации сайтов и зон DNS, целесообразно подключить выделенный
канал к коммутатору, соединяющему корпоративные серверы в демилитаризованной
зоне. На стороне здания B
используется специальный маршрутизатор 5680, имеющий возможность подключения
каналов T1. В здании А стоит аналогичный маршрутизатор.
Канал T1 - первичный
канал иерархии PDH - является основным каналом, используемым во вторичных сетях
телефонии, передачи данных и ISDN. Структура систем передачи T1 включают три уровня эталонной
модели OSI: физический, канальный и сетевой. Физический уровень описывает
электрический интерфейс потока T1, а
также параметры сигнала T1.
Канальный уровень
описывает процедуры мультиплексирования и демультиплексирования каналов более
низкого уровня иерархии (ОЦК 64 кбит/с и каналов ТЧ) в поток T1, цикловую и сверхцикловую структуру
потока T1, встроенные процедуры контроля
ошибок и т.д. Наконец, сетевой уровень описывает процедуры управления каналами T1 в первичной сети, а также контроль
параметров ошибок на сетевом уровне. Этот уровень является относительно
неполным и включает всего лишь несколько процедур. Основным же для рассмотрения
систем передачи T1 является
структура канального уровня. Рассмотрим более подробно структуру каждого из
трех уровней систем T1.
Используемые типы кодирования:
HDB3 (стандартизирован), либо AMI.
| Уровень цифровой иерархии |
Скорости передачи, соответствующие различным системам
цифровой иерархии, кбит/с |
|
|
|
|
Американский стандарт(Tx) |
Японский стандарт(DSx)Jx |
Европейский стандарт(Ex) |
| 1 (первичный) – T1 |
1544 (24 канала) |
1544 (24 канала) |
2048 (30 каналов по 64kbps) |
| 2 (вторичный) – T2 |
6312 (96 каналов) |
6312 (96 каналов) |
8448 (120 каналов по 64kbps) |
| 3 (третичный) – T3 |
44736 (672 канала) |
32064 (480 каналов) |
34368 (480 каналов по 64kbps) |
| 4 (четвертичный) - T4 |
274176 (4032 канала) |
97728 (1440 каналов) |
139264 (1920 каналов по 64kbps) |
| 5 (пятеричный) |
*не используется* |
397200 |
564992 |
Таким образом, выбранный маршрутизатор
подключается к одному из портов коммутатора, объединяющего серверы в
демилитаризованной зоне здания А. Поскольку для соединения филиала В с главным
офисом не используется никакая публичная сеть, то на этом канале организовывать
VPN с целью защиты данных не будем.
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12 |
