作者 主題: [最佳]DMZ 不設 NAT  (閱讀 22126 次)

0 會員 與 1 訪客 正在閱讀本文。

decade_joe

  • 懷疑的國中生
  • **
  • 文章數: 66
    • 檢視個人資料
[最佳]DMZ 不設 NAT
« 於: 2003-07-04 23:01 »
請問各位高手, DMZ 如何不設 NAT, 可以教我嗎?
Thanks!!!!!

James Wu

  • 鑽研的研究生
  • *****
  • 文章數: 683
    • 檢視個人資料
Re: DMZ 不設 NAT
« 回覆 #1 於: 2003-07-18 07:00 »
引述: "decade_joe"
請問各位高手, DMZ 如何不設 NAT, 可以教我嗎?
Thanks!!!!!

dmz和nat是二種完全沒關係的東西..

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
[最佳]DMZ 不設 NAT
« 回覆 #2 於: 2003-07-18 12:33 »
將 routing 搞定後,再來回報...

paulso

  • 俺是博士!
  • *****
  • 文章數: 1966
    • 檢視個人資料
[最佳]DMZ 不設 NAT
« 回覆 #3 於: 2003-07-18 12:49 »
DMZ 的意思是,因為那個 domain 是用 virtual ip,以 nat 來做 address translate,所以叫做 DMZ。以 nat 來作保護,我的概念有錯嗎?

若果沒錯,用 virtual ip 怎樣出 internet?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
[最佳]DMZ 不設 NAT
« 回覆 #4 於: 2003-07-18 12:56 »
DMZ 不一定要用 private IP 啊...
用 routeable IP 不行嗎?

paulso

  • 俺是博士!
  • *****
  • 文章數: 1966
    • 檢視個人資料
[最佳]DMZ 不設 NAT
« 回覆 #5 於: 2003-07-18 13:22 »
http://searchwebservices.techtarget.com/sDefinition/0,,sid26_gci213891,00.html
between a company's private network and the outside public network
private network 是否可以是 public ip?routeable ip = public ip 嗎...

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
[最佳]DMZ 不設 NAT
« 回覆 #6 於: 2003-07-18 13:38 »
嗯... 可以...

請問你能"順便"舉幾個 DMZ 的架構例子嗎?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
[最佳]DMZ 不設 NAT
« 回覆 #7 於: 2003-07-18 13:52 »
還是,我先舉一例好了:
代碼: [選擇]

 /\-/\-/\-/\     +-----+    +-----+    +-----+    +----------+
|Internet |-----| F/W |----| DMZ |----| F/W |----| Intranet |
 \/-\/-\/-\/     +-----+    +-----+    +-----+    +----------+

注一:DMZ 跟 Intranet 都可用 public IP,只要 routing 能搞定就行。
注二:DMZ 跟 Intranet 若不用 public IP,那請想辦法搞定 routing (NAT?Proxy?Socks?...)

paulso

  • 俺是博士!
  • *****
  • 文章數: 1966
    • 檢視個人資料
[最佳]DMZ 不設 NAT
« 回覆 #8 於: 2003-07-18 14:02 »
那即是說,內部網絡 intranet 就是等於 DMZ 嗎?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
[最佳]DMZ 不設 NAT
« 回覆 #9 於: 2003-07-18 14:12 »
引述: "paulso"
那即是說,內部網絡 intranet 就是等於 DMZ 嗎?


我沒說"等於"哦...
看你要對  dmz 如何定義吧...
反正,dmz 單純是一個"架構設計",不是一種技術、也不是一種協定。

例如,dmz 也可以如下設計:
代碼: [選擇]

 /\-/\-/\-/\    +-----+    +-----+    +----------+
|Internet |----| DMZ |----| F/W |----| Intranet |
 \/-\/-\/-\/    +-----+    +-----+    +----------+
代碼: [選擇]

 /\-/\-/\-/\   +-----+    +----------+
|Internet |---| F/W |----| Intranet |
 \/-\/-\/-\/   +-----+    +----------+
                 |
              +-----+
              | DMZ |
              +-----+

paulso

  • 俺是博士!
  • *****
  • 文章數: 1966
    • 檢視個人資料
[最佳]DMZ 不設 NAT
« 回覆 #10 於: 2003-07-18 15:24 »
那… 不懂怎樣分出是 DMZ 還是普通的 intranet …

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
[最佳]DMZ 不設 NAT
« 回覆 #11 於: 2003-07-18 15:29 »
引述: "paulso"
那… 不懂怎樣分出是 DMZ 還是普通的 intranet …

那我也沒法幫忙了...

paulso

  • 俺是博士!
  • *****
  • 文章數: 1966
    • 檢視個人資料
[最佳]DMZ 不設 NAT
« 回覆 #12 於: 2003-07-18 15:38 »
引述: "netman"
引述: "paulso"
那即是說,內部網絡 intranet 就是等於 DMZ 嗎?


我沒說"等於"哦...
看你要對  dmz 如何定義吧...
反正,dmz 單純是一個"架構設計",不是一種技術、也不是一種協定。

自己定出來? :o   不是因為什麼東西而判斷是 dmz or not?
即是例如,firewall 之後的一定是 dmz,沒 firewall 的就不是。
即是自己說是就是,不是就不是?= =
那…

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
[最佳]DMZ 不設 NAT
« 回覆 #13 於: 2003-07-18 16:23 »
1) 切兩個  network :a & b
2) 你可以:
* a 做 dmz
* b 做 dmz
* a & b 分為兩個 dmz
* a & b 都不做 dmz

請問你為何"一定"要將 firewall 扯進來?

codyli2002hk

  • 懷疑的國中生
  • **
  • 文章數: 52
    • 檢視個人資料
[最佳]DMZ 不設 NAT
« 回覆 #14 於: 2003-07-18 16:25 »
我的概念是這樣不知有錯嗎?

DMZ = 是一個對外開放的網絡區域, 可以在 firewall 前或 firewall後. 如果你有足夠的 真實 ip, 就完成了. 但如果你沒有足夠的 真實 ip, 那就要利用 NAT 的功能, 提供足夠的私人ip.

Intranet = 是一個不對外開放的網絡區域, 要在firewall 或 NAT 其中一種或兩種服務之後, 如果你有足夠的 真實 ip, 那就不需要利用 NAT 的功能. 反之, 那就要利用 NAT 的功能, 提供足夠的私人ip.

paulso

  • 俺是博士!
  • *****
  • 文章數: 1966
    • 檢視個人資料
[最佳]DMZ 不設 NAT
« 回覆 #15 於: 2003-07-18 16:31 »
引述: "netman"
請問你為何"一定"要將 firewall 扯進來?

只是舉個例子,會否因為些什麼東西或物件或器材來定義是否 dmz

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
[最佳]DMZ 不設 NAT
« 回覆 #16 於: 2003-07-18 18:57 »
小弟照著字典翻譯 , 把他定義為 "非軍事區" , ... 以下觀念不知是否正確

如果此網段 , 外面的人能自由進出的話 , 那應該就叫 dmz 了吧
如果有 254 個 public ip prerouting 到 192.168.0.0 的各電腦
那 192.168.0.1 中就不能藏軍事機密了 , 這就是 dmz 吧

反之 , 若此網段使用 public ip , 但都經過某台東西過濾封包 , check ok 才許封包通過
那麼並非所有人都能接觸這網段 , 這樣應該就不是 dmz 了吧

不知這樣觀念有沒有錯...

另外
網大所指的 routeable IP 是另外的名詞嗎 ?
或是意味著 "可路由於此網段" 的 ip 呢 ?

James Wu

  • 鑽研的研究生
  • *****
  • 文章數: 683
    • 檢視個人資料
[最佳]DMZ 不設 NAT
« 回覆 #17 於: 2003-07-18 19:09 »
DMZ是非交戰區沒錯
可是有沒有dmz是自己定義出來的
並沒有特定的架構
假設你只有一個public IP區域內所有
電腦都透過那台主機上網那台主機
你可以稱它做dmz也可以只單純的稱為nat或proxy
dmz的意義應該是為你不會在這台機器上
和hacker們做真正的攻防戰可能只是擋幾個ip
或撐port但是你真正重要的資料不會放在這上面

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
[最佳]DMZ 不設 NAT
« 回覆 #18 於: 2003-07-18 23:46 »
引述: "paulso"
只是舉個例子,會否因為些什麼東西或物件或器材來定義是否 dmz

請重看整串討論吧,dmz 不以任何物件或器材來定:
* 別管 firewall
* 別管 router
* 別管 public 還是 private IP
不如這樣來思考吧:
1) 先將 network zone 給劃分出來
2) 決定用哪個 zone 作 dmz
3) 將 routing 搞定(不管是否 nat 或 direct route)
4) 再設 firewall ...

dmz 的全稱應該不難找吧,De 或 Militarized 是次要的,Zone 才是關鍵。
DeMilitarized Zone 原本是一個軍事用詞:
兩國交戰時,在雙方兵馬之間所劃出來的一個緩衝區域。
用在 network 上也一樣:
有別於內部網路跟外部網路之間的區域都可作 dmz 。
至於如何設?自己看著辦吧。
但是否 NAT ,並非 dmz 的本命特徵...
假如 routing 搞得定,那就是所謂的 internetworking ...
也就是網路管理員的"基本功"。

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
[最佳]DMZ 不設 NAT
« 回覆 #19 於: 2003-07-18 23:48 »
引述: "dark"
網大所指的 routeable IP 是另外的名詞嗎 ?
或是意味著 "可路由於此網段" 的 ip 呢 ?

private ip 在 internet 上是 non-routeable 的,
但在自己架的 network ,可不一定。
假如我們需要在數個自己能控制的 network 之間設 DMZ ,
那用 routeable IP 未必是 public IP。
但若是要連 internet ,那 routeable IP 決對不能用 private IP 就是了...

decade_joe

  • 懷疑的國中生
  • **
  • 文章數: 66
    • 檢視個人資料
[最佳]DMZ 不設 NAT
« 回覆 #20 於: 2003-07-19 00:24 »
各位好!!!

其實我已經成功將DMZ不設NAT,方法有二,

1. Firewall 用 Bridge Mode
2. 用 ARP Proxy + Routing Table

為何我有這問題,因為不設NAT對Cluster和Firewall的負擔有很大幫助.

Birdman

  • 榮譽博士
  • 懷疑的國中生
  • **
  • 文章數: 40
    • 檢視個人資料
[最佳]DMZ 不設 NAT
« 回覆 #21 於: 2003-07-19 02:48 »
對不起,各位學長們,容小弟插個話
其實不要去拘泥什麼DMZ,什麼Intranet的迷思中
先撇開Internet來看,Firewall在中間的角色來看,其實也只是一個有Filter,有NAT的
rounting device或gateway
在一般網路環境中,請先思考是什麼樣的需求才要分割網路?
是因為部門使用環境的差異,所以要分割網路,也許是切割網段,也許是切割VLAN
(例如最常出現的範例題,Sales部門,RD部門,行政部門等等)
也有可能是因為電腦系統的性質不同,例如把一般PC與SERVER的網段分開

而在Internet的應用及考量,分割網路的理由通常是來自安全需求
所以我們通常會把內部使用者與對外服務的主機所在的網段分開,連實體網路也都要切開,如netman大大說明的兩種架構的第一種為例,這是最古老的DMZ架構,就是把web server,mail server,ftp server等服務主機往外放,Firewall保護的其實是內部的電腦,一般認為公司內部應用的資料才是最高機密,其實也因為早期防火牆技術還不是很發達(我還記得約7,8年前,那時的防火牆大概都只設計為兩個介面而已,造價就已經X百萬),後來漸漸才有第二種(netman大大說明的第二種架構),因為當Internet服務主機對外提供服務時,request是由外向內,會有較大的威脅,因為有可能是正常的request,也有可能是攻擊封包,反之,內部主機連線至Internet時,request由內向外,流入的封包是回覆request的資料,就前述的觀點,DMZ就有規劃的必要了(然而,在應用上,不管是第一或第二種,資料庫主機幾乎一定放在內部網路,就是大家常會用的Intranet這個字,我個人比較喜歡用Internal Network)
然後呢,威脅不斷新增,觀念繼續演進,所以雖然是只對內服務的主機,也會有來自內部網路的威脅,也許是病毒,也許是使用駭客軟體的無聊份子....所以又把主機"們"規劃為另一個網段,也許是switch上的VLAN,或是L3設備上的另一個IP網段,相較於此,還不如再把防火牆多加一個介面,不但有上述功能,還多了最重要的控管及稽核紀錄

業界的產品也有同樣的觀念,例如Checkpoint一直強調多個DMZ的彈性,Netscreen防火牆以前是直接在設備上標明Trust,Untrust及DMZ,但現在是強調多介面.....
以上是對於DMZ的解釋

而至於是否使用Private IP或直接使用"合法"IP(一般說法),在實作上是依照架構的需要或現實考量,例如原本沒有Firewall環境的網路,有一堆對外服務的主機,正好,新安裝的防火牆又不支援Transparent Mode或Bridge Mode(也就是說你要更改整個網路架構了,簡單來說就是IP要重新規劃),然後你發現了有幾台主機上跑的應用程式,開發的公司老早就倒了,你也沒有Source Code,最慘的是這些主機一改了IP,程式就不Work了,怎麼辦?這時最好的方式(至少我試過啦),就是將這些主機的IP檢查一下,就數量來看,看看是屬於所配發的合法IP網段的上半部或下半部比較適合
,然後就準備切啦,也就是說你的Firewall會有兩個介面的IP是所謂的合法IP,當然是不同網段(就是把你原來的合法網段切一半),還有一個介面的IP是Private網段,接你的內部網路,就這樣了,當然ARP Proxy也是好方法,不過把實體網路切開,就上述觀點來看可能更安全,安全與效能應該就不同的需求來選擇吧
.....這應該是這個主題想要的答案吧

當然,最基本的就是netman大大所說的,該設的路由要設好,該做NAT的就做好,不需要NAT的Firewall規則也要設好(通常是M$的主機,例如Exchange Server放在DMZ,DC主機或AD主機在內部,這時就不能亂作NAT了,DMZ_Exchange <--> 內部AD or DC不做NAT,DMZ_Exchange對外提供mail service就要做Static NAT了
)

其實不管是放在DMZ,或是內部網路,只要是做了Static NAT,再加上適當的防火牆規則,一樣能夠對外提供服務,不過那就失去規劃DMZ的意義了,不是嗎?

囉哩囉唆一大堆,還真是不好意思,以上是我個人的經驗及觀點,希望有幫助,也希望不吝指正

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
[最佳]DMZ 不設 NAT
« 回覆 #22 於: 2003-07-19 11:11 »
將對外的主機放在 DMZ ,
其中的一個考量是:假如 server 被攻陷了怎麼辦?
若能抓住這點來設計,自然懂得如何劃分及設定規則...

從"主動連線"方向來看,一般原則如下:
1) 從 int 到 dmz : yes
2) 從 int 到 ext : yes (嚴格來說,應是 no ,透過 dmz 的 proxy 最好)
3) 從 dmz 到 ext : yes
4) 從 dmz 到 int : no
5) 從 ext 到 int : no
6) 從 ext 到 dmz : no except specific services

a-su

  • 懷疑的國中生
  • **
  • 文章數: 45
    • 檢視個人資料
[最佳]DMZ 不設 NAT
« 回覆 #23 於: 2003-12-14 10:43 »
一台fw裝三張網卡(對外,對內,dmz),通常dmz都是用public ip,而dmz中的pc通常是將default gw指到fw上,因此fw的routing設定要正確

shaking

  • 榮譽學長
  • 憂鬱的高中生
  • ***
  • 文章數: 152
    • 檢視個人資料
[討論] 怎麼會越看我越迷糊....
« 回覆 #24 於: 2003-12-16 08:01 »
我記得我學的 DMZ 沒這麼多怪怪的東西阿...

剛剛去翻以前的筆記,我記得我的教授跟我講的一個重點就是,dmz 後面的主機就是拿來當犧牲品準備讓它隨時可以陣亡的東東...

我有找到一張我以前手畫的圖,給它美化一下丟上來,各方大大順便看一看,難不成是我那個叫獸禿槌教錯??


  

我記得叫獸是講,因為 web 安全性最低,所以資料基本上都"不真的是"擺在上面的,都是用 mirror 的方式,或是 backup 的方式弄進去,第二層的 f/w 則是限制住只能由固定的 internal server 以單向的方式把資料送進去,叫獸是說這樣是就算遭到攻擊也可以最快恢復的方法,所以 dmz 這個非軍事區就是拿來擺卒仔主機最好的地方... 我也覺得滿對的阿,各方大大,我這個觀念有沒有問題阿??

ps 得趁這機會搞清楚,噗噗...
img]http://www.shaking.idv.tw/op.gif[/img]