none
DMZ RRS feed

  • Вопрос

  • Я с DMZ никогда не встречался. И соответственно возник вопрос

    На примере

    ISP
     |
    ISA
     |
     | DMZ
     |
    CISCO
     |
    users


    Необходим ли NAT  на cisco для  реализации DMZ между  циско и isa? Или же если для подключения с ISA использована маршрутизация это уже считается NAT.


    PS Не пинайте сильно - искал инфу, но ответа именно на мой вопрос не нашёл.

    Заранее спасибо за ответы)
    26 ноября 2008 г. 19:03

Ответы

  •  

    как я уже говорил все зависит от того зачем тебе dmz и какая там адресация
    в такой конфигурации получиться что иса у тебя уже не в локалке, то есть если она используется в те возможности ради чего ее большинство ставит (возможность аутенфикации доменных юзеров), то у нее будут проблемы, юзера и контроллеры то в локалке, а в идеале хосты из дмз не должны иметь возможность влезть в локалку.

    учитывая что в большинстве случаев локалка имеет "серые" адреса, то между локалкой и дмз обычно nat, так же как между локалкой и инетом. отношение между дмз и инетом зависит от адресов в дмз, изначально считалось что дмз это доступная снаружи зона для публичных серверов компании, поэтому дмз использовали белые адреса и отношение с инетом было route. но иногда делают иначе.

    статей по этому поводу в инете сотни, такое понятие как дмз появилось гораздо раньше чем все исы, и в книгах по исе тоже про это написано

    27 ноября 2008 г. 7:44
    Отвечающий

Все ответы

  • кто нибудь понял что он спросил?

    во-первых надо сначала выяснить для чего тебе дмз, а потом уже думать как его реализовать

    ps я бы циску и ису поменял бы местами.

    27 ноября 2008 г. 6:52
    Отвечающий
  • это теоритический вопрос , на пркатике dmz реализоввывать не буду.
    Если есть ссыки на грамотные статьи по поводу его реализации + личный опыт - поделитесь.

    Циску с исой менять не могу - на циске вланы висят....
    27 ноября 2008 г. 7:21
  •  

    как я уже говорил все зависит от того зачем тебе dmz и какая там адресация
    в такой конфигурации получиться что иса у тебя уже не в локалке, то есть если она используется в те возможности ради чего ее большинство ставит (возможность аутенфикации доменных юзеров), то у нее будут проблемы, юзера и контроллеры то в локалке, а в идеале хосты из дмз не должны иметь возможность влезть в локалку.

    учитывая что в большинстве случаев локалка имеет "серые" адреса, то между локалкой и дмз обычно nat, так же как между локалкой и инетом. отношение между дмз и инетом зависит от адресов в дмз, изначально считалось что дмз это доступная снаружи зона для публичных серверов компании, поэтому дмз использовали белые адреса и отношение с инетом было route. но иногда делают иначе.

    статей по этому поводу в инете сотни, такое понятие как дмз появилось гораздо раньше чем все исы, и в книгах по исе тоже про это написано

    27 ноября 2008 г. 7:44
    Отвечающий
  • Добавлю еще немного. В ISA Server, для cisco не знаю, можно создавать правила nat\route как для сетевого сегмента, так и для отдельных машин. Например весь сетевой сегмент route, а для конкретного сервера в нем nat.

     

    27 ноября 2008 г. 8:31
  •  

    ну это давно известно, разные правила в исе можно создавать для всех сетевых обьектов которые можно указывать в качестве источника

    а циска как роутер намного функциональнее винды с исой, она умеет такое что винде и не снится пока Smile

    27 ноября 2008 г. 8:36
    Отвечающий
  • Зато какой у Виндус графический интерфейс Wink

    27 ноября 2008 г. 8:48
  •  

    у циски тоже есть, тока в нем далеко не все возможности можно реализовать

    впрочем как и у винды, хотя и в меньшем масштабе Smile)

    27 ноября 2008 г. 8:53
    Отвечающий
  •  Aleksey Potapov (aptv) написано:
    Я с DMZ никогда не встречался. И соответственно возник вопрос
    PS Не пинайте сильно - искал инфу, но ответа именно на мой вопрос не нашёл.

    Алексей, очень советую Вам найти время и изучить хотя бы раздел, посвящённый организации периметральных сетей этой книги Стивен Норкатт Защита сетевого периметра.

    Я начинал своё знакомство именно с этой книги.

    27 ноября 2008 г. 12:11
  • Спасибо за совет)
    27 ноября 2008 г. 12:17
  • Рад был помочь

    27 ноября 2008 г. 12:59