با سلام خدمت دوستان خوبم در barnamenevis.org اگه دوستان یاری کنند, توضیحاتی در مورد شیوه راه اندازی یک DMZ با استفاده از ISA Server و مودم ADSL (وضعیت IP) می خواستم.

شیوه های مختلف راه اندازی
حالات مختلف
شیوه تنظیم IP ها
نیازهای سخت افزاری
و ...

ممنونم از این همه یاری دوستان!

ISA Server DMZ Scenarios.
http://adminscope.com/content/view/130/38/

لینک قوق را مطالعه کنید سپس سوالات مربوطه را مطرح نمایید

من برای بخش DMZ ام IP داینامیک (public) دارم و از این باب مشکلی ندارم. در عین حال چند سوال برام باقی مونده:

1. مزیت هر یک از حالت های زیر و معایب اونها دقیقا" چیه؟

- The Trihomed DMZ

- The Back to Back Private Address DMZ

- The Back to Back Public Address DMZ

2. در مدل اول یعنی the Trihomed DMZ منظور از External Segment دقیقا" کجاست؟ یعنی ISA جزء بخش خارجی حساب می شه؟

3. در حالت اول یعنی Trihomed یه جمله ای هست که واسم مفهوم نیست! می گه:

All you accomplish by doing this is to create two internal network interfaces or an external network interface that cannot access internal or external resources

این یعنی چی؟

4. LAT مخفف چیه و تعریفش چیه؟

5. Network ID چیه؟

6. مفهوم این جمله در ارتباط با همون روش اول یعنی Trihomed چیه؟

In order to get your DMZ IP addresses in order, you are going to need to subnet your IP address block. One of your network IDs will have to be committed to the external interface of the ISA Server. Any remaining Network ID can be used for your DMZ segment


7. این آدرسو توی ISA نمی تونم پیدا کنم:

This can be accomplished by right clicking the IP Packet Filters node in the left pane of the ISA Management console and clicking the Properties command

Demilitarized Zone) DMZ):
در واقع شبکه کوچکي است که از شبکه داخلي مجزا بوده و رنج IP هاي مورد استفاده در آن با IPهاي شبکه داخلي متفاوت است. IPهاي DMZ در داخلLATيا(Local Address Table) قرار ندارد.

کلا" DMZ مي تواند به دو شکل زير پياده سازي شود:
1) Tree homed DMZ: در اين حالت يکي از NICهاي ISA به اينترنت (مودم ADSL), يکي به شبکه محلي و سومي به DMZ متصل مي باشد.
2-Back to Back DMZ: در اين حالت از دو ISA استفاده مي شود که DMZ در بين آنها قرار دارد. در اين حالت امنيت شبکه داخلي بيشتر خواهد بود. زيرا براي نفوذ به داخل آن بايد از دو ISA عبور کنيم. ولي در عوض از نظر هزينه, گرانتر است.


LAT مخفف چیه و تعریفش چیه؟
LAT مخف Local Address Table است و شامل فهرست IPهاي شبکه داخلي است. ISA با استفاده از LAT ، می تواند IPهاي داخل و خارج از شبکه را تشخيص مي دهد. در هنگام نصب ISA مي تونیم IPهاي LAT را معرفي کنیم.بعد از نصب ISA در محلی که ISA Server نصب شده فایلی بنام MSPLAT.txt وجود دارد که در این فایل تنظیمات موجود در LAT قرار دارد و هر چند وقت یکبار بصورت اتوماتیک update میشه.

ممنونم از دوستم ramkly
ضمنا" اگه کسی می تونه پاسخ کاملتری به تمامی سوالهای من بده ممنون می شم.

The Trihomed DMZ
در این حالت باید از قسمت network در ایزا سرور گزینه 3 - leg permite را انتخاب کنی (شکل ضمیمه1) و بعد هم یک rule بنویسی برای ارتباط internal با کارت شبکه متصل به DMZ ، همچنین یک rule هم باید بنویسی برای ارتباط کارت شبکه External با DMZ در این صورت هم شبکه محلی و هم دنیای خارج به یک منبع بنام DMZ دسترسی دارند و همانطور که قبلا هم عنوان شد رنج IP های DMZ بهتره که با رنج شبکه محلی متفاوت باشه.

The Back to Back
در حالت back to back هم بین شبکه محلی و DMZ یک server با دو کارت شبکه قرار می گیره که یکی از کارت شبکه ها به شبکه محلی ودیگری به DMZ متصل شده، همچنین مابین DMZ و اینترنت هم یک کامپیوتر با دو کارت شبکه وجود داره که در سوال شما یکی از کارت شبکه ها به مودم ADSL وصل می شه و دیگری به شبکه DMZ تون وصل میشه که در این صورت باید در قسمت NETWORK در ISA Server گزینه back firewall را انتخاب کنی و rule هات را بنویسی(شکل ضمیمه 2)

در مدل اول یعنی the Trihomed DMZ منظور از External Segment دقیقا" کجاست؟
همون DMZ به عنوان external segment شبکه محلیتون به حساب میاد

یعنی ISA جزء بخش خارجی حساب می شه؟
ISA جزیی از شبکه داخلی به حساب میاد که به عنوان پل ارتباطی با دنیای بیرون استفاده میشه و در کل نقش یک روتر را بازی می کنه، ولی روتری که در آن access-list نوشته باشند که جلوی یکسری از پکتها و اطلاعات را می گیره.

Network ID چیه؟
هر IP از دو قسمت تشکیل شده network ID و Host ID مثلا اگر در شبکه IP کامپیوتر های ما مثل IPیی به شماره 192.168.196.1 باشه به قسمت 192.168.196 می گن network ID و عدد آخر می گن Host ID (توصیه می کنم یک نگاهی به مبانی شبکه بندازید و IP ها و کلاسهای IP را یک مروری بکنید)
بقیه سوالها را هم که فکر می کنم جواب دادم.

برای اطلاعات بیشتر در مورد نحوه نصب ISA برای DMZ به لینک زیر مراجعه کنید.
http://www.redline-software.com/eng/support/articles/isaserver/security/allowing-inbound-l2tpipsec-nat-traversal-connections-through-back-back-isa-server-firewall-dmzpart1.php
http://www.isaserver.org/tutorials/Allowing-Inbound-L2TPIPSec-NAT-Traversal-Connections-through-Back-Back-ISA-Server-Firewall-DMZPart1.html

این آدرسو توی ISA نمی تونم پیدا کنم:

This can be accomplished by right clicking the IP Packet Filters node in the left pane of the ISA Management console and clicking the Properties command