5 Eylül 2010 Pazar

DMZ Nedir?

Ref: http://www.sorucevap.com/bilisimteknolojisi/ders.asp?206632


"DMZ: De-Militirizied Zone.




Networkte farzedin ki , bilgisayar diskinizde yapmis oldugunuz partion ayarlari yapacaksiniz. Oyle bir partition ki, guvenlik ayarlari farkli olacak; bir nevi sivil-asker kumelerinden olusan bir gruplama yapacaksiniz. Iste bu noktada karsiniza cikacak olan oge DMZ adi verilen ogedir.



DMZ ile Public IP lerin networke sizin verdiginiz izinler dogrultusunda

erisimi gerceklenecektir.



Farzedin ki networku iki ogeye ayirdiniz: Local intranet ve DMZ olarak.

Local intranette clientlariniz, printerlariniz olsu; DMZ tarafinda ise mail server, file server, web server bulunsun.

Isteginiz su olsun: Her iki taraf da irternete cikabilsin, Public IP ler ise

local intranete erisemesin, DMZ te de izinler olcusunde erisim gerceklensin. Nasil mi olacak, biraz daha detaya girelim:



Elinizde bulunmasi gereken ogeler:

Router, Firewall, uc tane switch. (Firewall olmazsa olmaz sart degildir ama guvenlik ayarlarini highlevel olarak gerceklemek istiyorsaniz kacinilmaz oge olacaktir)

Konfigurasyon: Internet hattini routera verdikten sonra , router ile switchi baglayin. Switchi Firewalla girin. Firewallun uc tane ethernet karti olacak. External, internal, DMZ aglarina giden kartlar. External karta Switchten gelen kabloyu baglayin. (Istege bagli olarak Firewall direk routera verilebilinir)

Internal agi internal karta, DMZ agini DMZ kartina baglayin.

Internal networkte 3 tane makina ve bir de printer olsun.

DMZ te ise mail server, file server, web server olsun.

Internal network ayarlari:

Internal network IP niz 192.0.0.0 olsun ; subnet mask 255.255.255.0

DMZ network IP niz 192.0.1.0 olsun; subnet mask 255.255.255.0

Internal networkteki uc makinaya su IP leri verin:

192.0.0.1; 192.0.0.2; 192.0.0.3 Subnet Maskleri hep ayni olsun.

Printerin IP si de 192.0.0.4.

DMZ teki mail server IP si; 192.0.2.1 web server IP si 192.0.2.2 ve file server IP si 192.0.2.3 olsun.

SImdi gelelim firewalla.

Firewallda External Kart icin gireceginiz external IP, ISP tarafindan size verilen external network Public IP ranginden bir IP olacaktir.

Pratikte bu rangiteki ilk IP routera, ikincisi Firewalla , ve sirasi ile mail server, web servera , ... verilir.

ISP nin vermis oldugu network IP si soyle olsun : 64.172.64.10 ve 16 tane IP sizin olsun. O zaman router IP niz 62.172.64.10 olacak.

Simdi External kart icin external IP soyle oldugunu varsayalim: 64.172.64.11 .

Mail server external IP niz 64.172.64.12 ve web server external ip niz ise 64.172.64.13 olsun.

Simdi, sorumuz ne yapmak istiyoruz: Yapmak istedigimiz firewall uzerinde gerekli ayarlamalarla Internal IP ler internete cikacak; DMZ internete cikacak; Public IP ler DMZ te sadece mail serverda POP ve web serverda http/https/ftp portlarindan adi gecen serverlara access yapabilecek:

Firewalla gidip; NAT (Network address translation) ayarlarini oncelikle yapmamiz gerekecektir. Burada internal bacagin NAT adresi

64.172.64.15 olsun. DMZ te ise mail serverin NAT adresi olarak mail serverin Public IP sini; web serverin NAT adresi olarak yine bunun IP adresini vermemiz gerekecektir. Simdi Firewalla eklemeniz gereken rulelar:

1) Any source, Internal IP ye, any erisim yapmak isterse: Drop (Istege bagli Reject)

2) Any source, DMZ teki Serverlara http,ftp,https erisimi yapmak isterse accept.

3) Any source, DMZ teki Serverlara any erisim yapmak isterse Reject



TABI bu ayarlar istege gore degisecektir. MESELA FTP YAPILMASI ISTENMIYORSA , FTP SERVIS ISTEGI DROP VEYA REJECT YAPILMASI GEREKIR.

Oncelikle kim nereye ulasabilir, hangi haklarla....sorusu cevaplanmali ve hersey onceden planlanmalidir.



Saygilar. "

Hiç yorum yok:

Yorum Gönder