DADT 上海安达通安全解决方案案例 的交换机,将服务器群单独划分一个网段,将该网段的交换机接到安全网关的 DMZ端口 因为电信给信息中心分配了16个固定公有IP地址,公共服务器通过安全网 关的静态地址映射( Static NaT)功能使用不同的公有IP地址对外部网络提供服 务( PROXY服务器例外,因为它是向内网用户提供服务)。具体的做法为将服 务器设置为私有的IP地址(比如1921681.254等),在安全网关上做静态NAT 设置,将该服务器的地址静态地映射成一个公有的固定IP,对外界而言,所有 对该公有地址的访问都是透明的。 使用静态NAT而不直接使用外部固定IP地址避免服务器直接暴露在公网 上,向外界暴露内部的网络拓扑,另外也能抵抗一些比如组播等网络攻击行为, 并且在安全网关上作一些策略设置,对一些发现存在危险的地址和端口可以作细 粒度的访问控制 考虑到更改某些服务器的IP地址对外部用户的影响,可以通过更改DNS的 记录来保证对用户的屏蔽(因为还是使用原来的域名)。 如果用户希望仍然使用一个公有IP来提供以上四种服务,一样可以实现 使用安全网关的地址端口映射(NAPT)功能来把各种服务的特定端口相应地映 射到每台服务器的该端口上,这样的设计可以使服务器的安全性进一步得到加 强,因为对外部网络而言,只有提供服务的端口(比如WEB的80、POP3的110、 SMTP的25)是可见的,而其他的端口都被安全网关屏蔽了。另外使用这种方式 还节省了IP地址。 使用NAT模式的总部机房网络拓扑如下 wEE服务器 MATI服务哥 总部局域网 豇服务器 FY服务器 在此模式下网络配置相对较合理,缺点在于整个网络的正常运行都取决于安 w. adtsec com Te021-64325693:64325694上海安达通安全解决方案案例 www.adtsec.com 26 Tel：021-64325693；64325694 的交换机，将服务器群单独划分一个网段，将该网段的交换机接到安全网关的 DMZ 端口。 因为电信给信息中心分配了 16 个固定公有 IP 地址，公共服务器通过安全网 关的静态地址映射（Static NAT）功能使用不同的公有 IP 地址对外部网络提供服 务（PROXY 服务器例外，因为它是向内网用户提供服务）。具体的做法为将服 务器设置为私有的 IP 地址（比如 192.168.1.254 等），在安全网关上做静态 NAT 设置，将该服务器的地址静态地映射成一个公有的固定 IP，对外界而言，所有 对该公有地址的访问都是透明的。 使用静态 NAT 而不直接使用外部固定 IP 地址避免服务器直接暴露在公网 上，向外界暴露内部的网络拓扑，另外也能抵抗一些比如组播等网络攻击行为， 并且在安全网关上作一些策略设置，对一些发现存在危险的地址和端口可以作细 粒度的访问控制。 考虑到更改某些服务器的 IP 地址对外部用户的影响，可以通过更改 DNS 的 记录来保证对用户的屏蔽（因为还是使用原来的域名）。 如果用户希望仍然使用一个公有 IP 来提供以上四种服务，一样可以实现， 使用安全网关的地址端口映射（NAPT）功能来把各种服务的特定端口相应地映 射到每台服务器的该端口上，这样的设计可以使服务器的安全性进一步得到加 强，因为对外部网络而言，只有提供服务的端口（比如 WEB 的 80、POP3 的 110、 SMTP 的 25）是可见的，而其他的端口都被安全网关屏蔽了。另外使用这种方式 还节省了 IP 地址。 使用 NAT 模式的总部机房网络拓扑如下： 在此模式下网络配置相对较合理，缺点在于整个网络的正常运行都取决于安