三、內部建置公開服務器
以前,或許只有較大的企業才會設置公開的服務器,讓外部的用戶存取。但是信息化的普及讓中小企業也可能架設不同的公開服務器給外部的用戶。例如圖文件交換、技術更新信息、報告繳交等都可通過架設公開服務器的方式達成。
企業要提供公開的服務,必須要有一個固定的地址讓互聯網用戶建立在服務器地址欄。一般的方式是使用IP地址或是域名來作為辨別,但是這兩種方法對于中小企業都較為昂貴,每個月的費用較高。還好DDNS的出現,可允許企業用動態IP,即使使用ADSL取得動態IP,也可讓用戶以記憶域名的方式來存取服務器。Qno俠諾也提了動態域名DDNS的服務給企業用戶,現正進行最后階段的測試工作,將于近日內開放給Qno俠諾的用戶,請讀者拭目以待。
以下針對不同的需要,說明內部建置公開服務器的配置,主要分為有固定公網IP、提供一個公開服務器及提供多個公開服務器等三種情況說明:
有一個或多個固定公網IP,相對較高等級的安全性:若有多個固定IP,又想將服務器隔離到外網,得到最高的安全性,則可透過Qno俠諾路由器的硬件DMZ端口,連接到一個或多個服務器,這樣完全隔離,外部用戶網絡封包完全不會進入內網,可得到最高的安全性。這種應用最安全,但是筆者發現對于網管來說也是最不熟悉的。
有一個或多個固定公網IP,允許以內部服務器向外公開:有些應用希望服務器能很方便地被內網及外網的用戶存取,而又有固定公網IP可用時,則可采用One to one NAT的功能,將內網服務器與公網IP產生對應關系,這樣這個服務器對于外網用戶,就像公網服務器,而對內網用戶,則像內網服務器一般。這種配置相當方便,故十分普及,但由于沒有適當的隔離,因此需要作一些帶寬或是限制的防火墻設定,以增加安全性。
使用DDNS提供多個公開服務器,需要較高安全性:企業若采用ADSL上網,則往往沒有固定IP使用,必須申請動態域名服務。Qno俠諾用戶可向俠諾進行申請相關服務。虛擬服務器一次開放限定網絡端口,因此對于不正常的端口要求,可以不予理會,相對安全性也較高。這適合特定的服務器端口使用。采用虛擬服務器功能技術上,可以開放內部多個服務器。
![""]("http://network.51cto.com/files/uploadimg/20070227/1135442.jpg") 498)this.style.width=498;" border=0> |
| 圖三 |
圖三:虛擬服務器是以網絡服務端口對應的方式,開放到內部的服務器上,由于只開放有限的端口,因此可得到較高的安全性。
使用DDNS配合動態IP提供一個不特定端口公開服務器,安全性要求低:有些應用并沒有特定端口,服務器會依應用的需要自行和客戶端軟件決定溝通端口,這時就不能用虛擬服務器。典型的例子是視頻監控,或遠程數碼攝像頭,大多采用特殊的端口,這時只好把所有端口服務的要求,通過“內部DMZ服務器”功能,轉到該服務器去。這個功能是軟件DMZ,不用連接到實體的DMZ口,而是指向一部內部服務器。但由于所有端口開放,安全性也較低,建議要設置對應的防火墻管制規則才好。這個功能一個WAN口只能提供一個服務器使用。
![""]("http://network.51cto.com/files/uploadimg/20070227/1135443.jpg") 498)this.style.width=498;" border=0> |
| 圖四 |
圖四:DMZ服務器適合網絡攝像頭等,不確定端口的應用,但相對安全必須作對應的防火墻配置。
以上針對廣域網、局域網及開放服務器三方面,對中小企業安全路由器的功能,常遇到的一些問題,作了初步的介紹。相信對于企業網管,有相當的幫助。后續,我們還會根據用戶需求,來談談中小企業安全路由器“配置及管理”相關的功能。
