网络安全 频道

妙用DNS解析实现防火墙客户的重定向

前言:现在很多公司都使用微软的活动目录对网络进行管理,其中内部DNS服务器是不可或缺的一个组成部分。我们知道,对于ISA的防火墙客户端通过ISA访问网络资源时,其DNS解析由ISA服务器帮助完成,你是否有想过,通过的内部DNS服务器和防火墙客户端结合,能够巧妙的解决很多实际问题。

这篇文章里,我将通过两个CASE,讲述使用两者结合的方法解决两个实际问题。

声明:这两个CASE都是我近期遇到的问题,其中解决第一个CASE的是我的一个同事,他为我提供了一种新的思路;第二个CASE则是我沿用这种思路,解决新的问题。

 

CASE1:

问题描述:Contoso公司的网络环境如下图所示:

妙用DNS解析实现防火墙客户的重定向(图一)

 

 

该公司使用ISA 2004作为代理服务器。

公司内部网络采用单林单域模式,内部DNS名为contoso.com,在Internet上注册的域名亦为contoso.com。公司有50多台服务器,包括邮件服务器、数据库服务器、OA服务器、FTP服务器与Web服务器等,其中邮件服务器、OA服务器均为双网卡,而FTP服务器与Web服务器均只有外网卡,数据库服务器只有内网卡。有外网卡的服务器均直接与外线交换机相连,且在Internet上注册有合法的DNS名。

 

公司内部客户机的TCP/IP配置中,将DNS指向内部的DNS服务器,有访问互联网权限的客户机均使用FWC方式访问Internet。现公司为了提高访问OA服务器和邮件服务器的速度,要求客户机通过服务器的内部网卡进行访问邮件服务器和OA服务器。

 

分析存在的问题:OA服务器和邮件服务器数量总和大约在30台,如果一台一台在ISA控制台上设置“访问不通过代理服务器”,工作量较大,且将来添加新服务器时,需要在ISA上添加相应的纪录;另一方面,如果在ISA上直接设置Bypass *.contoso.com,那么会造成安装有防火墙客户端用户无法访问ftp.contoso.com和www.contoso.com(因为这几台Server没有内网卡)。

 

解决方案:其实解决的方案有很多,但下面这种最简单的不知道你想到没有:

在ISA Server上对*.contoso.com进行Bypass,然后在内部DNS为ftp.contoso.com和www.contoso.com分别新建两条A纪录,指向各自的外网IP。
 

 

我们以www.contoso.com为例,来考虑一下现在的客户机访问过程:

1、用户通过IE访问www.contoso.com,通过防火墙客户端向ISA Server发送请求,要求进行解析;

2、ISA判定访问此web站点不需要经过ISA Server;

3、客户端向内网DNS查询www.contoso.com的地址,内部DNS返回这台服务器的外网IP;

4、客户端判定IP地址在外网,向ISA发送访问此IP的请求;

5、代理服务器通过策略处理,响应请求,连接建立。

 

正如上述过程所描述的,防火墙客户端模式的客户机通过使用内部DNS服务器的解析,实现了对外部资源的访问。

请仔细体会一下其中的过程,然后接着看CASE2。

 

 

CASE2:

背景描述:BlueEye公司位于上海,是总部位于深圳的Contoso收购的一家公司。Contoso收购Blueeye后,未对BlueEye的AD架构进行更改,而保持了其原有的内部DNS名:BlueEye.com,只是将其电子邮件名统一为Contoso.com,且要求其通过使用总部的邮件服务器进行邮件的发送与接受,便于邮件的监控。

两家公司的网络结构图简单表示如下所示:

妙用DNS解析实现防火墙客户的重定向(图二) 点击查看大图

 

BlueEye内部有收发邮件的客户机均安装了防火墙客户端软件,使用Outlook EXPress收发邮件,且总部指定其使用的POP3服务器为POP3.contoso.com,SMTP服务器为SMTP.contoso.com。Contoso公司另有一台SMTP2.contoso.com供另一家分公司使用。

某日,Contoso通知BlueEye其SMTP.contoso.com突然Down机,正在进行抢修,要求BlueEye的IT部门通知BlueEye的内部用户(1000多人)更改OE的设置,使用SMTP2.contoso.com作为临时的SMTP服务器。

分析:如果通知所有用户修改OE设置,等原先的SMTP服务器修复后还需要再更改回来,必定会造成用户的不满;同时,总部的 SMTP2.contoso.com服务器供另一家分公司使用,暂时不会考虑去ISP的DNS注册别名。那么如何才能够快速解决此问题呢?
 

0
相关文章