Xin chào gia đình mến yêu!

Hiện nay mình đang có một case về tổ chức bảo vệ và baỏ mật như file gửi kèm.

Trong mô hình này, Internet gateway sẽ là Cisco router 2509.
Phía bên trong có sử dụng một Firewall phần cứng.
Do nhu cầu đặc thù, một DNS server sẽ phải được đặt trong Vùng giao tiếp giữa cổng external và interface E0 của Cisco 2509( tạm gọi vùng này là VLAN external). Điều này có nghĩa là server này sẽ mang một IP Public tĩnh và nằm chơ vơ ngoài tầm bảo vệ của Firewall.Do đó vấn đề mình đang đau đầu là làm sao có thể bảo vệ cho DNS server này. Liệu rằng chúng ta có thể sử dụng ACL của Cisco router và chúng đủ hiệu quả để đảm nhận công việc này không?
Hoặc giả là cần tổ chức lại hệ thống theo một cách nào đó? Hoặc là chèn thêm một Firewall giữa Firewal đang có và Router Internet gateway?

Mong mọi người tham gia chỉ dẫn dùm mình nhe! Lưu ý rằng là DNS server này phải có một IP public. Chúng ta chỉ có một subnet với SM là /29 IP public được ISP cấp mà thui! Kỹ thuật IP redirect có thể được áp dụng mà vẫn bảo đảm DNS server này hoạt động tốt khộng nhỉ?

Trân trọng sự giúp đỡ !
Thân mến!

He he,

Cái vụ này thì có gì là phức tạp đâu nhỉ, nếu là DNS server thì tốt nhất là dùng O/S linux có Bind Named 9.x với daemon của nó được chroot, sau đó dùng Netfilter/IPtables để làm localhost firewall cho DNS server

P.S. Cái DNS trên đâu cứ nhất thiết phải đặt ngoài Firewall, đem nó vào trong DMZ luôn đi

Hi itmansaigon!
Rất cảm ơn những hướng dẫn của anh!
Hiện tại thì DNS server này đang dựa trên nền OS là Windows, do đó hưóng dùng linux như a nói là không đưọc rùi !

Một vấn đề nữa là theo itman thì có tình huống nào DNS server phải đưọc đặt ngoài Internet với một IP Public không nhì ? Nếu thay DNS server của VNN từ IP 203.162.4.1 thành một giá trị Private là 172.16.4.1 chẳng hạn, hệ thống Internet của chúng ta có hoạt động bình thường không hả anh itman ?

Mình dự định là cài Personal FW cho cái server này, đồng thời dùng Router với sự hỗ trợ của ACL để chống tấn công, nhưng lại cảm thấy là không đủ độ tin cậy .

Mong diễn đàn và itmansaigon chỉ giáo thêm

Thân mến

Hi cvo15303,

Thực ra nếu dùng DNS service có sẵn trong MS Windows 200x server cho các site có ít DNS record thì cũng không có vấn đề gì, Bind Named thường được chọn lựa để dùng cho mô hình ISP, hay các root DNS server nơi khai báo rất nhiều các DNS records.

Đối với các công ty & tổ chức cá nhân, việc quan trọng trong việc public Name Server (NS) ra bên ngoài Internet là nên chú ý không chấp nhận Zone Transfer và Recursive Query từ bên ngoài, Bind Named 9.x cho phép ta cấu hình linh động hơn vì nó cho phép split zone...

Việc public một NS ra bên ngoài có nhiều cách để thực hiện: có thể gán trực tiếp routable IP address hoặc có thể đưa nó vào một DMZ network (được bảo vệ bởi firewall) và static NAT cho nó một routable IP address, cả hai cách đều có kết quả như nhau khi nhìn từ Internet, nếu công ty bạn có sử dụng firewall đắt tiền thì nên đặt NS vào trong DMZ để được bảo vệ