科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道用DNS解析实现防火墙客户的重定向(2)

用DNS解析实现防火墙客户的重定向(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

现在很多公司都使用微软的活动目录对网络进行管理,其中内部DNS服务器是不可或缺的一个组成部分。通过的内部DNS服务器和防火墙客户端结合,能够巧妙的解决很多实际问题。

作者:51CTO.COM 2007年11月12日

关键字: 防火墙 DNS ISA

  • 评论
  • 分享微博
  • 分享邮件

  2、ISA判定访问此web站点不需要经过ISA Server;

  3、客户端向内网DNS查询www.contoso.com的地址,内部DNS返回这台服务器的外网IP;

  4、客户端判定IP地址在外网,向ISA发送访问此IP的请求;

  5、代理服务器通过策略处理,响应请求,连接建立。

  正如上述过程所描述的,防火墙客户端模式的客户机通过使用内部DNS服务器的解析,实现了对外部资源的访问。

  请仔细体会一下其中的过程,然后接着看CASE2。

  

  CASE2:

  背景描述:BlueEye公司位于上海,是总部位于深圳的Contoso收购的一家公司。Contoso收购Blueeye后,未对BlueEye的AD架构进行更改,而保持了其原有的内部DNS名:BlueEye.com,只是将其电子邮件名统一为Contoso.com,且要求其通过使用总部的邮件服务器进行邮件的发送与接受,便于邮件的监控。

  两家公司的网络结构图简单表示如下所示:

  

  

  BlueEye内部有收发邮件的客户机均安装了防火墙客户端软件,使用Outlook Express收发邮件,且总部指定其使用的POP3服务器为POP3.contoso.com,SMTP服务器为SMTP.contoso.com。Contoso公司另有一台SMTP2.contoso.com供另一家分公司使用。

  某日,Contoso通知BlueEye其SMTP.contoso.com突然Down机,正在进行抢修,要求BlueEye的IT部门通知BlueEye的内部用户(1000多人)更改OE的设置,使用SMTP2.contoso.com作为临时的SMTP服务器。

  分析:如果通知所有用户修改OE设置,等原先的SMTP服务器修复后还需要再更改回来,必定会造成用户的不满;同时,总部的 SMTP2.contoso.com服务器供另一家分公司使用,暂时不会考虑去ISP的DNS注册别名。那么如何才能够快速解决此问题呢?

  解决方案:如果你看过CASE1,应该会有一个思路:能不能让用户的客户机将SMTP.contoso.com解析为SMTP2.contoso.com的IP,然后再向ISA发送访问请求呢?

  自然是可以的,方法如下:

  (1)在BlueEye.com的内部DNS上新建一个主区域(不需要选择与AD集成),命名为contoso.com

  

  

  

  

  (2)在contoso.com中新建一条A纪录,将SMTP.contoso.com指向61.0.0.2

  

  

  (3)在ISA Server上中将SMTP.contoso.com添加到标签Domains中;

  

  

  (4)客户机刷新防火墙策略后,即可成功接收和发送邮件。待smtp服务器修复后,删除所作的更改即可恢复原来的状态,而不需要在客户端进行任何的修改。

  上述两个CASE,没有用到什么高深的知识,只是通过思路的转变,就解决了两个比较棘手的问题。希望这篇文章能够给你提供一种新的解决问题的思路。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章