以往可能较大的企业才会设置公开的服务器,让外部的用户存取。但是信息化的普及让中小企业也可能要架设不同的公开服务器给外部的用户。例如像图文件交换、技术更新信息、报告缴交等都可经由架设公开服务器的方式达成。
企业要提供公开的服务,必须提供一个固定的IP地址让互联网用户键入在服务器地址栏。一般的方式是使用IP地址或是域名来作为辨别,但是这两种方法对于中小企业都较为昂贵,每个月的费用较高。还好DDNS的出现,可允许企业用动态IP,即使使用ADSL取得动态IP,也可让用户以记忆域名的方式来存取服务器。Qno侠诺也将提供动态域名DDNS的服务给企业用户,现正进行最后阶段的测试工作,将于近日内开放给侠诺的用户,请读者拭目以待。
以下针对不同的需要,说明内部建置公开服务器的配置,主要分为有固定公网IP、提供一个公开服务器、及提供多个公开服务器等情况说明:
•有一个或多个固定公网IP,想要较高等级的安全性:
若有多个固定IP,又想将服务器隔离到外网,得到最高的安全性,则可通过Qno侠诺路由器的硬件DMZ端口,连接到一个或多个服务器,这样完全隔离,外部用户网络封包完全不会进入内网,可得到最高的安全性。这种应用是最安全的,但是笔者发现对于网管来说也最不熟悉的。
•有一个或多个固定公网IP,允许以内部服务器向外公开:
有些应用希望服务器能很方便地被内网及外网的用户存取,而又有固定公网IP可用时,则可采用One to one NAT的功能,将内网服务器与公网IP产生对应关系,这样这个服务器对于外网用户,就像公网服务器,而对内网用户,则像内网服务器一般。这种配置相当方便,故十分普及,但由于没有适当的隔离,因此需要作一些带宽或是限制的防火墙设定,以增加安全性。
•使用DDNS提供多个公开服务器,需要较高安全性:
企业若采用ADSL上网,则往往没有固定IP使用,必须申请动态域名服务。Qno侠诺用户可向侠诺进行申请相关服务。虚拟服务器一次开放限定网络端口,因此对于不正常的端口要求,可以不予理会,相对安全性也较高。这适合特定的服务器端口使用。采用虚拟服务器功能技术上,可以开放内部多个服务器。
图三:虚拟服务器是以网络服务端口对应的方式,开放到内部的服务器上,由于只开放有限的端口,因此可得到较高的安全性。
•使用DDNS配合动态IP提供一个不特定端口公开服务器,安全性要求低:
有些应用并没有特定端口,服务器会依应用的需要自行和客户端软件决定沟通端口,这时就不能用虚拟服务器。典型的例子是视频监控,或远程数码摄像头,大多采用特殊的端口,这时只能把所有端口服务的要求,通过“内部DMZ服务器”功能,转到该服务器去。这个功能是软件DMZ,不用连接到实体的DMZ口,而是指向一部内部服务器。但由于所有端口开放,安全性也较低,建议要设置对应的防火墙管制规则才好。这个功能一个WAN口只能提供一个服务器使用。
【相关文章】