Configurazione della Rete AR

La figura riporta una parte dei componenti della rete AR.

La rete è divisa in tre lan interconnesse da un firewall. Le tre lan permettono di gestire tre profili di sicurezza. Gli host vengono assegnati ad una delle tre lan sulla base della sicurezza di cui hanno bisogno.

La figura riporta le macchine che partecipano direttamente ad una query da Internet. Questi elaboratori, dedicati ad eseguire uno o più server, collaborano tutti a soddisfare una richiesta di informazioni provenienti da Internet. Il colocamento della macchina in una delle tre lan è determinato dalle esigenze di sicurezza richieste dai server in esecuzione.

Il Web Server principale viene eseguito sulla macchina www.ar-ent.net. Questa soddisfa la maggior parte delle richieste provenienti da Internet accedendo al proprio file system dove sono collocati i documenti html.

Il Server Notes collocato sulla macchina us1.ar-ent.net, gestisce una replica dei data base notes visibili da Internet. Le richieste vengono canalizzate attraverso www.ar-ent.net.

I Server Btrieve e Soap sono collocati sulla macchina ar2.ar-ent.net. Questi due server forniscono tutte le informazioni dinamiche provenienti dal database NetSim che contiene i dati della demo.

Le tre lan di cui è composta la rete sono:

1. La lan¹ denominata dmz². Nel disegno è collocata a sinistra del firewall. È una lan che connette il router³ verso Internet ed il firewall.
• Gli indirizzi sono pubblici (v. IP -- Indirizzi Pubblici), nel range 194.186.45.192 - 194.186.45.207.
• La zona è priva di protezioni⁴.
• Una macchina su questa lan si comporta come una macchina connessa direttamente ad Internet⁵.
2. La lan di servizio. Nel disegno è collocata alla destra del firewall. Contiene i server accessibili da Internet.
• Gli indirizzi ip sono pubblici (v. IP -- Indirizzi Pubblici), nel range 194.186.45.224 - 194.186.45.239.
• La lan è protetta dal firewall. La protezione è limitata. Le macchine in questa lan hanno lo scopo di fornire servizi ad Internet (mail, web server, ecc...)
3. La lan interna. Nel disegno è collocata sotto al firewall. Contiene tutte le macchine dell'azienda. È la zona protetta per gli acessi, ma è separata dalla zona di servizio. I filtri previsti dal firewall sono il più stretti possibile.
• Gli indirizzi sono privati (v. IP -- Indirizzi Privati), nel range 223.100.50.0 - 223.100.50.255
• La lan è protetta dal firewall. La protezione è la massima possibile. Ogni tipo di acesso è attentamente valutato e limitato al massimo. Il firewall agisce come proxy server (v. IP -- Proxy).
• Alcune macchine nella rete interna sono raggiungibili da Internet. A tal fine si configura sul firewall un servizio nat (v. IP -- NAT) o un servizio Proxy (v. IP -- Proxy).

Il firewall è un host con tre schede di rete che raccorda le tre reti illustrate. Ha due indirizzi pubblici (194.185.45.192 e 194.185.45.224) e un indirizzo privato (223.100.50.19). Tutto il traffico di collegamento tra le tre lan passa attraverso il firewall che funge da entità di controllo.

I seguenti host sono collocati nella lan dmz:

1. L'host denominato mail con indirizzo 194.185.45.227. Su questa macchina viene esguito il Mail Server Lotus Notes (v. http://www.lotus.com). Inoltre su questa macchina gira il server dns.
2. L'host denominato www con indirizzo 194.185.45.226. Su questa macchina viene esguito il Web Server Apache (v. http://www.apache.org).

All'interno della rete aziendale evidenziamo le funzioni di tre host:

1. L'host denominato ar3 con indirizzo privato 223.100.50.5. Viene eseguito il Web Server Apache di prova. Serve per le prove del sito esterno e per la gestione del sito interno⁶.
2. L'host denominato ar2 con indirizzo privato 223.100.50.10. Viene eseguito il Web Server Apache dedicato alla gestione dei moduli Soap. Inoltre gestisce il server Btrieve di acesso al database della demo.
3. L'host denominato us1 con indirizzo privato 223.100.50.3. Viene eseguito il Notes Server che gestisce i database Notes di interesse per i nostri clienti.

---

¹ Semplificando, una lan è una rete ethernet governata da un hub o da uno switch. Tutti i computer collegati alla lan possono parlarsi direttamente. Logicamente una lan è caratterizzata da un certo range di indirizzi ip. Gli indirizzi ip delle macchine collegate alla medesima lan condividono tutte le stesse cifre iniziali (ad esempio 194.186.45.193, 194.186.45.194, ... 194.186.45.206). La situazione è analoga a quella degli utenti telefonici connessi alla medesima centrale che condividono le medesime cifre iniziali del numero di telefono.

² La sigla significa zona demilitarizzata, e cioè la zona di confine con il potenziale nemico.

³ Il router viene normalmente fornito dal provider e collega la propria rete ad Internet.

⁴ Se non si tiene conto dei firewall installati presso il provider.

⁵ Ad esempio una macchina che si collega ad Internet tramite un modem ed un provider. Il modem in questo caso funge da router. È visibile ed indirizzabile da tutta Internet.

⁶ Prevede aree e documenti che non si vogliono rendere di dominio pubblico.