詞語解釋
DMZ是英文“demilitarized zone”的縮寫,中文名稱為“隔離區(qū)”,也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題,而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū),這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi),在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施,如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面,通過這樣一個DMZ區(qū)域,更加有效地保護了內(nèi)部網(wǎng)絡(luò),因為這種網(wǎng)絡(luò)部署,比起一般的防火墻方案,對攻擊者來說又多了一道關(guān)卡。
網(wǎng)絡(luò)設(shè)備開發(fā)商,利用這一技術(shù),開發(fā)出了相應(yīng)的防火墻解決方案。稱“非軍事區(qū)結(jié)構(gòu)模式”。DMZ通常是一個過濾的子網(wǎng),DMZ在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造了一個安全地帶。
DMZ防火墻方案為要保護的內(nèi)部網(wǎng)絡(luò)增加了一道安全防線,通常認為是非常安全的。同時它提供了一個區(qū)域放置公共服務(wù)器,從而又能有效地避免一些互聯(lián)應(yīng)用需要公開,而與內(nèi)部安全策略相矛盾的情況發(fā)生。在DMZ區(qū)域中通常包括堡壘主機、Modem池,以及所有的公共服務(wù)器,但要注意的是電子商務(wù)服務(wù)器只能用作用戶連接,真正的電子商務(wù)后臺數(shù)據(jù)需要放在內(nèi)部網(wǎng)絡(luò)中。
在這個防火墻方案中,包括兩個防火墻,外部防火墻抵擋外部網(wǎng)絡(luò)的攻擊,并管理所有內(nèi)部網(wǎng)絡(luò)對DMZ的訪問。內(nèi)部防火墻管理DMZ對于內(nèi)部網(wǎng)絡(luò)的訪問。內(nèi)部防火墻是內(nèi)部網(wǎng)絡(luò)的第三道安全防線(前面有了外部防火墻和堡壘主機),當(dāng)外部防火墻失效的時候,它還可以起到保護內(nèi)部網(wǎng)絡(luò)的功能。而局域網(wǎng)內(nèi)部,對于Internet的訪問由內(nèi)部防火墻和位于DMZ的堡壘主機控制。在這樣的結(jié)構(gòu)里,一個黑客必須通過三個獨立的區(qū)域(外部防火墻、內(nèi)部防火墻和堡壘主機)才能夠到達局域網(wǎng)。攻擊難度大大加強,相應(yīng)內(nèi)部網(wǎng)絡(luò)的安全性也就大大加強,但投資成本也是最高的。
如果你的機器不提供網(wǎng)站或其他的網(wǎng)絡(luò)服務(wù)的話不要設(shè)置.DMZ是把你電腦的所有端口開放到網(wǎng)絡(luò) 。
一:什么是DMZ
DMZ(Demilitarized Zone)即俗稱的非軍事區(qū),與軍事區(qū)和信任區(qū)相對應(yīng),作用是把WEB,e-mail,等允許外部訪問的服務(wù)器單獨接在該區(qū)端口,使整個需要保護的內(nèi)部網(wǎng)絡(luò)接在信任區(qū)端口后,不允許任何訪問,實現(xiàn)內(nèi)外網(wǎng)分離,達到用戶需求。DMZ可以理解為一個不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域,DMZ內(nèi)通常放置一些不含機密信息的公用服務(wù)器,比如Web、Mail、FTP等。這樣來自外網(wǎng)的訪問者可以訪問DMZ中的服務(wù),但不可能接觸到存放在內(nèi)網(wǎng)中的公司機密或私人信息等,即使DMZ中服務(wù)器受到破壞,也不會對內(nèi)網(wǎng)中的機密信息造成影響。
二:為什么需要DMZ
在實際的運用中,某些主機需要對外提供服務(wù),為了更好地提供服務(wù),同時又要有效地保護內(nèi)部網(wǎng)絡(luò)的安全,將這些需要對外開放的主機與內(nèi)部的眾多網(wǎng)絡(luò)設(shè)備分隔開來,根據(jù)不同的需要,有針對性地采取相應(yīng)的隔離措施,這樣便能在對外提供友好的服務(wù)的同時最大限度地保護了內(nèi)部網(wǎng)絡(luò)。針對不同資源提供不同安全級別的保護,可以構(gòu)建一個DMZ區(qū)域,DMZ可以為主機環(huán)境提供網(wǎng)絡(luò)級的保護,能減少為不信任客戶提供服務(wù)而引發(fā)的危險,是放置公共信息的最佳位置。在一個非DMZ系統(tǒng)中,內(nèi)部網(wǎng)絡(luò)和主機的安全通常并不如人們想象的那樣堅固,提供給Internet的服務(wù)產(chǎn)生了許多漏洞,使其他主機極易受到攻擊。但是,通過配置DMZ,我們可以將需要保護的Web應(yīng)用程序服務(wù)器和數(shù)據(jù)庫系統(tǒng)放在內(nèi)網(wǎng)中,把沒有包含敏感數(shù)據(jù)、擔(dān)當(dāng)代理數(shù)據(jù)訪問職責(zé)的主機放置于DMZ中,這樣就為應(yīng)用系統(tǒng)安全提供了保障。DMZ使包含重要數(shù)據(jù)的內(nèi)部系統(tǒng)免于直接暴露給外部網(wǎng)絡(luò)而受到攻擊,攻擊者即使初步入侵成功,還要面臨DMZ設(shè)置的新的障礙。
三:DMZ網(wǎng)絡(luò)訪問控制策略
當(dāng)規(guī)劃一個擁有DMZ的網(wǎng)絡(luò)時候,我們可以明確各個網(wǎng)絡(luò)之間的訪問關(guān)系,可以確定以下六條訪問控制策略。
1.內(nèi)網(wǎng)可以訪問外網(wǎng)
內(nèi)網(wǎng)的用戶顯然需要自由地訪問外網(wǎng)。在這一策略中,防火墻需要進行源地址轉(zhuǎn)換。
2.內(nèi)網(wǎng)可以訪問DMZ
此策略是為了方便內(nèi)網(wǎng)用戶使用和管理DMZ中的服務(wù)器。
3.外網(wǎng)不能訪問內(nèi)網(wǎng)
很顯然,內(nèi)網(wǎng)中存放的是公司內(nèi)部數(shù)據(jù),這些數(shù)據(jù)不允許外網(wǎng)的用戶進行訪問。
4.外網(wǎng)可以訪問DMZ
DMZ中的服務(wù)器本身就是要給外界提供服務(wù)的,所以外網(wǎng)必須可以訪問DMZ。同時,外網(wǎng)訪問DMZ需要由防火墻完成對外地址到服務(wù)器實際地址的轉(zhuǎn)換。
5.DMZ不能訪問內(nèi)網(wǎng)
很明顯,如果違背此策略,則當(dāng)入侵者攻陷DMZ時,就可以進一步進攻到內(nèi)網(wǎng)的重要數(shù)據(jù)。
6.DMZ不能訪問外網(wǎng)
此條策略也有例外,比如DMZ中放置郵件服務(wù)器時,就需要訪問外網(wǎng),否則將不能正常工作。在網(wǎng)絡(luò)中,非軍事區(qū)(DMZ)是指為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段,其目的是把敏感的內(nèi)部網(wǎng)絡(luò)和其他提供訪問服務(wù)的網(wǎng)絡(luò)分開,阻止內(nèi)網(wǎng)和外網(wǎng)直接通信,以保證內(nèi)網(wǎng)安全。
四:DMZ服務(wù)配置
DMZ提供的服務(wù)是經(jīng)過了地址轉(zhuǎn)換(NAT)和受安全規(guī)則限制的,以達到隱蔽真實地址、控制訪問的功能。首先要根據(jù)將要提供的服務(wù)和安全策略建立一個清晰的網(wǎng)絡(luò)拓撲,確定DMZ區(qū)應(yīng)用服務(wù)器的IP和端口號以及數(shù)據(jù)流向。通常網(wǎng)絡(luò)通信流向為禁止外網(wǎng)區(qū)與內(nèi)網(wǎng)區(qū)直接通信,DMZ區(qū)既可與外網(wǎng)區(qū)進行通信,也可以與內(nèi)網(wǎng)區(qū)進行通信,受安全規(guī)則限制。
1 地址轉(zhuǎn)換
DMZ區(qū)服務(wù)器與內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)的通信是經(jīng)過網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)實現(xiàn)的。網(wǎng)絡(luò)地址轉(zhuǎn)換用于將一個地址域(如專用Intranet)映射到另一個地址域(如Internet),以達到隱藏專用網(wǎng)絡(luò)的目的。DMZ區(qū)服務(wù)器對內(nèi)服務(wù)時映射成內(nèi)網(wǎng)地址,對外服務(wù)時映射成外網(wǎng)地址。采用靜態(tài)映射配置網(wǎng)絡(luò)地址轉(zhuǎn)換時,服務(wù)用IP和真實IP要一一映射,源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換都必須要有。
2 DMZ安全規(guī)則制定
安全規(guī)則集是安全策略的技術(shù)實現(xiàn),一個可靠、高效的安全規(guī)則集是實現(xiàn)一個成功、安全的防火墻的非常關(guān)鍵的一步。如果防火墻規(guī)則集配置錯誤,再好的防火墻也只是擺設(shè)。在建立規(guī)則集時必須注意規(guī)則次序,因為防火墻大多以順序方式檢查信息包,同樣的規(guī)則,以不同的次序放置,可能會完全改變防火墻的運轉(zhuǎn)情況。如果信息包經(jīng)過每一條規(guī)則而沒有發(fā)現(xiàn)匹配,這個信息包便會被拒絕。一般來說,通常的順序是,較特殊的規(guī)則在前,較普通的規(guī)則在后,防止在找到一個特殊規(guī)則之前一個普通規(guī)則便被匹配,避免防火墻被配置錯誤。
DMZ安全規(guī)則指定了非軍事區(qū)內(nèi)的某一主機(IP地址)對應(yīng)的安全策略。由于DMZ區(qū)內(nèi)放置的服務(wù)器主機將提供公共服務(wù),其地址是公開的,可以被外部網(wǎng)的用戶訪問,所以正確設(shè)置DMZ區(qū)安全規(guī)則對保證網(wǎng)絡(luò)安全是十分重要的。
FireGate可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進行訪問控制。它將每個連接作為一個數(shù)據(jù)流,通過規(guī)則表與連接表共同配合,對網(wǎng)絡(luò)連接和會話的當(dāng)前狀態(tài)進行分析和監(jiān)控。其用于過濾和監(jiān)控的IP包信息主要有:源IP地址、目的IP地址、協(xié)議類型(IP、ICMP、TCP、UDP)、源TCP/UDP端口、目的TCP/UDP端口、ICMP報文類型域和代碼域、碎片包和其他標志位(如SYN、ACK位)等。
為了讓DMZ區(qū)的應(yīng)用服務(wù)器能與內(nèi)網(wǎng)中DB服務(wù)器(服務(wù)端口4004、使用TCP協(xié)議)通信,需增加DMZ區(qū)安全規(guī)則, 這樣一個基于DMZ的安全應(yīng)用服務(wù)便配置好了。其他的應(yīng)用服務(wù)可根據(jù)安全策略逐個配置。
DMZ無疑是網(wǎng)絡(luò)安全防御體系中重要組成部分,再加上入侵檢測和基于主機的其他安全措施,將極大地提高公共服務(wù)及整個系統(tǒng)的安全性。
掃碼付費即可復(fù)制
X