DMZ
主機 針對不同資源提供不同安全級別的保護,可以考慮構建一個叫做“Demilitarized
Zone”(DMZ)的區域。DMZ可以理解為一個不同于外網或內網的特殊網絡區域。DMZ內通常放置一些不含機密信息的公用服務器,比如Web、
Mail、FTP等。這樣來自外網的訪問者可以訪問DMZ中的服務,但不可能接觸到存放在內網中的公司機密或私人信息等。即使DMZ中服務器受到破壞,也
不會對內網中的機密信息造成影響。
當規劃一個擁有DMZ的網絡時候,我們可以明確各個網絡之間的訪問關系,可以確定以下六條訪問控制策略。
1.內網可以訪問外網
內網的用戶顯然需要自由地訪問外網。在這一策略中,防火墻需要進行源地址轉換。
2.內網可以訪問DMZ
此策略是為了方便內網用戶使用和管理DMZ中的服務器。
3.外網不能訪問內網 很顯然,內網中存放的是公司內部數據,這些數據不允許外網的用戶進行訪問。
4.外網可以訪問DMZ
DMZ中的服務器本身就是要給外界提供服務的,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火墻完成對外地址到服務器實際地址的轉
換。
5.DMZ不能訪問內網 很明顯,如果違背此策略,則當入侵者攻陷DMZ時,就可以進一步進攻到內網的重要數據。
6.DMZ不能訪問外網
此條策略也有例外,比如DMZ中放置郵件服務器時,就需要訪問外網,否則將不能正常工作。
==============================
什么是“DMZ”?
即將路由其設置成內網和外網均不能直接訪問的區域,多用于連接WWW服務器等公用服務器
就是為外部用戶訪問內部網絡設置的一個特殊的網絡
==============================
DMZ主機就是把設置成DMZ主機的內網的機器端口全部映射到外網了.
人家訪問外網就可以訪問設置成了DMZ主機的內網的機器,
-----------------------------分割線----------------------------------------
DMZ DMZ是英文“demilitarized
zone”的縮寫,中文名稱為“隔離區”,也稱“非軍事化區”。它是為了解決安裝防
火墻后外部網絡不能訪問內部網絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩沖區,這個緩沖區位于企業內部網絡和外部網絡之間的小網
絡區域內,在這個小網絡區域內可以放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。另一方面,通過這樣一個DMZ區域,更加有
效地保護了內部網絡,因為這種網絡部署,比起一般的防火墻方案,對攻擊者來說又多了一道關卡。網絡結構如下圖所示。
網絡設備開發商,利用這一技術,開發出了相應的防火墻解決方案。稱“非軍事區結構模式”。DMZ通常是一個過濾的子網,DMZ在內部網絡和
外部網絡之間構造了一個安全地帶。網絡結構如下圖所示。
DMZ防火墻方案為要保護的內部網絡增加了一道安全防線,通常認為是非常安全的。同時它提供了一個區域放置公共服務器,從而又能有效地避免
一些互聯應用需要公開,而與內部安全策略相矛盾的情況發生。在DMZ區域中通常包括堡壘主機、Modem池,以及所有的公共服務器,但要注意的是電子商務
服務器只能用作用戶連接,真正的電子商務后臺數據需要放在內部網絡中。
在這個防火墻方案中,包括兩個防火墻,外部防火墻抵擋外部網絡的攻擊,并管理所有內部網絡對DMZ的訪問。內部防火墻管理DMZ對于內部網
絡的訪問。內部防火墻是內部網絡的第三道安全防線(前面有了外部防火墻和堡壘主機),當外部防火墻失效的時候,它還可以起到保護內部網絡的功能。而局域網
內部,對于Internet的訪問由內部防火墻和位于DMZ的堡壘主機控制。在這樣的結構里,一個黑客必須通過三個獨立的區域(外部防火墻、內部防火墻和
堡壘主機)才能夠到達局域網。攻擊難度大大加強,相應內部網絡的安全性也就大大加強,但投資成本也是最高的。