DMZ
主機(jī) 針對不同資源提供不同安全級別的保護(hù),可以考慮構(gòu)建一個叫做“Demilitarized
Zone”(DMZ)的區(qū)域。DMZ可以理解為一個不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域。DMZ內(nèi)通常放置一些不含機(jī)密信息的公用服務(wù)器,比如Web、
Mail、FTP等。這樣來自外網(wǎng)的訪問者可以訪問DMZ中的服務(wù),但不可能接觸到存放在內(nèi)網(wǎng)中的公司機(jī)密或私人信息等。即使DMZ中服務(wù)器受到破壞,也
不會對內(nèi)網(wǎng)中的機(jī)密信息造成影響。
當(dāng)規(guī)劃一個擁有DMZ的網(wǎng)絡(luò)時候,我們可以明確各個網(wǎng)絡(luò)之間的訪問關(guān)系,可以確定以下六條訪問控制策略。
1.內(nèi)網(wǎng)可以訪問外網(wǎng)
內(nèi)網(wǎng)的用戶顯然需要自由地訪問外網(wǎng)。在這一策略中,防火墻需要進(jìn)行源地址轉(zhuǎn)換。
2.內(nèi)網(wǎng)可以訪問DMZ
此策略是為了方便內(nèi)網(wǎng)用戶使用和管理DMZ中的服務(wù)器。
3.外網(wǎng)不能訪問內(nèi)網(wǎng) 很顯然,內(nèi)網(wǎng)中存放的是公司內(nèi)部數(shù)據(jù),這些數(shù)據(jù)不允許外網(wǎng)的用戶進(jìn)行訪問。
4.外網(wǎng)可以訪問DMZ
DMZ中的服務(wù)器本身就是要給外界提供服務(wù)的,所以外網(wǎng)必須可以訪問DMZ。同時,外網(wǎng)訪問DMZ需要由防火墻完成對外地址到服務(wù)器實(shí)際地址的轉(zhuǎn)
換。
5.DMZ不能訪問內(nèi)網(wǎng) 很明顯,如果違背此策略,則當(dāng)入侵者攻陷DMZ時,就可以進(jìn)一步進(jìn)攻到內(nèi)網(wǎng)的重要數(shù)據(jù)。
6.DMZ不能訪問外網(wǎng)
此條策略也有例外,比如DMZ中放置郵件服務(wù)器時,就需要訪問外網(wǎng),否則將不能正常工作。
==============================
什么是“DMZ”?
即將路由其設(shè)置成內(nèi)網(wǎng)和外網(wǎng)均不能直接訪問的區(qū)域,多用于連接WWW服務(wù)器等公用服務(wù)器
就是為外部用戶訪問內(nèi)部網(wǎng)絡(luò)設(shè)置的一個特殊的網(wǎng)絡(luò)
==============================
DMZ主機(jī)就是把設(shè)置成DMZ主機(jī)的內(nèi)網(wǎng)的機(jī)器端口全部映射到外網(wǎng)了.
人家訪問外網(wǎng)就可以訪問設(shè)置成了DMZ主機(jī)的內(nèi)網(wǎng)的機(jī)器,
-----------------------------分割線----------------------------------------
DMZ DMZ是英文“demilitarized
zone”的縮寫,中文名稱為“隔離區(qū)”,也稱“非軍事化區(qū)”。它是為了解決安裝防
火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題,而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū),這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)
絡(luò)區(qū)域內(nèi),在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施,如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面,通過這樣一個DMZ區(qū)域,更加有
效地保護(hù)了內(nèi)部網(wǎng)絡(luò),因?yàn)檫@種網(wǎng)絡(luò)部署,比起一般的防火墻方案,對攻擊者來說又多了一道關(guān)卡。網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。
網(wǎng)絡(luò)設(shè)備開發(fā)商,利用這一技術(shù),開發(fā)出了相應(yīng)的防火墻解決方案。稱“非軍事區(qū)結(jié)構(gòu)模式”。DMZ通常是一個過濾的子網(wǎng),DMZ在內(nèi)部網(wǎng)絡(luò)和
外部網(wǎng)絡(luò)之間構(gòu)造了一個安全地帶。網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。
DMZ防火墻方案為要保護(hù)的內(nèi)部網(wǎng)絡(luò)增加了一道安全防線,通常認(rèn)為是非常安全的。同時它提供了一個區(qū)域放置公共服務(wù)器,從而又能有效地避免
一些互聯(lián)應(yīng)用需要公開,而與內(nèi)部安全策略相矛盾的情況發(fā)生。在DMZ區(qū)域中通常包括堡壘主機(jī)、Modem池,以及所有的公共服務(wù)器,但要注意的是電子商務(wù)
服務(wù)器只能用作用戶連接,真正的電子商務(wù)后臺數(shù)據(jù)需要放在內(nèi)部網(wǎng)絡(luò)中。
在這個防火墻方案中,包括兩個防火墻,外部防火墻抵擋外部網(wǎng)絡(luò)的攻擊,并管理所有內(nèi)部網(wǎng)絡(luò)對DMZ的訪問。內(nèi)部防火墻管理DMZ對于內(nèi)部網(wǎng)
絡(luò)的訪問。內(nèi)部防火墻是內(nèi)部網(wǎng)絡(luò)的第三道安全防線(前面有了外部防火墻和堡壘主機(jī)),當(dāng)外部防火墻失效的時候,它還可以起到保護(hù)內(nèi)部網(wǎng)絡(luò)的功能。而局域網(wǎng)
內(nèi)部,對于Internet的訪問由內(nèi)部防火墻和位于DMZ的堡壘主機(jī)控制。在這樣的結(jié)構(gòu)里,一個黑客必須通過三個獨(dú)立的區(qū)域(外部防火墻、內(nèi)部防火墻和
堡壘主機(jī))才能夠到達(dá)局域網(wǎng)。攻擊難度大大加強(qiáng),相應(yīng)內(nèi)部網(wǎng)絡(luò)的安全性也就大大加強(qiáng),但投資成本也是最高的。