摘要:DMZ�,中文名稱為“隔離區(qū)”����,也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡不能訪問內(nèi)部網(wǎng)絡服務器的問題����,而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)����,這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的小網(wǎng)絡區(qū)域內(nèi),在這個小網(wǎng)絡區(qū)域內(nèi)可以放置一些必須公開的服務器設(shè)施����,如企業(yè)Web服務器�����、FTP服務器和論壇等��。DMZ主機控制策略包括6條�����,內(nèi)網(wǎng)可以訪問外網(wǎng)���、內(nèi)網(wǎng)可以訪問DMZ、外網(wǎng)不能訪問內(nèi)網(wǎng)……下面一起來看看詳細介紹�����。
DMZ主機控制策略
1��、內(nèi)網(wǎng)可以訪問外網(wǎng)
內(nèi)網(wǎng)的用戶顯然需要自由地訪問外網(wǎng)��。在這一策略中��,防火墻需要進行源地址轉(zhuǎn)換����。
2��、內(nèi)網(wǎng)可以訪問DMZ
此策略是為了方便內(nèi)網(wǎng)用戶使用和管理DMZ中的服務器��。
3���、外網(wǎng)不能訪問內(nèi)網(wǎng)
很顯然,內(nèi)網(wǎng)中存放的是公司內(nèi)部數(shù)據(jù)����,這些數(shù)據(jù)不允許外網(wǎng)的用戶進行訪問。
4��、外網(wǎng)可以訪問DMZ
DMZ中的服務器本身就是要給外界提供服務的��,所以外網(wǎng)必須可以訪問DMZ�����。同時��,外網(wǎng)訪問DMZ需要由防火墻完成對外地址到服務器實際地址的轉(zhuǎn)換�����。
5���、DMZ不能訪問內(nèi)網(wǎng)
很明顯����,如果違背此策略���,則當入侵者攻陷DMZ時�����,就可以進一步進攻到內(nèi)網(wǎng)的重要數(shù)據(jù)��。
6�、DMZ不能訪問外網(wǎng)
此條策略也有例外�,比如DMZ中放置郵件服務器時,就需要訪問外網(wǎng)�,否則將不能正常工作。在網(wǎng)絡中���,非軍事區(qū)(DMZ)是指為不信任系統(tǒng)提供服務的孤立網(wǎng)段����,其目的是把敏感的內(nèi)部網(wǎng)絡和其他提供訪問服務的網(wǎng)絡分開,阻止內(nèi)網(wǎng)和外網(wǎng)直接通信�����,以保證內(nèi)網(wǎng)安全��。
DMZ主機服務配置
1��、運作機理
DMZ提供的服務是經(jīng)過了地址轉(zhuǎn)換(NAT)和受安全規(guī)則限制的�����,以達到隱蔽真實地址��、控制訪問的功能�����。首先要根據(jù)將要提供的服務和安全策略建立一個清晰的網(wǎng)絡拓撲���,確定DMZ區(qū)應用服務器的IP和端口號以及數(shù)據(jù)流向��。通常網(wǎng)絡通信流向為禁止外網(wǎng)區(qū)與內(nèi)網(wǎng)區(qū)直接通信��,DMZ區(qū)既可與外網(wǎng)區(qū)進行通信�����,也可以與內(nèi)網(wǎng)區(qū)進行通信��,受安全規(guī)則限制�����。
2�����、地址轉(zhuǎn)換
DMZ區(qū)服務器與內(nèi)網(wǎng)區(qū)���、外網(wǎng)區(qū)的通信是經(jīng)過網(wǎng)絡地址轉(zhuǎn)換(NAT)實現(xiàn)的。網(wǎng)絡地址轉(zhuǎn)換用于將一個地址域(如專用Intranet)映射到另一個地址域(如Internet)����,以達到隱藏專用網(wǎng)絡的目的。DMZ區(qū)服務器對內(nèi)服務時映射成內(nèi)網(wǎng)地址���,對外服務時映射成外網(wǎng)地址�����。采用靜態(tài)映射配置網(wǎng)絡地址轉(zhuǎn)換時���,服務用IP和真實IP要一一映射����,源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換都必須要有����。
3、安全規(guī)則制定
安全規(guī)則集是安全策略的技術(shù)實現(xiàn)�����,一個可靠����、高效的安全規(guī)則集是實現(xiàn)一個成功、安全的防火墻的非常關(guān)鍵的一步��。如果防火墻規(guī)則集配置錯誤����,再好的防火墻也只是擺設(shè)����。在建立規(guī)則集時必須注意規(guī)則次序����,因為防火墻大多以順序方式檢查信息包,同樣的規(guī)則����,以不同的次序放置��,可能會完全改變防火墻的運轉(zhuǎn)情況�����。如果信息包經(jīng)過每一條規(guī)則而沒有發(fā)現(xiàn)匹配���,這個信息包便會被拒絕��。一般來說����,通常的順序是���,較特殊的規(guī)則在前���,較普通的規(guī)則在后�,防止在找到一個特殊規(guī)則之前一個普通規(guī)則便被匹配�����,避免防火墻被配置錯誤�。
DMZ安全規(guī)則指定了非軍事區(qū)內(nèi)的某一主機(IP地址)對應的安全策略。由于DMZ區(qū)內(nèi)放置的服務器主機將提供公共服務����,其地址是公開的,可以被外部網(wǎng)的用戶訪問�����,所以正確設(shè)置DMZ區(qū)安全規(guī)則對保證網(wǎng)絡安全是十分重要的�����。
FireGate可以根據(jù)數(shù)據(jù)包的地址�����、協(xié)議和端口進行訪問控制。它將每個連接作為一個數(shù)據(jù)流���,通過規(guī)則表與連接表共同配合�����,對網(wǎng)絡連接和會話的當前狀態(tài)進行分析和監(jiān)控��。其用于過濾和監(jiān)控的IP包信息主要有:源IP地址����、目的IP地址��、協(xié)議類型(IP�����、ICMP�、TCP����、UDP)、源TCP/UDP端口����、目的TCP/UDP端口��、ICMP報文類型域和代碼域��、碎片包和其他標志位(如SYN����、ACK位)等�����。
為了讓DMZ區(qū)的應用服務器能與內(nèi)網(wǎng)中DB服務器(服務端口4004����、使用TCP協(xié)議)通信,需增加DMZ區(qū)安全規(guī)則�����, 這樣一個基于DMZ的安全應用服務便配置好了�。其他的應用服務可根據(jù)安全策略逐個配置。
聲明:以上內(nèi)容源于程序系統(tǒng)索引或網(wǎng)民分享提供����,僅供您參考使用�����,不代表本網(wǎng)站的研究觀點����,請注意甄別內(nèi)容來源的真實性和權(quán)威性��。申請刪除>>
糾錯>>
阿里云
耕升
七彩虹
雷神
