luda 首先,什么是DMZ区
DMZ(DMILITARITARIZED ZONE)的缩写,直译为非军事区或停火区是指位于内部网(可信区域)和外网(不可信区域)之间的中间公共访问区(独立网络),目的是防止外部用户直接访问内网。此区域通常可由外联网用户访问,但不能主动启动对内联网的连接请求。
在实际操作中,部分主机必须对外提供服务,在提供更好服务的同时,必须有效保护内部网络的安全,必须将对外开放的主机与内部众多网络设备分开。根据不同的要求采取适当的隔离措施,可以提供对外友好的服务,同时最大限度地保护内部网络。为了对不同的资源提供不同级别的保护,可以在主机环境中部署提供网络级别保护的DMZ区域,减少为不可靠的客户提供服务所带来的风险,是放置公共信息的最佳位置。在非DMZ系统中,内部网络和主机的安全性通常没有人们想象的那么强,提供给互联网的服务会产生很多漏洞,使其他主机易受攻击。但是,通过配置DMZ,可以将需要安全的Web应用程序服务器和数据库系统放置在内部网上,将充当代理数据访问的主机放置在DMZ中,而不包含敏感数据,从而确保应用程序系统的安全。DMZ防止包含敏感数据的内部系统直接暴露在外部网络中,攻击者即使最初入侵成功,也会面临DMZ设置的新障碍。在这个小网络区域中,您可以放置需要公开的服务器设施,如HTTP、FTP、SMTP、流媒体等。
二、如何实施DMZ领域
许多防火墙产品提供DMZ接口。硬件防火墙使用专用硬件芯片,因此在性能和流量方面具有绝对优势。软件防火墙的性价比很高,适合一般企业使用。使用Linux防火墙可以降低成本。硬件(硬件防火墙)和软件(Linux iptables)的使用方法。
三、DMZ领域的两大体系结构设计
(1)单一防火墙:
DMZ单防火墙体系结构
(2)双重防火墙:
DMZ双防火墙体系结构
四、DMZ基本控制策略
规划DMZ区域时,可以确定六种基本访问控制策略:
(1)。内部网可以访问外部网。
内部网用户显然需要自由访问外部网络。在此策略中,防火墙需要源地址转换。
(2)。内部网可以访问DMZ
该策略旨在使内部网用户能够在DMZ中方便地使用和管理服务器。
(3)。外联网无法访问内部网
内部网显然存储着外网用户无法访问的公司内部数据。
(4)。外联网可以访问DMZ
DMZ的服务器本身是为了向外部世界提供服务,因此外部网络必须能够访问DMZ。此外,为了从外部网络访问DMZ,防火墙必须将外部地址转换为服务器的物理地址。
(5)。对DMZ内部网的访问受到限制
显然,违反这一战略可能会在入侵者攻陷DMZ时进一步攻击内部网的重要数据。
(6)。DMZ无法访问外部网络
这个政策也有例外。例如,在DMZ中部署邮件服务器时,需要访问外部网络。否则,它将无法正常工作。在网络中,非军事区(DMZ)是指为不可靠系统提供服务的孤立网络段,目的是将敏感的内部网络与提供访问服务的其他网络分开,防止内部网和外网直接通信,从而确保内网的安全。