首先,什么是DMZ区
DMZ(DMILITARITARIZED ZONE)的缩写,直译为非军事区或停火区是指位于内部网(可信区域)和外网(不可信区域)之间的中间公共访问区(独立网络),目的是防止外部用户直接访问内网。
该区域一般可以被外网用户所访问,但不能主动向内网发起连接请求。在实际的运用中,某些主机需要对外提供服务,为了更好地提供服务,同时又要有效地保护内部网络的安全,将这些需要对外开放的主机与内部的众多网络设备分隔开来,根据不同的需要,有针对性地采取相应的隔离措施,这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。针对不同资源提供不同安全级别的保护,可以构建一个DMZ区域,DMZ可以为主机环境提供网络级的保护,能减少为不信任客户提供服务而引发的危险,是放置公共信息的最佳位置。在一个非DMZ系统中,内部网络和主机的安全通常并不如人们想象的那样坚固,提供给Internet的服务产生了许多漏洞,使其他主机极易受到攻击。但是,通过配置DMZ,我们可以将需要保护的Web应用程序服务器和数据库系统放在内网中,把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中,这样就为应用系统安全提供了保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击,攻击者即使初步入侵成功,还要面临DMZ设置的新的障碍。在这个小网络区域内可以放置一些必须公开的服务器设施,如HTTP、FTP、SMTP、流媒体等。
二、实现DMZ区的方式
许多防火墙产品都提供了DMZ的接口。硬件防火墙由于使用专门的硬件芯片,所以在性能和流量上有绝对的优势。软件防火墙的性价比非常好,一般企业使用起来效果不错。如果使用Linux防火墙,其成本将更低,也就说是一种是采用硬件(硬件防火墙)实现的方式,一种是采用软件(linux iptables)的实现方式。
三、DMZ区的两种主要架构设计
(1)单防火墙:
DMZ单防火墙架构
(2)双防火墙:
DMZ双防火墙架构
四、DMZ基本控制策略
在规划DMZ区域时,可以确定以下六条基本访问控制策略:
(1).内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
(2).内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。
(3).外网不能访问内网
很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
(4).外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
(5).DMZ访问内网有限制
很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
(6).DMZ不能访问外网
此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。