一、何為DMZ區
DMZ,即Demilitarized Zone的縮寫,直譯為非軍事區或停火區,就是指介于内網(可信任區)和外網(不可信區)之間的一個中間公共訪問區域(獨立網絡),目的在于在向外界提供在線服務的同時,阻止外部用戶直接訪問内網,以确保内部網絡環境的安全。該區域一般可以被外網用戶所訪問,但不能主動向内網發起連接請求。
在實際的運用中,某些主機需要對外提供服務,為了更好地提供服務,同時又要有效地保護内部網絡的安全,将這些需要對外開放的主機與内部的衆多網絡設備分隔開來,根據不同的需要,有針對性地采取相應的隔離措施,這樣便能在對外提供友好的服務的同時最大限度地保護了内部網絡。針對不同資源提供不同安全級别的保護,可以構建一個DMZ區域,DMZ可以為主機環境提供網絡級的保護,能減少為不信任客戶提供服務而引發的危險,是放置公共信息的最佳位置。在一個非DMZ系統中,内部網絡和主機的安全通常并不如人們想象的那樣堅固,提供給Internet的服務産生了許多漏洞,使其他主機極易受到攻擊。但是,通過配置DMZ,我們可以将需要保護的Web應用程序服務器和數據庫系統放在内網中,把沒有包含敏感數據、擔當代理數據訪問職責的主機放置于DMZ中,這樣就為應用系統安全提供了保障。DMZ使包含重要數據的内部系統免于直接暴露給外部網絡而受到攻擊,攻擊者即使初步入侵成功,還要面臨DMZ設置的新的障礙。在這個小網絡區域内可以放置一些必須公開的服務器設施,如HTTP、FTP、SMTP、流媒體等。
DMZ單防火牆架構
(2)雙防火牆:
DMZ雙防火牆架構
四、DMZ基本控制策略
在規劃DMZ區域時,可以确定以下六條基本訪問控制策略:
(1).内網可以訪問外網
内網的用戶顯然需要自由地訪問外網。在這一策略中,防火牆需要進行源地址轉換。
(2).内網可以訪問DMZ
此策略是為了方便内網用戶使用和管理DMZ中的服務器。
(3).外網不能訪問内網
很顯然,内網中存放的是公司内部數據,這些數據不允許外網的用戶進行訪問。
(4).外網可以訪問DMZ
DMZ中的服務器本身就是要給外界提供服務的,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火牆完成對外地址到服務器實際地址的轉換。
(5).DMZ訪問内網有限制
很明顯,如果違背此策略,則當入侵者攻陷DMZ時,就可以進一步進攻到内網的重要數據。
(6).DMZ不能訪問外網
此條策略也有例外,比如DMZ中放置郵件服務器時,就需要訪問外網,否則将不能正常工作。在網絡中,非軍事區(DMZ)是指為不信任系統提供服務的孤立網段,其目的是把敏感的内部網絡和其他提供訪問服務的網絡分開,阻止内網和外網直接通信,以保證内網安全。
,
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!