博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2306|回复: 1

分而克之——DMZ作用解析

[复制链接]
发表于 2009-11-11 18:06:04 | 显示全部楼层 |阅读模式
网络DMZ通过创建屏蔽子网,将受信任网络从不受信任网络中区分出来,并进行隔离。通过将系统分段,并创建只有中间层次的信任存在的DMZ,该系统对连续攻击具有更强劲的抵抗力,即使在其它部分都无法正常工作的情况下也能保护重要资源。DMZ可以发挥作用,是因为在没有路由的情况下,网络流量不能在两个分支网络之间传输。  你的Web服务器、FTP服务器、电子邮件服务器以及内部DNS服务器应当配置在这个DMZ内,或者“边界网络”中,还需要有额外的网络防御,比如入侵检测系统(IDS)。将这些公共服务安置在DMZ内,你就可以把这些安置在与你的内部网络不同的支网中。诸如数据库服务器之类的后端系统应当设置在内部网络之中。任何配置在DMZ的机器仍然处在危险之中,但是如果一个入侵者危及DMZ的安全,那么他就不能自动进入内部网络。
  DMZ的每个访问接入点都对网络流量进行阻挡和过滤,仅允许去往或来自特定网络地址、经由特定端口的活动通过。应当非常小心,确保与DMZ的交互行为不暴露在内部网络中。每一网段之间的障碍受到防火墙和路由器的控制和屏蔽,并受到文件访问控制列表、功能强大的认证与加密技术的保护。为了最终实现DMZ的安全,将每项服务设置在自己的DMZ段,配置防火墙策略来满足每个服务器的要求。
  网络布置  我们将探讨两种DMZ网络布置方式。第一种是三宿主边界网络,它适合于低预算、不能与关键内部网络相连接的Web站点。第二种是背靠背边界网络,它用于电子商务和其它关键任务的Web站点。
  三宿主边界网络  这个拓扑结构使用单一的防火墙将因特网、边界网络和企业内网隔离开来。通常也称为单一屏蔽式子网,由于DMZ是由一个带有三个网卡的防火墙限定范围的:一个网卡与因特网相连接、一个与DMZ连接、一个与企业内网连接(见图1)。这种网络布置的缺点是单一故障点。当端口对由单一防火墙护卫的边界网络开放时,不可避免地减弱了外围安全性。如果入侵者危及这种拓扑中的防火墙,那么他就既可以进入DMZ的服务器,也可以进入企业的内网的服务器。


图1   三宿主边界网络
  需要注意的是,这种拓扑结构详细说明了如何使用因特网和DMZ之间的安全路由器。应当锁定该路由器上的端口。为了保证Web服务器的正确功能,需要打开一些端口,比如用于HTTP的端口80和HTTPS的端口443。
  背靠背边界网络  图2中显示的是背靠背边界网络拓扑结构,它被广泛认为是最安全的网络布置之一。边界网络使用两个防火墙,一方面与因特网分离开来,另一方面与内部网络区分开来。每个防火墙有两个网络适配器。当内部防火墙有一个网络适配器与边界网络相连接,并且另一个与内部网络相连接时,外部防火墙有一个网络适配器与因特网相连接,另一个与边界网络相连接(如图2所示)。这就提供了一层额外保护。如果一个来自因特网的入侵者危及到边界网络的安全,他不能自动访问内部网络资源,因为在入侵者和网络其余部分之间有另一道屏障。


图2   使用两个防火墙的双重屏蔽子网或背靠背边界网络
  请注意,另一个安全路由器将网络分割成不同的部分,这些部分组成整个边界网络。尽管锁定这个路由器没有锁定与因特网连接的路由器重要,但是也可以确保关闭不重要的端口,以获得更多的安全。
  外部防火墙可以阻止外部攻击,并管理所有进入DMZ的因特网访问。内部防火墙管理进入内部网络的DMZ访问。与面对因特网的防火墙规则相比,这个防火墙应当拥有不同的规则,仅允许内部具体应用服务访问进入特定的系统,并阻止自发输入端口80的网络流量进入内部网络。换句话说,内部防火墙应当仅传递来自DMZ服务器的、需要与某个内部系统进行通信的输入流量。比如,如果一个Web服务器通过SQL与数据库通信时,打开防火墙的TCP端口,传递SQL请求和响应,并且阻止其它任何流量。当构成防火墙的不同部分用在DMZ的每一边时,安全性得到进一步增强。黑客不太可能使用相同的方式对两个系统进行攻击。
  为了安全起见,对网络进行分割时,要总是选择物理分割法。虚拟局域网(VLAN)是一个网段,逻辑上由转换器定义并控制,该转换器可以将其端口分配到两个或者更多虚拟局域网段,而不是将其所有端口分配到同一个物理网段。尽管这样可以降低购买多个交换器的成本,但分割的网段是虚拟的。可以删除这种分割,并且很容易就可以绕过交换器所提供的安全。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-24 23:35 , Processed in 0.081824 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表