网络DMZ通过创建屏蔽子网,将受信任网络从不受信任网络中区分出来,并进行隔离。通过将系统分段,并创建只有中间层次的信任存在的DMZ,该系统对连续攻击具有更强劲的抵抗力,即使在其它部分都无法正常工作的情况下也能保护重要资源。DMZ可以发挥作用,是因为在没有路由的情况下,网络流量不能在两个分支网络之间传输。 你的Web服务器、FTP服务器、电子邮件服务器以及内部DNS服务器应当配置在这个DMZ内,或者“边界网络”中,还需要有额外的网络防御,比如入侵检测系统(IDS)。
将这些公共服务安置在DMZ内,你就可以把这些安置在与你的内部网络不同的支网中。诸如数据库服务器之类的后端系统应当设置在内部网络之……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
网络DMZ通过创建屏蔽子网,将受信任网络从不受信任网络中区分出来,并进行隔离。通过将系统分段,并创建只有中间层次的信任存在的DMZ,该系统对连续攻击具有更强劲的抵抗力,即使在其它部分都无法正常工作的情况下也能保护重要资源。DMZ可以发挥作用,是因为在没有路由的情况下,网络流量不能在两个分支网络之间传输。
你的Web服务器、FTP服务器、电子邮件服务器以及内部DNS服务器应当配置在这个DMZ内,或者“边界网络”中,还需要有额外的网络防御,比如入侵检测系统(IDS)。将这些公共服务安置在DMZ内,你就可以把这些安置在与你的内部网络不同的支网中。诸如数据库服务器之类的后端系统应当设置在内部网络之中。任何配置在DMZ的机器仍然处在危险之中,但是如果一个入侵者危及DMZ的安全,那么他就不能自动进入内部网络。
DMZ的每个访问接入点都对网络流量进行阻挡和过滤,仅允许去往或来自特定网络地址、经由特定端口的活动通过。应当非常小心,确保与DMZ的交互行为不暴露在内部网络中。每一网段之间的障碍受到防火墙和路由器的控制和屏蔽,并受到文件访问控制列表、功能强大的认证与加密技术的保护。为了最终实现DMZ的安全,将每项服务设置在自己的DMZ段,配置防火墙策略来满足每个服务器的要求。
网络布置
我们将探讨两种DMZ网络布置方式。第一种是三宿主边界网络,它适合于低预算、不能与关键内部网络相连接的Web站点。第二种是背靠背边界网络,它用于电子商务和其它关键任务的Web站点。
三宿主边界网络
这个拓扑结构使用单一的防火墙将因特网、边界网络和企业内网隔离开来。通常也称为单一屏蔽式子网,由于DMZ是由一个带有三个网卡的防火墙限定范围的:一个网卡与因特网相连接、一个与DMZ连接、一个与企业内网连接(见图1)。这种网络布置的缺点是单一故障点。当端口对由单一防火墙护卫的边界网络开放时,不可避免地减弱了外围安全性。如果入侵者危及这种拓扑中的防火墙,那么他就既可以进入DMZ的服务器,也可以进入企业的内网的服务器。
图1 三宿主边界网络
需要注意的是,这种拓扑结构详细说明了如何使用因特网和DMZ之间的安全路由器。应当锁定该路由器上的端口。为了保证Web服务器的正确功能,需要打开一些端口,比如用于HTTP的端口80和HTTPS的端口443。
背靠背边界网络
图2中显示的是背靠背边界网络拓扑结构,它被广泛认为是最安全的网络布置之一。边界网络使用两个防火墙,一方面与因特网分离开来,另一方面与内部网络区分开来。每个防火墙有两个网络适配器。当内部防火墙有一个网络适配器与边界网络相连接,并且另一个与内部网络相连接时,外部防火墙有一个网络适配器与因特网相连接,另一个与边界网络相连接(如图2所示)。这就提供了一层额外保护。如果一个来自因特网的入侵者危及到边界网络的安全,他不能自动访问内部网络资源,因为在入侵者和网络其余部分之间有另一道屏障。
图2 使用两个防火墙的双重屏蔽子网或背靠背边界网络
请注意,另一个安全路由器将网络分割成不同的部分,这些部分组成整个边界网络。尽管锁定这个路由器没有锁定与因特网连接的路由器重要,但是也可以确保关闭不重要的端口,以获得更多的安全。
外部防火墙可以阻止外部攻击,并管理所有进入DMZ的因特网访问。内部防火墙管理进入内部网络的DMZ访问。与面对因特网的防火墙规则相比,这个防火墙应当拥有不同的规则,仅允许内部具体应用服务访问进入特定的系统,并阻止自发输入端口80的网络流量进入内部网络。换句话说,内部防火墙应当仅传递来自DMZ服务器的、需要与某个内部系统进行通信的输入流量。比如,如果一个Web服务器通过SQL与数据库通信时,打开防火墙的TCP端口,传递SQL请求和响应,并且阻止其它任何流量。当构成防火墙的不同部分用在DMZ的每一边时,安全性得到进一步增强。黑客不太可能使用相同的方式对两个系统进行攻击。
为了安全起见,对网络进行分割时,要总是选择物理分割法。虚拟局域网(VLAN)是一个网段,逻辑上由转换器定义并控制,该转换器可以将其端口分配到两个或者更多虚拟局域网段,而不是将其所有端口分配到同一个物理网段。尽管这样可以降低购买多个交换器的成本,但分割的网段是虚拟的。可以删除这种分割,并且很容易就可以绕过交换器所提供的安全。
作者
相关推荐
-
视频讲座:如何防止关键数据泄露
任何事情的发生都可能导致数据的泄漏,例如有针对性的攻击,丢失的移动终端,或者是错误配置的网络安全设备。
-
调查显示:索尼数据泄漏攻击始于亚马逊的EC2
根据一份报告,攻击者租用了亚马逊(Amazon)的EC2服务,从而进行针对索尼公司的网络攻击。索尼公司已设立了首席信息安全官的位置,并实施了多项措施,加强安全。
-
网络防火墙已走到尽头?
几年前参加TechEd会议时听到有专家谈论“DMZ的末日”,该话题吸引了很多人参与,并且激起了大家的很多争论。现在,防火墙真的会退出历史舞台吗?
-
2011安全新焦点:互联网的内容安全
2011年安全的焦点会在哪里?内容、内容、还是内容。在互联网时代里,每个人打开电脑后基本都会做三件事情:打开电子邮箱、登录IM、浏览互联网。