DMZ主機控制策略

1、內網可以訪問外網

內網(wang)的用戶(hu)顯然需(xu)要(yao)自由地訪(fang)問外網(wang)。在(zai)這一策略中，防火墻需(xu)要(yao)進(jin)行(xing)源(yuan)地址轉換。

2、內網可以訪問DMZ

此策略(lve)是(shi)為了方便(bian)內網用(yong)(yong)戶使用(yong)(yong)和管(guan)理DMZ中的服務器。

3、外網不能訪問內網

很顯然，內(nei)網(wang)中存(cun)放(fang)的是公(gong)司內(nei)部數(shu)據，這些數(shu)據不允許外網(wang)的用戶進行訪問。

該圖片由注冊用戶"科技數碼行"提供，版權聲明反饋

4、外網可以訪問DMZ

DMZ中的服務(wu)器(qi)本(ben)身就是要給外界提供服務(wu)的，所以外網必(bi)須可以訪(fang)問(wen)DMZ。同時(shi)，外網訪(fang)問(wen)DMZ需(xu)要由(you)防火墻完(wan)成對外地址到(dao)服務(wu)器(qi)實際地址的轉換。

5、DMZ不能訪問內網

很(hen)明顯，如(ru)果(guo)違背此(ci)策略，則當入侵者攻陷DMZ時，就(jiu)可以進一步進攻到內網的重要數據。

6、DMZ不能訪問外網

此條策略(lve)也(ye)有例外，比如DMZ中放置(zhi)郵件服務器時，就需(xu)要訪(fang)(fang)問(wen)外網(wang)(wang)，否(fou)則將不能正常工(gong)作。在網(wang)(wang)絡中，非軍(jun)事區(qu)(DMZ)是指(zhi)為不信任系(xi)統提供(gong)服務的(de)(de)孤立網(wang)(wang)段，其(qi)目的(de)(de)是把(ba)敏感的(de)(de)內(nei)部網(wang)(wang)絡和其(qi)他提供(gong)訪(fang)(fang)問(wen)服務的(de)(de)網(wang)(wang)絡分開(kai)，阻止內(nei)網(wang)(wang)和外網(wang)(wang)直接通信，以保證內(nei)網(wang)(wang)安(an)全。

DMZ主機服務配置

1、運作機理

DMZ提(ti)供的(de)(de)服務(wu)(wu)是經(jing)過了地址轉(zhuan)換（NAT）和受安全(quan)規(gui)則限制的(de)(de)，以達到隱蔽真(zhen)實地址、控制訪(fang)問(wen)的(de)(de)功能。首先要(yao)根據將(jiang)要(yao)提(ti)供的(de)(de)服務(wu)(wu)和安全(quan)策略建立一(yi)個清晰的(de)(de)網(wang)(wang)絡拓撲，確定DMZ區應用服務(wu)(wu)器的(de)(de)IP和端口號以及數據流(liu)(liu)向。通常(chang)網(wang)(wang)絡通信(xin)流(liu)(liu)向為禁止(zhi)外(wai)(wai)網(wang)(wang)區與內網(wang)(wang)區直接通信(xin)，DMZ區既可(ke)(ke)與外(wai)(wai)網(wang)(wang)區進行(xing)通信(xin)，也可(ke)(ke)以與內網(wang)(wang)區進行(xing)通信(xin)，受安全(quan)規(gui)則限制。

2、地址轉換

DMZ區(qu)(qu)服(fu)(fu)務(wu)器(qi)(qi)與(yu)內(nei)網(wang)(wang)區(qu)(qu)、外(wai)網(wang)(wang)區(qu)(qu)的通(tong)信是經(jing)過網(wang)(wang)絡地址轉(zhuan)換（NAT）實(shi)現(xian)的。網(wang)(wang)絡地址轉(zhuan)換用(yong)(yong)(yong)于將一(yi)個地址域（如專(zhuan)用(yong)(yong)(yong)Intranet）映(ying)射到另一(yi)個地址域（如Internet），以達(da)到隱藏專(zhuan)用(yong)(yong)(yong)網(wang)(wang)絡的目的。DMZ區(qu)(qu)服(fu)(fu)務(wu)器(qi)(qi)對(dui)內(nei)服(fu)(fu)務(wu)時映(ying)射成內(nei)網(wang)(wang)地址，對(dui)外(wai)服(fu)(fu)務(wu)時映(ying)射成外(wai)網(wang)(wang)地址。采用(yong)(yong)(yong)靜態(tai)映(ying)射配置網(wang)(wang)絡地址轉(zhuan)換時，服(fu)(fu)務(wu)用(yong)(yong)(yong)IP和真(zhen)實(shi)IP要一(yi)一(yi)映(ying)射，源地址轉(zhuan)換和目的地址轉(zhuan)換都必須(xu)要有(you)。

3、安全規則制定

安(an)全(quan)(quan)規(gui)(gui)(gui)則(ze)(ze)集是安(an)全(quan)(quan)策略的(de)(de)技(ji)術(shu)實現，一(yi)(yi)個(ge)(ge)可(ke)靠(kao)、高(gao)效的(de)(de)安(an)全(quan)(quan)規(gui)(gui)(gui)則(ze)(ze)集是實現一(yi)(yi)個(ge)(ge)成功、安(an)全(quan)(quan)的(de)(de)防(fang)(fang)(fang)(fang)火(huo)墻(qiang)的(de)(de)非常關(guan)鍵的(de)(de)一(yi)(yi)步。如果防(fang)(fang)(fang)(fang)火(huo)墻(qiang)規(gui)(gui)(gui)則(ze)(ze)集配置(zhi)錯誤，再(zai)好(hao)的(de)(de)防(fang)(fang)(fang)(fang)火(huo)墻(qiang)也只是擺設。在建立規(gui)(gui)(gui)則(ze)(ze)集時必須注意(yi)規(gui)(gui)(gui)則(ze)(ze)次序(xu)，因為防(fang)(fang)(fang)(fang)火(huo)墻(qiang)大(da)多以(yi)順序(xu)方式檢查信(xin)(xin)息包，同樣的(de)(de)規(gui)(gui)(gui)則(ze)(ze)，以(yi)不(bu)同的(de)(de)次序(xu)放置(zhi)，可(ke)能會完(wan)全(quan)(quan)改變防(fang)(fang)(fang)(fang)火(huo)墻(qiang)的(de)(de)運轉(zhuan)情況(kuang)。如果信(xin)(xin)息包經過(guo)每一(yi)(yi)條規(gui)(gui)(gui)則(ze)(ze)而(er)沒有(you)發現匹配，這(zhe)個(ge)(ge)信(xin)(xin)息包便會被(bei)拒絕。一(yi)(yi)般來說(shuo)，通常的(de)(de)順序(xu)是，較特殊(shu)的(de)(de)規(gui)(gui)(gui)則(ze)(ze)在前(qian)，較普通的(de)(de)規(gui)(gui)(gui)則(ze)(ze)在后(hou)，防(fang)(fang)(fang)(fang)止(zhi)在找到一(yi)(yi)個(ge)(ge)特殊(shu)規(gui)(gui)(gui)則(ze)(ze)之前(qian)一(yi)(yi)個(ge)(ge)普通規(gui)(gui)(gui)則(ze)(ze)便被(bei)匹配，避免(mian)防(fang)(fang)(fang)(fang)火(huo)墻(qiang)被(bei)配置(zhi)錯誤。

DMZ安全規則(ze)指定了非軍事區內(nei)(nei)的(de)某一主(zhu)機(ji)（IP地址）對(dui)應的(de)安全策略。由于DMZ區內(nei)(nei)放置的(de)服務(wu)器主(zhu)機(ji)將提供公共(gong)服務(wu)，其地址是公開(kai)的(de)，可以(yi)被外部網的(de)用戶訪問，所以(yi)正確(que)設置DMZ區安全規則(ze)對(dui)保證網絡安全是十分重(zhong)要的(de)。

FireGate可以(yi)根據數據包(bao)(bao)的地址(zhi)、協議和端(duan)(duan)口(kou)進行訪(fang)問控(kong)(kong)制。它(ta)將每個連接(jie)作為一個數據流，通過(guo)規則表與連接(jie)表共(gong)同配(pei)合(he)，對網(wang)絡連接(jie)和會話的當前狀態進行分析和監控(kong)(kong)。其(qi)用于過(guo)濾和監控(kong)(kong)的IP包(bao)(bao)信息主要有：源(yuan)(yuan)IP地址(zhi)、目(mu)的IP地址(zhi)、協議類型（IP、ICMP、TCP、UDP）、源(yuan)(yuan)TCP/UDP端(duan)(duan)口(kou)、目(mu)的TCP/UDP端(duan)(duan)口(kou)、ICMP報(bao)文(wen)類型域和代碼域、碎片包(bao)(bao)和其(qi)他標(biao)志位（如(ru)SYN、ACK位）等。

為了(le)讓DMZ區(qu)的應(ying)用(yong)服(fu)務器(qi)能(neng)與(yu)內網中DB服(fu)務器(qi)（服(fu)務端(duan)口(kou)4004、使用(yong)TCP協議(yi)）通信，需增加DMZ區(qu)安(an)全規則(ze)， 這樣一個基于DMZ的安(an)全應(ying)用(yong)服(fu)務便配(pei)置(zhi)好了(le)。其他的應(ying)用(yong)服(fu)務可(ke)根據安(an)全策略逐個配(pei)置(zhi)。