DMZ主機控制策略

1、內網可以訪問外網

內網的用戶顯(xian)然需(xu)(xu)要(yao)自由地訪問外網。在這(zhe)一(yi)策略中，防(fang)火墻需(xu)(xu)要(yao)進(jin)行源地址(zhi)轉換(huan)。

2、內網可以訪問DMZ

此(ci)策略是為了方便(bian)內網用戶(hu)使用和(he)管理DMZ中的(de)服務器。

3、外網不能訪問內網

很顯然，內網中存放的是公司內部數(shu)(shu)據，這些數(shu)(shu)據不允許(xu)外網的用戶進行訪問。

該圖片由注冊用戶"科技數碼行"提供，版權聲明反饋

4、外網可以訪問DMZ

DMZ中(zhong)的服務(wu)器本身就是要(yao)給外(wai)界提供(gong)服務(wu)的，所以(yi)外(wai)網(wang)必須(xu)可(ke)以(yi)訪問DMZ。同時，外(wai)網(wang)訪問DMZ需要(yao)由防火墻完成對外(wai)地(di)(di)址(zhi)到服務(wu)器實(shi)際地(di)(di)址(zhi)的轉(zhuan)換。

5、DMZ不能訪問內網

很明顯，如果違背(bei)此(ci)策略，則當入(ru)侵者攻陷DMZ時，就可以(yi)進一步進攻到內網的重要數據。

6、DMZ不能訪問外網

此條策(ce)略也有例外，比如DMZ中放置郵件服(fu)(fu)務器(qi)時(shi)，就需要(yao)訪問外網，否則將不能正常工作。在網絡(luo)中，非軍事區(DMZ)是指為不信任(ren)系統提(ti)供服(fu)(fu)務的(de)(de)孤立網段(duan)，其目的(de)(de)是把敏感的(de)(de)內(nei)部網絡(luo)和(he)其他提(ti)供訪問服(fu)(fu)務的(de)(de)網絡(luo)分(fen)開(kai)，阻止內(nei)網和(he)外網直接通信，以(yi)保證(zheng)內(nei)網安(an)全。

DMZ主機服務配置

1、運作機理

DMZ提(ti)供的(de)(de)服務(wu)是經(jing)過了地(di)址轉換(huan)（NAT）和(he)受安(an)全規則限制的(de)(de)，以(yi)達到隱蔽真實地(di)址、控制訪(fang)問的(de)(de)功能。首先要(yao)根據將要(yao)提(ti)供的(de)(de)服務(wu)和(he)安(an)全策(ce)略(lve)建立一個清晰的(de)(de)網(wang)(wang)絡(luo)(luo)拓撲，確定(ding)DMZ區(qu)應(ying)用服務(wu)器的(de)(de)IP和(he)端口號以(yi)及(ji)數據流(liu)向。通(tong)常網(wang)(wang)絡(luo)(luo)通(tong)信流(liu)向為禁(jin)止外網(wang)(wang)區(qu)與內網(wang)(wang)區(qu)直接通(tong)信，DMZ區(qu)既(ji)可(ke)與外網(wang)(wang)區(qu)進行通(tong)信，也可(ke)以(yi)與內網(wang)(wang)區(qu)進行通(tong)信，受安(an)全規則限制。

2、地址轉換

DMZ區(qu)服(fu)(fu)(fu)務(wu)器與內(nei)網(wang)區(qu)、外網(wang)區(qu)的(de)(de)通(tong)信是經過網(wang)絡(luo)(luo)地(di)址(zhi)轉換(huan)（NAT）實現的(de)(de)。網(wang)絡(luo)(luo)地(di)址(zhi)轉換(huan)用(yong)于(yu)將(jiang)一(yi)個地(di)址(zhi)域(yu)（如專(zhuan)用(yong)Intranet）映射(she)到另一(yi)個地(di)址(zhi)域(yu)（如Internet），以達到隱藏專(zhuan)用(yong)網(wang)絡(luo)(luo)的(de)(de)目的(de)(de)。DMZ區(qu)服(fu)(fu)(fu)務(wu)器對(dui)內(nei)服(fu)(fu)(fu)務(wu)時映射(she)成內(nei)網(wang)地(di)址(zhi)，對(dui)外服(fu)(fu)(fu)務(wu)時映射(she)成外網(wang)地(di)址(zhi)。采用(yong)靜態(tai)映射(she)配置網(wang)絡(luo)(luo)地(di)址(zhi)轉換(huan)時，服(fu)(fu)(fu)務(wu)用(yong)IP和真實IP要一(yi)一(yi)映射(she)，源地(di)址(zhi)轉換(huan)和目的(de)(de)地(di)址(zhi)轉換(huan)都必須要有。

3、安全規則制定

安(an)全(quan)規(gui)則(ze)集(ji)是(shi)安(an)全(quan)策略的技術實(shi)現，一(yi)(yi)個(ge)(ge)(ge)可靠、高效(xiao)的安(an)全(quan)規(gui)則(ze)集(ji)是(shi)實(shi)現一(yi)(yi)個(ge)(ge)(ge)成功、安(an)全(quan)的防(fang)(fang)(fang)火(huo)(huo)墻(qiang)(qiang)的非常(chang)關鍵的一(yi)(yi)步。如果防(fang)(fang)(fang)火(huo)(huo)墻(qiang)(qiang)規(gui)則(ze)集(ji)配(pei)置(zhi)錯(cuo)誤，再好(hao)的防(fang)(fang)(fang)火(huo)(huo)墻(qiang)(qiang)也只是(shi)擺設。在建立(li)規(gui)則(ze)集(ji)時(shi)必須注(zhu)意規(gui)則(ze)次序，因為防(fang)(fang)(fang)火(huo)(huo)墻(qiang)(qiang)大(da)多以(yi)順(shun)序方式(shi)檢查(cha)信(xin)息包(bao)，同樣的規(gui)則(ze)，以(yi)不同的次序放置(zhi)，可能會完全(quan)改變防(fang)(fang)(fang)火(huo)(huo)墻(qiang)(qiang)的運轉情況。如果信(xin)息包(bao)經過每一(yi)(yi)條規(gui)則(ze)而沒有發現匹配(pei)，這個(ge)(ge)(ge)信(xin)息包(bao)便會被拒絕。一(yi)(yi)般來說，通(tong)常(chang)的順(shun)序是(shi)，較特殊(shu)(shu)的規(gui)則(ze)在前(qian)，較普通(tong)的規(gui)則(ze)在后，防(fang)(fang)(fang)止在找(zhao)到一(yi)(yi)個(ge)(ge)(ge)特殊(shu)(shu)規(gui)則(ze)之前(qian)一(yi)(yi)個(ge)(ge)(ge)普通(tong)規(gui)則(ze)便被匹配(pei)，避免防(fang)(fang)(fang)火(huo)(huo)墻(qiang)(qiang)被配(pei)置(zhi)錯(cuo)誤。

DMZ安(an)全規則指定了非軍事區內的(de)(de)某一主機(ji)（IP地址(zhi)）對應的(de)(de)安(an)全策(ce)略。由于DMZ區內放(fang)置的(de)(de)服務器主機(ji)將提供公(gong)共服務，其地址(zhi)是公(gong)開(kai)的(de)(de)，可以被外部網的(de)(de)用戶訪問，所(suo)以正確設(she)置DMZ區安(an)全規則對保證網絡安(an)全是十分(fen)重要的(de)(de)。

FireGate可(ke)以根據數據包的地(di)址(zhi)(zhi)、協議和端(duan)口進行訪(fang)問控制。它將(jiang)每個連(lian)(lian)接(jie)作(zuo)為(wei)一個數據流，通過(guo)(guo)規則(ze)表與連(lian)(lian)接(jie)表共同配合，對網絡連(lian)(lian)接(jie)和會話的當前狀態進行分析和監(jian)控。其用于過(guo)(guo)濾和監(jian)控的IP包信息主要有：源IP地(di)址(zhi)(zhi)、目(mu)的IP地(di)址(zhi)(zhi)、協議類型（IP、ICMP、TCP、UDP）、源TCP/UDP端(duan)口、目(mu)的TCP/UDP端(duan)口、ICMP報文類型域(yu)和代碼域(yu)、碎片包和其他(ta)標志位（如SYN、ACK位）等(deng)。

為了(le)讓DMZ區的(de)應用(yong)服(fu)(fu)(fu)(fu)務(wu)器能與內網中DB服(fu)(fu)(fu)(fu)務(wu)器（服(fu)(fu)(fu)(fu)務(wu)端口4004、使(shi)用(yong)TCP協議）通信，需增加(jia)DMZ區安全(quan)規則， 這樣一個基于DMZ的(de)安全(quan)應用(yong)服(fu)(fu)(fu)(fu)務(wu)便配置好了(le)。其他的(de)應用(yong)服(fu)(fu)(fu)(fu)務(wu)可(ke)根據安全(quan)策略逐個配置。