DMZ主機控制策略

1、內網可以訪問外網

內(nei)網的用戶顯(xian)然需要自由地(di)訪問(wen)外網。在這一(yi)策略中(zhong)，防火(huo)墻需要進行源地(di)址轉換。

2、內網可以訪問DMZ

此策(ce)略是為了方便內網(wang)用戶(hu)使用和管理DMZ中的服務器(qi)。

3、外網不能訪問內網

很顯然(ran)，內(nei)網中存放的是公司內(nei)部數據(ju)，這些數據(ju)不允許外網的用(yong)戶進行(xing)訪問(wen)。

該圖片由注冊用戶"科技數碼行"提供，版權聲明反饋

4、外網可以訪問DMZ

DMZ中的(de)服務(wu)器(qi)本身就是(shi)要(yao)給外(wai)(wai)界(jie)提供服務(wu)的(de)，所以(yi)外(wai)(wai)網(wang)必須可以(yi)訪(fang)問(wen)DMZ。同時，外(wai)(wai)網(wang)訪(fang)問(wen)DMZ需要(yao)由(you)防火墻完(wan)成對(dui)外(wai)(wai)地址到(dao)服務(wu)器(qi)實際地址的(de)轉換(huan)。

5、DMZ不能訪問內網

很明顯，如果違背此策略(lve)，則當入侵者攻陷DMZ時，就(jiu)可以進一步進攻到內網(wang)的(de)重要數據。

6、DMZ不能訪問外網

此條策略(lve)也有例外，比如DMZ中放置郵件服(fu)務(wu)器時(shi)，就需要(yao)訪問外網(wang)(wang)(wang)(wang)，否則將不能正常工(gong)作。在網(wang)(wang)(wang)(wang)絡中，非軍事區(DMZ)是指(zhi)為不信任系(xi)統(tong)提(ti)供(gong)服(fu)務(wu)的(de)孤立網(wang)(wang)(wang)(wang)段，其目的(de)是把敏(min)感的(de)內(nei)部(bu)網(wang)(wang)(wang)(wang)絡和(he)其他提(ti)供(gong)訪問服(fu)務(wu)的(de)網(wang)(wang)(wang)(wang)絡分開，阻止內(nei)網(wang)(wang)(wang)(wang)和(he)外網(wang)(wang)(wang)(wang)直接通信，以保證(zheng)內(nei)網(wang)(wang)(wang)(wang)安全。

DMZ主機服務配置

1、運作機理

DMZ提供的(de)服(fu)務是經(jing)過了(le)地址轉換（NAT）和受安(an)全規則限制的(de)，以(yi)達到隱蔽真實地址、控制訪問的(de)功(gong)能(neng)。首(shou)先要(yao)根據(ju)將要(yao)提供的(de)服(fu)務和安(an)全策(ce)略建立一個清(qing)晰(xi)的(de)網(wang)(wang)絡(luo)拓撲(pu)，確定(ding)DMZ區(qu)應(ying)用服(fu)務器的(de)IP和端口(kou)號以(yi)及數據(ju)流向。通常網(wang)(wang)絡(luo)通信流向為(wei)禁止外(wai)(wai)網(wang)(wang)區(qu)與(yu)內(nei)(nei)網(wang)(wang)區(qu)直接通信，DMZ區(qu)既可與(yu)外(wai)(wai)網(wang)(wang)區(qu)進行通信，也可以(yi)與(yu)內(nei)(nei)網(wang)(wang)區(qu)進行通信，受安(an)全規則限制。

2、地址轉換

DMZ區服務(wu)(wu)(wu)器(qi)與內網區、外網區的(de)通信(xin)是經過網絡地(di)址(zhi)(zhi)轉(zhuan)(zhuan)換（NAT）實(shi)現(xian)的(de)。網絡地(di)址(zhi)(zhi)轉(zhuan)(zhuan)換用于(yu)將一(yi)個地(di)址(zhi)(zhi)域（如專用Intranet）映射到另一(yi)個地(di)址(zhi)(zhi)域（如Internet），以達到隱(yin)藏(zang)專用網絡的(de)目的(de)。DMZ區服務(wu)(wu)(wu)器(qi)對內服務(wu)(wu)(wu)時(shi)映射成(cheng)內網地(di)址(zhi)(zhi)，對外服務(wu)(wu)(wu)時(shi)映射成(cheng)外網地(di)址(zhi)(zhi)。采用靜態映射配(pei)置(zhi)網絡地(di)址(zhi)(zhi)轉(zhuan)(zhuan)換時(shi)，服務(wu)(wu)(wu)用IP和真實(shi)IP要一(yi)一(yi)映射，源地(di)址(zhi)(zhi)轉(zhuan)(zhuan)換和目的(de)地(di)址(zhi)(zhi)轉(zhuan)(zhuan)換都必須要有(you)。

3、安全規則制定

安(an)(an)全(quan)規則(ze)(ze)(ze)集(ji)是安(an)(an)全(quan)策略(lve)的(de)技術實現(xian)(xian)，一(yi)(yi)(yi)(yi)個(ge)可(ke)靠(kao)、高效(xiao)的(de)安(an)(an)全(quan)規則(ze)(ze)(ze)集(ji)是實現(xian)(xian)一(yi)(yi)(yi)(yi)個(ge)成功、安(an)(an)全(quan)的(de)防火(huo)(huo)墻(qiang)的(de)非常(chang)關鍵(jian)的(de)一(yi)(yi)(yi)(yi)步。如果(guo)防火(huo)(huo)墻(qiang)規則(ze)(ze)(ze)集(ji)配置錯(cuo)誤(wu)，再好的(de)防火(huo)(huo)墻(qiang)也只是擺設(she)。在(zai)(zai)建立規則(ze)(ze)(ze)集(ji)時必須注意(yi)規則(ze)(ze)(ze)次序，因為防火(huo)(huo)墻(qiang)大多(duo)以順(shun)(shun)序方式檢查信(xin)息(xi)包(bao)，同樣的(de)規則(ze)(ze)(ze)，以不同的(de)次序放置，可(ke)能會完全(quan)改(gai)變(bian)防火(huo)(huo)墻(qiang)的(de)運(yun)轉情況。如果(guo)信(xin)息(xi)包(bao)經(jing)過每一(yi)(yi)(yi)(yi)條規則(ze)(ze)(ze)而沒有發現(xian)(xian)匹配，這個(ge)信(xin)息(xi)包(bao)便會被(bei)拒絕。一(yi)(yi)(yi)(yi)般來(lai)說(shuo)，通(tong)(tong)常(chang)的(de)順(shun)(shun)序是，較特(te)(te)殊(shu)的(de)規則(ze)(ze)(ze)在(zai)(zai)前(qian)，較普通(tong)(tong)的(de)規則(ze)(ze)(ze)在(zai)(zai)后，防止在(zai)(zai)找到(dao)一(yi)(yi)(yi)(yi)個(ge)特(te)(te)殊(shu)規則(ze)(ze)(ze)之前(qian)一(yi)(yi)(yi)(yi)個(ge)普通(tong)(tong)規則(ze)(ze)(ze)便被(bei)匹配，避(bi)免防火(huo)(huo)墻(qiang)被(bei)配置錯(cuo)誤(wu)。

DMZ安(an)全(quan)規(gui)則指定了(le)非軍(jun)事區內(nei)的(de)某一主機(ji)(ji)（IP地(di)址(zhi)）對應的(de)安(an)全(quan)策略。由于DMZ區內(nei)放(fang)置(zhi)的(de)服(fu)務(wu)器(qi)主機(ji)(ji)將提供(gong)公共服(fu)務(wu)，其地(di)址(zhi)是公開的(de)，可以被外部網的(de)用戶訪問，所以正(zheng)確設置(zhi)DMZ區安(an)全(quan)規(gui)則對保證網絡安(an)全(quan)是十分(fen)重(zhong)要的(de)。

FireGate可以根據(ju)數(shu)據(ju)包(bao)(bao)的(de)地(di)(di)址(zhi)、協議(yi)和(he)端(duan)口(kou)進行訪問控(kong)制(zhi)。它將(jiang)每個(ge)連(lian)接作為一個(ge)數(shu)據(ju)流(liu)，通過規則(ze)表與連(lian)接表共同配合，對網絡連(lian)接和(he)會話的(de)當前狀態進行分析和(he)監(jian)控(kong)。其用于過濾和(he)監(jian)控(kong)的(de)IP包(bao)(bao)信息主要有：源(yuan)IP地(di)(di)址(zhi)、目的(de)IP地(di)(di)址(zhi)、協議(yi)類型（IP、ICMP、TCP、UDP）、源(yuan)TCP/UDP端(duan)口(kou)、目的(de)TCP/UDP端(duan)口(kou)、ICMP報文類型域(yu)和(he)代碼(ma)域(yu)、碎片包(bao)(bao)和(he)其他標志位(wei)（如SYN、ACK位(wei)）等。

為了(le)讓DMZ區的(de)應用(yong)服(fu)務器能與內網(wang)中(zhong)DB服(fu)務器（服(fu)務端口4004、使用(yong)TCP協議）通信，需增加DMZ區安(an)(an)全規則， 這樣一(yi)個基于DMZ的(de)安(an)(an)全應用(yong)服(fu)務便配置好(hao)了(le)。其(qi)他的(de)應用(yong)服(fu)務可根據安(an)(an)全策略逐個配置。