DMZ主機控制策略 DMZ主機服務配置

本文章由注冊用戶科技數碼行上傳提供 ★ 評論發布糾錯/刪除 0

摘要：DMZ，中文名稱為“隔離區”，也稱“非軍事化區”。它是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內，在這個小網絡區域內可以放置一些必須公開的服務器設施，如企業Web服務器、FTP服務器和論壇等。DMZ主機控制策略包括6條，內網可以訪問外網、內網可以訪問DMZ、外網不能訪問內網……下面一起來看看詳細介紹。

DMZ主機控制策略

1、內網可以訪問外網

內網的用戶顯(xian)然(ran)需要(yao)自由地訪問外網。在(zai)這(zhe)一策略(lve)中，防(fang)火墻需要(yao)進行(xing)源地址轉換。

2、內網可以訪問DMZ

此策略是為了方(fang)便內(nei)網用戶使用和管理DMZ中的服務器(qi)。

3、外網不能訪問內網

很(hen)顯(xian)然(ran)，內網(wang)中存放的(de)是(shi)公司內部數據，這些(xie)數據不允許外網(wang)的(de)用戶(hu)進(jin)行訪問。

4、外網可以訪問DMZ

DMZ中的(de)(de)服務器本(ben)身就是要(yao)給外界提供服務的(de)(de)，所以外網必須可以訪問(wen)DMZ。同時，外網訪問(wen)DMZ需(xu)要(yao)由防火墻完成(cheng)對外地址到服務器實際地址的(de)(de)轉換。

5、DMZ不能訪問內網

很(hen)明(ming)顯(xian)，如(ru)果違背此(ci)策略，則當入侵(qin)者攻(gong)陷(xian)DMZ時，就(jiu)可(ke)以進一步進攻(gong)到內網的重要數據。

6、DMZ不能訪問外網

此條策略也有例外，比如DMZ中放(fang)置郵件(jian)服務器時，就需要訪(fang)問外網，否則將不(bu)能正常(chang)工作。在網絡中，非軍事區(DMZ)是指為不(bu)信任系統(tong)提供(gong)(gong)服務的孤(gu)立網段(duan)，其目的是把敏感的內(nei)部網絡和其他(ta)提供(gong)(gong)訪(fang)問服務的網絡分開，阻止內(nei)網和外網直接通信，以(yi)保證內(nei)網安全。

DMZ主機服務配置

1、運作機理

DMZ提(ti)供(gong)的(de)(de)(de)(de)服務是經過(guo)了地址轉(zhuan)換（NAT）和受安全規則限(xian)制的(de)(de)(de)(de)，以(yi)達到隱蔽真(zhen)實地址、控制訪問的(de)(de)(de)(de)功能。首先要根據將要提(ti)供(gong)的(de)(de)(de)(de)服務和安全策略(lve)建立一個清(qing)晰的(de)(de)(de)(de)網(wang)(wang)絡拓撲，確定(ding)DMZ區應用(yong)服務器(qi)的(de)(de)(de)(de)IP和端口號以(yi)及數(shu)據流向。通常網(wang)(wang)絡通信(xin)流向為禁止外網(wang)(wang)區與內網(wang)(wang)區直接通信(xin)，DMZ區既可與外網(wang)(wang)區進行通信(xin)，也可以(yi)與內網(wang)(wang)區進行通信(xin)，受安全規則限(xian)制。

2、地址轉換

DMZ區服(fu)務器與內(nei)網(wang)區、外(wai)(wai)網(wang)區的通信(xin)是經過網(wang)絡地(di)址(zhi)(zhi)(zhi)轉(zhuan)(zhuan)(zhuan)換(huan)(huan)（NAT）實(shi)現的。網(wang)絡地(di)址(zhi)(zhi)(zhi)轉(zhuan)(zhuan)(zhuan)換(huan)(huan)用(yong)(yong)(yong)于將一(yi)個地(di)址(zhi)(zhi)(zhi)域(yu)（如專用(yong)(yong)(yong)Intranet）映(ying)射(she)到另(ling)一(yi)個地(di)址(zhi)(zhi)(zhi)域(yu)（如Internet），以達到隱藏專用(yong)(yong)(yong)網(wang)絡的目(mu)(mu)的。DMZ區服(fu)務器對內(nei)服(fu)務時映(ying)射(she)成(cheng)內(nei)網(wang)地(di)址(zhi)(zhi)(zhi)，對外(wai)(wai)服(fu)務時映(ying)射(she)成(cheng)外(wai)(wai)網(wang)地(di)址(zhi)(zhi)(zhi)。采(cai)用(yong)(yong)(yong)靜態映(ying)射(she)配置網(wang)絡地(di)址(zhi)(zhi)(zhi)轉(zhuan)(zhuan)(zhuan)換(huan)(huan)時，服(fu)務用(yong)(yong)(yong)IP和真(zhen)實(shi)IP要一(yi)一(yi)映(ying)射(she)，源地(di)址(zhi)(zhi)(zhi)轉(zhuan)(zhuan)(zhuan)換(huan)(huan)和目(mu)(mu)的地(di)址(zhi)(zhi)(zhi)轉(zhuan)(zhuan)(zhuan)換(huan)(huan)都必須要有(you)。

3、安全規則制定

安全(quan)規(gui)(gui)(gui)(gui)則(ze)(ze)(ze)(ze)集是(shi)安全(quan)策略的(de)技術實現，一(yi)(yi)(yi)個(ge)(ge)(ge)可靠、高效的(de)安全(quan)規(gui)(gui)(gui)(gui)則(ze)(ze)(ze)(ze)集是(shi)實現一(yi)(yi)(yi)個(ge)(ge)(ge)成(cheng)功(gong)、安全(quan)的(de)防(fang)(fang)(fang)火(huo)墻(qiang)的(de)非常(chang)關鍵的(de)一(yi)(yi)(yi)步。如果(guo)防(fang)(fang)(fang)火(huo)墻(qiang)規(gui)(gui)(gui)(gui)則(ze)(ze)(ze)(ze)集配(pei)置(zhi)錯誤(wu)，再好的(de)防(fang)(fang)(fang)火(huo)墻(qiang)也(ye)只是(shi)擺設。在建(jian)立規(gui)(gui)(gui)(gui)則(ze)(ze)(ze)(ze)集時必須注意規(gui)(gui)(gui)(gui)則(ze)(ze)(ze)(ze)次(ci)序，因為(wei)防(fang)(fang)(fang)火(huo)墻(qiang)大多以順序方(fang)式檢查(cha)信(xin)息(xi)包，同(tong)樣的(de)規(gui)(gui)(gui)(gui)則(ze)(ze)(ze)(ze)，以不(bu)同(tong)的(de)次(ci)序放置(zhi)，可能會(hui)完全(quan)改變防(fang)(fang)(fang)火(huo)墻(qiang)的(de)運轉情況(kuang)。如果(guo)信(xin)息(xi)包經過每一(yi)(yi)(yi)條規(gui)(gui)(gui)(gui)則(ze)(ze)(ze)(ze)而沒有發現匹配(pei)，這個(ge)(ge)(ge)信(xin)息(xi)包便會(hui)被拒絕。一(yi)(yi)(yi)般來(lai)說，通(tong)常(chang)的(de)順序是(shi)，較特(te)殊(shu)(shu)的(de)規(gui)(gui)(gui)(gui)則(ze)(ze)(ze)(ze)在前(qian)，較普通(tong)的(de)規(gui)(gui)(gui)(gui)則(ze)(ze)(ze)(ze)在后(hou)，防(fang)(fang)(fang)止在找到一(yi)(yi)(yi)個(ge)(ge)(ge)特(te)殊(shu)(shu)規(gui)(gui)(gui)(gui)則(ze)(ze)(ze)(ze)之前(qian)一(yi)(yi)(yi)個(ge)(ge)(ge)普通(tong)規(gui)(gui)(gui)(gui)則(ze)(ze)(ze)(ze)便被匹配(pei)，避免防(fang)(fang)(fang)火(huo)墻(qiang)被配(pei)置(zhi)錯誤(wu)。

DMZ安(an)(an)全規則指定了非軍事(shi)區(qu)內的(de)(de)(de)某一主機(ji)(ji)（IP地(di)址）對應的(de)(de)(de)安(an)(an)全策略。由(you)于DMZ區(qu)內放(fang)置的(de)(de)(de)服務器主機(ji)(ji)將提(ti)供公共服務，其(qi)地(di)址是(shi)公開的(de)(de)(de)，可(ke)以被外部網的(de)(de)(de)用(yong)戶訪問，所以正確設置DMZ區(qu)安(an)(an)全規則對保證(zheng)網絡(luo)安(an)(an)全是(shi)十分重要的(de)(de)(de)。

FireGate可以根據(ju)數據(ju)包的(de)地址(zhi)、協(xie)議和(he)(he)端口(kou)進行(xing)(xing)訪問控(kong)制。它(ta)將每個連(lian)接(jie)作為(wei)一個數據(ju)流，通過規則表與連(lian)接(jie)表共同(tong)配(pei)合，對網絡連(lian)接(jie)和(he)(he)會話的(de)當前狀(zhuang)態進行(xing)(xing)分析和(he)(he)監控(kong)。其用于(yu)過濾和(he)(he)監控(kong)的(de)IP包信息主要(yao)有：源IP地址(zhi)、目的(de)IP地址(zhi)、協(xie)議類型（IP、ICMP、TCP、UDP）、源TCP/UDP端口(kou)、目的(de)TCP/UDP端口(kou)、ICMP報文類型域和(he)(he)代(dai)碼(ma)域、碎片包和(he)(he)其他(ta)標志位(wei)（如SYN、ACK位(wei)）等。

為了讓DMZ區的應用服(fu)務(wu)器(qi)能與內網中DB服(fu)務(wu)器(qi)（服(fu)務(wu)端口4004、使用TCP協議）通信(xin)，需增加DMZ區安全(quan)規則，這(zhe)樣一個基于DMZ的安全(quan)應用服(fu)務(wu)便配置好了。其他(ta)的應用服(fu)務(wu)可根據安全(quan)策略逐個配置。

申明：以上內容源于程序系統索引或網民分享提供，僅供您參考使用，不代表本網站的研究觀點，請注意甄別內容來源的真實性和權威性。

標簽： 域名主機

網站提醒和聲明

本站為注(zhu)(zhu)冊用戶(hu)(hu)提供信息存儲(chu)空間服(fu)務，非“MAIGOO編輯上傳提供”的文章/文字均(jun)是注(zhu)(zhu)冊用戶(hu)(hu)自主發布上傳，不代(dai)表本站觀點，版(ban)權歸原作者所(suo)有(you)，如有(you)侵權、虛假信息、錯誤信息或任何問題，請(qing)及時聯系(xi)我(wo)們，我(wo)們將在第一時間刪除(chu)或更正。申請刪除>> 糾錯>> 投訴侵權>> 網頁(ye)上相關信息的(de)知識產權(quan)(quan)歸網站方所(suo)有(包括但(dan)不限于文字、圖(tu)片(pian)、圖(tu)表(biao)、著作權(quan)(quan)、商標權(quan)(quan)、為用(yong)戶提供的(de)商業信息等)，非(fei)經許(xu)可不得抄襲或使(shi)用(yong)。

提交說明：快速提交發布>> 查看提交幫助>> 注冊登錄>>