DMZ 是英文“Demilitarized Zone”的縮寫,中文名稱為“隔離區”, 與軍事區和信任區相對應,也稱“非軍事化區”,是為了解決外部網絡不能通路内部網絡伺服器的問題,而設立的一個非安全系統與安全系統之間的緩沖區。作用是把機關的 FTP伺服器、E-Mail伺服器等允許外部通路的伺服器單獨部署在此區域,使整個需要保護的内部網絡接在信任區後,不允許任何外部網絡的直接通路,實作内外網分離,滿足使用者的安全需求。
DMZ 區可以了解為一個不同于外網或内網的特殊網絡區域,DMZ 内通常放置一些不含機密資訊的公用伺服器,比如 WEB 伺服器、E-Mail 伺服器、FTP 伺服器等。這樣來自外網的通路者隻可以通路 DMZ 中的服務,但不可能接觸到存放在内網中的資訊等,即使 DMZ 中伺服器受到破壞,也不會對内網中的資訊造成影響。DMZ 區是資訊安全縱深防護體系的第一道屏障,在企事業機關整體資訊安全防護體系中具有舉足輕重的作用。
針對不同資源提供不同安全級别的保護,就可以考慮 建構一個 DMZ 區域。如右圖所示,我們可以看到網絡被劃分為三個區域:安全級别最高的 LAN Area(内網),安全級别中等的 DMZ 區域和安全級别最低的 Internet 區域(外網)。右圖是一個典型的 DMZ 區的建構圖,使用者将核心的、重要的,隻為内部網絡使用者提供服務的伺服器部署在内網,将 WEB 伺服器、E-Mail 伺服器、FTP 伺服器等需要為内部和外部網絡同時提供服務的伺服器放置到防火牆後的 DMZ 區内。通過合理的政策規劃,使 DMZ 中伺服器既免受到來自外網絡的入侵和破壞,也不會對内網中的機密資訊造成影響。DMZ 服務區好比一道屏障,在其中放置外網伺服器,在為外網使用者提供服務的同時也有效地保障了内部網絡的安全。 [1]
原理
編輯
将部分用于提供對外服務的伺服器主機劃分到一個特定的子網——DMZ内,在DMZ的主機能與同處DMZ内的主機和外部網絡的主機通信,而同内部網絡主機的通信會被受到限制。這使DMZ的主機能被内部網絡和外部網絡所通路,而内部網絡又能避免外部網絡所得知。
DMZ能提供對外部入侵的防護,但不能提供内部破壞的防護,如内部通信資料包分析和欺騙。
UniERM具備内網通路DMZ區伺服器的分析和控制。外網通路DMZ區伺服器的分析和控制。 [2]
作用
編輯
在實際的運用中,某些主機需要對外提供服務,為了更好地提供服務,同時又要有效地保護内部網絡的安全,将這些需要對外開放的主機與内部的衆多網絡裝置分隔開來,根據不同的需要,有針對性地采取相應的隔離措施,這樣便能在對外提供友好的服務的同時最大限度地保護了内部網絡。針對不同資源提供不同安全級别的保護,可以建構一個DMZ區域,DMZ可以為主機環境提供網絡級的保護,能減少為不信任客戶提供服務而引發的危險,是放置公共資訊的最佳位置。在一個非DMZ系統中,内部網絡和主機的安全通常并不如人們想象的那樣堅固,提供給Internet的服務産生了許多漏洞,使其他主機極易受到攻擊。但是,通過配置DMZ,我們可以将需要保護的Web應用程式伺服器和資料庫系統放在内網中,把沒有包含敏感資料、擔當代理資料通路職責的主機放置于DMZ中,這樣就為應用系統安全提供了保障。DMZ使包含重要資料的内部系統免于直接暴露給外部網絡而受到攻擊,攻擊者即使初步入侵成功,還要面臨DMZ設定的新的障礙。 [3]
應用
編輯
在一個用路由器連接配接的區域網路中,我們可以将網絡劃分為三個區域:安全級别最高的LAN Area(内網),安全級别中等的DMZ區域和安全級别最低的Internet區域(外網)。三個區域因擔負不同的任務而擁有不同的通路政策。我們在配置一個擁有DMZ區的網絡的時候通常定義以下的通路控制政策以實作DMZ區的屏障功能。 [4]
1.内網可以通路外網
内網的使用者顯然需要自由地通路外網。在這一政策中,防火牆需要進行源位址轉換。
2.内網可以通路DMZ
此政策是為了友善内網使用者使用和管理DMZ中的伺服器。
3.外網不能通路内網
很顯然,内網中存放的是公司内部資料,這些資料不允許外網的使用者進行通路。
4.外網可以通路DMZ
DMZ中的伺服器本身就是要給外界提供服務的,是以外網必須可以通路DMZ。同時,外網通路DMZ需要由防火牆完成對外位址到伺服器實際位址的轉換。
5.DMZ通路内網有限制
很明顯,如果違背此政策,則當入侵者攻陷DMZ時,就可以進一步進攻到内網的重要資料。
6.DMZ不能通路外網
此條政策也有例外,比如DMZ中放置郵件伺服器時,就需要通路外網,否則将不能正常工作。在網絡中,非軍事區(DMZ)是指為不信任系統提供服務的孤立網段,其目的是把敏感的内部網絡和其他提供通路服務的網絡分開,阻止内網和外網直接通信,以保證内網安全。
在沒有DMZ的技術之前,需要使用外網伺服器的使用者必須在其防火牆上面開放端口(就是Port Forwarding技術)使網際網路的使用者通路其外網伺服器,顯然,這種做法會因為防火牆對網際網路開放了一些必要的端口降低了需要受嚴密保護的内網區域的安全性,黑客們隻需要攻陷外網伺服器,那麼整個内部網絡就完全崩潰了。DMZ區的誕生恰恰為需用架設外網伺服器的使用者解決了内部網絡的安全性問題。
服務配置
編輯
DMZ提供的服務是經過了網絡位址轉換(NAT)和受安全規則限制的,以達到隐蔽真實位址、控制通路的功能。首先要根據将要提供的服務和安全政策建立一個清晰的網絡拓撲,确定DMZ區應用伺服器的IP和端口号以及資料流向。通常網絡通信流向為禁止外網區與内網區直接通信,DMZ區既可與外網區進行通信,也可以與内網區進行通信,受安全規則限制。
位址轉換
DMZ區伺服器與内網區、外網區的通信是經過網絡位址轉換(NAT)實作的。網絡位址轉換用于将一個位址域(如專用Internet)映射到另一個位址域(如Internet),以達到隐藏專用網絡的目的。DMZ區伺服器對内服務時映射成内網位址,對外服務時映射成外網位址。采用靜态映射配置網絡位址轉換時,服務用IP和真實IP要一一映射,源位址轉換和目的位址轉換都必須要有。 [5]
DMZ安全規則制定
安全規則集是安全政策的技術實作,一個可靠、高效的安全規則集是實作一個成功、安全的防火牆的非常關鍵的一步。如果防火牆規則集配置錯誤,再好的防火牆也隻是擺設。在建立規則集時必須注意規則次序,因為防火牆大多以順序方式檢查資訊包,同樣的規則,以不同的次序放置,可能會完全改變防火牆的運轉情況。如果資訊包經過每一條規則而沒有發現比對,這個資訊包便會被拒絕。一般來說,通常的順序是,較特殊的規則在前,較普通的規則在後,防止在找到一個特殊規則之前一個普通規則便被比對,避免防火牆被配置錯誤。
DMZ安全規則指定了非軍事區内的某一主機(IP位址)對應的安全政策。由于DMZ區内放置的伺服器主機将提供公共服務,其位址是公開的,可以被外部網的使用者通路,是以正确設定DMZ區安全規則對保證網絡安全是十分重要的。
![1.6 Linux指令行使用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)