DMZ区域与防火墙技术简述.pdfVIP

DMZ 域与防火墙技术简述 整理： 文主要介绍防火墙的一些经典应用拓扑结构及特殊应用配置。从中我们可以了解到 防火墙的一些具体应用方式，为我们配置自己企业防火墙的应用打下基础。当然这里所说 的防火墙仍是传统边界防火墙，不包括后面将要介绍的个人防火墙和分布式防火墙。 首先我们一起了解一下什么是DMS 基本介绍 DMZ 是英文“demilitarized zone”的缩写，中文名称为 “隔离区”，也称 “非军事化 区”。它是为了解决安装防火墙后 部网络不能访问内部网络服务器的问题，而设立的一 个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的 月 小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web 服务器、FTP 服务器和论坛等。“DMZ”区域是内网和外网均不能直接访问的一个区域， 读 多用于连接WWW 服务器等公用服务器。另一方面，通过这样一个DMZ 区域，更加有效 风 地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一 道关卡。 清 DMZ 主机 针对不同资源提供不同安全级别的保护，就可以考虑构建一个DMZ 区域。DMZ 可以 理解为一个不同于 网或内网的特殊网络区域。DMZ 内通常放置一些不含机密信息的公用 服务器，比如Web、Mail、FTP 等。这样来自外网的访问者可以访问DMZ 中的服务，但不 可能接触到存放在内网中的公司机密或私人信息等。即使DMZ 中服务器 到破坏，也不会 对内网中的机密信息造成影响。 当规划一个拥有DMZ 的网络时候,我们可以明确各个网络之间的访问关系,可以确定以 下六条访问控制策略： 1. 内网可以访问外网 内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。 2. 内网可以访问DMZ 此策略是为了方便内网用户使用和管理DMZ 中的服务器。 3.外网不能访问内网 很显然，内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问。 4.外网可以访问DMZ DMZ 中的服务器 身就是要给 界提供服务的，所以 网必须可以访问DMZ。同时， 外网访问DMZ 需要由防火墙完成对外地址到服务器实际地址的转换。 月 5.DMZ 不能访问内网 读 很明显，如果违背此策略，则当入侵者攻陷DMZ 时，就可以进一步进攻到内网的重要 数据。 风 6.DMZ 不能访问外网 此条策略也有例 ，比如DMZ 中放置邮件服务器时，就需要访问外网，否则将不能正 清 常工作。 应用 网络设备开发商，利用这一技术，开发出了相应的防火墙解决方案。称“非军事区结 构模式”。DMZ 通常是一个过滤的子网，DMZ 在内部网络和 部网络之间构造了一个安全 地带。 DMZ 防火墙方案为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。 同时它提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而 与内部安全策略相矛盾的情况发生。在DMZ 区域中通常包括堡垒主机、Modem 池，以及 所有的公共服务器，但要注意的是电子商务服务器只能用作用户连接，真正的电子商务后 台数据需要放在内部网络中。 分 在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所 有内部网络对DMZ 的访问。内部防火墙管理DMZ 对于内部网络的访问。内部防火墙是内 部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候， 它还可以起到保护内部网络的功能。而局域网内部，对于Internet 的访问由内部防火墙和 位于DMZ 的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域(外部防 火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强，