诌议基于网络防火墙DMZ设置教学.docVIP

诌议基于网络防火墙DMZ设置教学 　　摘要：防火墙（FireWall）作为一种隔离控制技术，是目前保护计算机网络安全的主要措施。DMZ是位于内部网络和外部网络之间的小网络区域，通过部署基于网络防火墙的DMZ，更加有效地保护了可信内部网络和服务器，让网络工程专业学生进一步掌握了学习防火墙的重要性。网络安全防御体系的组成部分中的DMZ无疑是十分重要的，再结合基于主机的防护、入侵检测系统及其他安全措施，极大地提高了公共服务及整个网络系统的安全性能。 　　关键词：防火墙；DMZ；访问控制策略；服务器 　　1概述 　　防火墙（Fire Wall）作为一种隔离控制技术，是目前保护计算机网络安全的主要措施。防火墙作为网络防护的第一道防线，它由软件或/和硬件设备组合而成，它位于企业或网络群体计算机与外部通道（Internet）的边界，限制外部用户对内部网络的访问，管理内部网络用户访问外部网络的权限。防火墙在内部网络和不安全的外部网络（如：Intemet）之间建立起一道屏障，有效阻止外部对内网的非法访问，同时，阻止重要信息从内网非法流出。防火墙对两个网络间所有的连接进行筛选，决定哪些连接是允许的哪些连接是禁止，这取决于网络制定的安全策略。 　　设置防火墙是目前防范黑客最严、又比较安全的一种安全措施。特别是用户一些关键性的服务器（如：0A服务器、WWW服务器等），都应放在防火墙之后。 　　DMZ（demilitarized zone）又称为”隔离区”，也称”非军事化区”。DMZ是为了解决有了防火墙后外部网络不能访问内部网络服务器的问题而设置的，它是位于非安全系统与安全系统或企业内部网络和外部网络之间的小网络区域，是一个缓冲区，是为内部网络放置一些必须对外公开的服务器（企业WWW服务器、FTP服务器和电子邮件服务器等）设施而划分的。 　　通过部署这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。 　　2基于单防火墙的单DMz设置 　　为保护内部网络，DMZ防火墙方案相当于设置了一个过滤子网，增加了一道安全防线，构造了一个安全地带。基于单防火墙的单DMZ网络结构，如图1所示。为了有效地避免应用需要公开而与内部安全策略相矛盾的情况，在安装防火墙后，设置一个提供放置公共服务器或提供通信基础服务的服务器及设备的区域DMZ，此区域常包括FTP服务器、堡垒主机、Modem池，Web服务器、E-mail（邮件）服务器、VPN网关、DNS服务器、其他公共服务器等，这些资源不能放置在内部网络，否则会因防火墙的访问限制而无法正常工作。但在实际应用中，要注意的是真正的电子商务后台数据库需要放在内部网络。 　　设置DMZ后，内部网络和外部网络（Internet）都能访问DMZ中的服务器，但是外部网络禁止访问内部网络中的机密信息或私密信息等，并且DMZ中服务器受到攻击或破?氖蹦诓客?络中的机密信息或私密信息等也不会受到任何影响。因此，我们说DMZ是内部网络和外部网络能访问的公共计算机系统和资源的连接中间点或中转站。 　　为节省企业投资，边界路由器也可以是一台专门的硬件防火墙。DMZ区通常放置在带包过滤功能的边界路由器与防火墙之间，以达到内外网络用户访问到公共服务服务器的目的。主要是因为一方面作为网络安全的第一道防线边界路由器有安全过滤功能，另一方面作为网络安全的第二道防线防火墙的安全级别设置又比边界路由器上要强。 　　（1）服务配置 　　DMZ提供的服务通常要是经过网络地址翻译NAT（Net-work Address Translation），ua并且受到安全规则控制，从而实现地址隐藏、节约IP资源和访问控制功能。 　　通常内部网络是可信网络，外部网络是不可信网络。设置DMZ后，不可信的外部网络（Internet）禁止访问可信的内部网络，DMZ允许访问不可信的外部网络和可信的内部网络，但受安全规则控制。我们常根据将要提供的服务和安全策略来制定网络拓扑，并确定DMZ公共服务器的IP地址、端口号和数据流动方向。 　　（2）网络地址翻译 　　网络地址翻译NAT用于将一个地址域映射到另一个地址域，以达到隐藏专用网络和实现网络负载均衡的目的。DMZ公共服务器与内部网络、外部网络的通信是经过网络地址翻译NAT实现的。DMZ公共服务器对外提供服务时映射成外部网络地址，对内提供服务时映射成内部网络地址。 　　（3）DMZ安全规则制定 　　防火墙可根据数据包中的源地址、目的地址、封装协议、源端口号和目的端口号等进行访问控制。防火墙把一个连接作为一个数据流，通过与过滤规则的匹配比较，查找连接表中的连接情况，来实现网络连接会话的当前状态的分析和监控。 　　从前述可知，DMZ中的公共服务器是向可