资讯安全入门手册.pptVIP

圖16-8DMZ系統和內部網路系統的規劃圖Web站台允許公眾存取的Web伺服器，也是架設在DMZ網段內。從圖16-8之中可以看到，架設在DMZ網段的應用程式伺服器。許多Wen站台依據使用者輸入的資料提供適當的網頁內容。這些使用者輸入的資訊，是透過呼叫資料庫加以處理。資料庫可能內含敏感性資料，所以也不適合放在DMZ網段中。Web伺服器可以和資料庫伺服器溝通，但Web伺服器卻允許外部使用者存取，因此也不能完全信任Web伺服器。利用應用程式伺服器做為居間的系統，並實際和後端資料庫伺服器溝通。當We伺服器接受使用者輸入的資料，並將資料傳送給應用程式伺服器加以處理。一旦資料庫系統含有組織某些相當重要的敏感資訊時，或許也可以架設在其他防火牆的後端。在這種情況下，防火牆將會區隔敏感性資料庫和內部網路，因此也會提高某些存取限制。應用程式將接收的資料傳送給後端資料庫系統處理，再將取回處理過的資料回傳給Web伺服器，最後再由Web伺服器對使用者提供結果。雖然架構看起來有些複雜，但是可以用來確實保護資料庫伺服器，並減輕Web伺服器的負擔。允許外部存取的系統所有允許外部存取的系統，都應該架設在DMZ網段中。如果允許透過互動式交談而存取的系統（例如telnet或SSH），使用者也將具有攻擊其他DMZ系統的能力。這類系統應該架設在第二個DMZ網段中，以免其他DMZ系統遭到攻擊。控制系統外部DNS伺服器也應該架設在DMZ網段中。如果組織計畫擁有自己的DNS，這部DNS伺服器也必須接受外部使用者的查詢。在組織的基礎建設之中，DNS也是非常重要的一個環節。或許組織會選用DNS備援系統或是由ISP代管的DNS。如果組織選擇後者，那麼ISP的DNS將會需要組織內部的DNS執行分區轉送（zonetransfer）。而且，這個動作也不應該由其他系統執行。添加标题如果組織選擇架設NTP，應該將主要的NTP地區伺服器架設在DMZ網段中。添加标题內部系統都應該向主要的本地NTP伺服器查詢、更新系統的時間。添加标题NTP伺服器的另外一種解決方案就是－利用防火牆做為主要的NTP地區伺服器。16-4-3合適的DMZ架構DMZ架構的種類非常多。若是以安全為前提，那麼每一種類型各有優缺點，而且每一個組織也需要判斷最合適的架構。最常見的三種架構如下：路由器和防火牆單一防火牆雙防火牆後續探討的每一種架構都含有防火牆，有關防火牆的詳細說明請參考第10章的內容。路由器和防火牆添加标题添加标题添加标题添加标题添加标题路由器連結ISP和組織的外部網路，防火牆則做為內部系統的存取控管。在這種架構之下DMZ成了外部網路，而且變成了可以從Internet存取的系統。因為系統架設在外部網段中，因此也無法抵禦來自Internet的攻擊。為求降低遭到侵害的風險，可以利用路由器的封包過濾器，所以也只有允許存取DMZ系統的流量才能進入DMZ網段。圖16-9是簡單的路由器和防火牆架構。添加标题添加标题添加标题感谢观看圖16-9防火牆和路由器的DMZ架構在許多情況下，ISP擁有路由器並負責管理、維護。如果是這樣的情況，組織就無法更換路由器也不能執行正確的組態設定。千萬記得，通常都是採用命令的控制方式設定路由器，因此也必須依照正確的順序妥善設定過濾規則。單一防火牆一部防火牆就可以建立DMZ。採用單一防火牆的架構時，就會產生圖16-10區隔DMZ和外部網路的架構。外部網路是由ISP的路由器和防火牆提供防護，且由防火牆的第三組網路介面建立DMZ網段。在這種架構下，防火牆擔負起存取DMZ的控管工作。採用單一防火牆的架構時，所有的流量被迫必須更過防火牆。防火牆必須設定成－只能允許存取每一部DMZ系統提供服務的流量才能通過。防火牆也可以提供允許／不允許通過的流量記錄。防火牆成了單一故障環節，也可能成為流量的瓶頸。如果可用性是整個架構最重要的安全問題，那麼防火牆也應該具有容錯的措施。如果預料會產生大量的DMZ流量時，防火牆不但需要承受這些流量，也要處理通往內部網路的Internet流量。只有單一防火牆的設計，且僅需設定允許／不允許通過的流量，所以在管理上會比前一種架構來得容易。在這種架構下的路由器，可以不需要執行封包過濾的工作。如果可以執行某些過濾動作時，會讓防火牆的負擔減輕並因而提高效率。DMZ系統也會受到防火牆的保護，因此也會降低安全的需求。雖然並不是說DMZ系統一定會發生安全問題，只是建議DMZ可以受到防火牆的保護，而防火牆可以受到路由器的保護，並因而排除其他不必要的服務。圖16-10單一防火牆DMZ架構雙防火牆防火牆1設定成允許DMZ和內部網路