偶看新闻武汉口碑好的半永久店:企业信息系统的隔离区(DMZ)如何有效防黑
来源:百度文库 编辑:偶看新闻 时间:2024/05/05 20:25:51
DMZ(Demilitarized Zone)即俗称的非军事区,与军事区和信任区相对应,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。
DMZ网络访问控制策略
当规划一个拥有dmz的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。
1.内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2.内网可以访问dmz
此策略是为了方便内网用户使用和管理dmz中的服务器。
3.外网不能访问内网
很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4.外网可以访问dmz
dmz中的服务器本身就是要给外界提供服务的,所以外网必须可以访问dmz。同时,外网访问dmz需要由防火墙完成对外地址到服务器实际地址的转换。
5.dmz不能访问内网
很明显,如果违背此策略,则当入侵者攻陷dmz时,就可以进一步进攻到内网的重要数据。
6.dmz不能访问外网
此条策略也有例外,比如dmz中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(dmz)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。
dmz服务配置
dmz提供的服务是经过了地址转换(nat)和受安全规则限制的,以达到隐蔽真实地址、控制访问的功能。首先要根据将要提供的服务和安全策略建立一个清晰的网络拓扑,确定dmz区应用服务器的ip和端口号以及数据流向。通常网络通信流向为禁止外网区与内网区直接通信,dmz区既可与外网区进行通信,也可以与内网区进行通信,受安全规则限制。
1 地址转换
dmz区服务器与内网区、外网区的通信是经过网络地址转换(nat)实现的络地址转换用于将一个地址域(如专用intranet)映射到另一个地址域(如internet),以达到隐藏专用网络的目的。dmz区服务器对内服务时映射成内网地址,对外服务时映射成外网地址。采用静态映射配置网络地址转换时,服务用ip和真实ip要一一映射,源地址转换和目的地址转换都必须要有。
2 dmz安全规则制定
安全规则集是安全策略的技术实现,一个可靠、高效的安全规则集是实现一个成功、安全的防火墙的非常关键的一步。如果防火墙规则集配置错误,再好的防火墙也只是摆设。在建立规则集时必须注意规则次序,因为防火墙大多以顺序方式检查信息包,同样的规则,以不同的次序放置,可能会完全改变防火墙的运转情况。如果信息包经过每一条规则而没有发现匹配,这个信息包便会被拒绝。一般来说,通常的顺序是,较特殊的规则在前,较普通的规则在后,防止在找到一个特殊规则之前一个普通规则便被匹配,避免防火墙被配置错误。
dmz安全规则指定了非军事区内的某一主机(ip地址)对应的安全策略。由于dmz区内放置的服务器主机将提供公共服务,其地址是公开的,可以被外部网的用户访问,所以正确设置dmz区安全规则对保证网络安全是十分重要的。
firegate可以根据数据包的地址、协议和端口进行访问控制。它将每个连接作为一个数据流,通过规则表与连接表共同配合,对网络连接和会话的当前状态进行分析和监控。其用于过滤和监控的ip包信息主要有:源ip地址、目的ip地址、协议类型(ip、icmp、tcp、udp)、源tcp/udp端口、目的tcp/udp端口、icmp报文类型域和代码域、碎片包和其他标志位(如syn、ack位)等。
为了让dmz区的应用服务器能与内网中db服务器(服务端口4004、使用tcp协议)通信,需增加dmz区安全规则, 这样一个基于dmz的安全应用服务便配置好了。其他的应用服务可根据安全策略逐个配置。
dmz无疑是网络安全防御体系中重要组成部分,再加上入侵检测和基于主机的其他安全措施,将极大地提高公共服务及整个系统的安全性。