快捷搜索:

分而克之——DMZ作用解析

收集DMZ经由过程创建樊篱子网,将受相信收集从不受相信收集中区分出来,并进行隔离。经由过程将系统分段,并创建只有中心层次的相信存在的DMZ,该系统对继续进击具有更强劲的抵抗力,纵然在其它部分都无法正常事情的环境下也能保护紧张资本。DMZ可以发挥感化,是由于在没有路由的环境下,收集流量不能在两个分支收集之间传输。

你的Web办事器、FTP办事器、电子邮件办事器以及内部DNS办事器该当设置设置设备摆设摆设在这个DMZ内,或者“界限收集”中,还必要有额外的收集防御,比如入侵检测系统(IDS)。将这些公共办事安置在DMZ内,你就可以把这些安置在与你的内部收集不合的支网中。诸如数据库办事器之类的后端系统该当设置在内部收集之中。任何设置设置设备摆设摆设在DMZ的机械仍旧处在危险之中,然则假如一个入侵者危及DMZ的安然,那么他就不能自动进入内部收集。

DMZ的每个造访接入点都对收集流量进行阻挡和过滤,仅容许去往或来自特定收集地址、经过特定端口的活动经由过程。该当异常小心,确保与DMZ的交互行径不裸露在内部收集中。每一网段之间的障碍受到防火墙和路由器的节制和樊篱,并受到文件造访节制列表、功能强大年夜的认证与加密技巧的保护。为了终极实现DMZ的安然,将每项办事设置在自己的DMZ段,设置设置设备摆设摆设防火墙策略来满意每个办事器的要求。

收集部署

我们将探究两种DMZ收集部署要领。第一种是三宿主界限收集,它得当于低预算、不能与关键内部收集相连接的Web站点。第二种是背靠背界限收集,它用于电子商务和其它关键义务的Web站点。

三宿主界限收集

这个拓扑布局应用单一的防火墙将因特网、界限收集和企业内网隔脱离来。平日也称为单一樊篱式子网,因为DMZ是由一个带有三个网卡的防火墙限制范围的:一个网卡与因特网相连接、一个与DMZ连接、一个与企业内网连接(见图1)。这种收集部署的毛病是单一故障点。当端口对由单一防火墙护卫的界限收集开放时,弗成避免地减弱了外围安然性。假如入侵者危及这种拓扑中的防火墙,那么他就既可以进入DMZ的办事器,也可以进入企业的内网的办事器。

图1  三宿主界限收集

必要留意的是,这种拓扑布局具体阐清楚明了若何应用因特网和DMZ之间的安然路由器。该当锁定该路由器上的端口。为了包管Web办事器的精确功能,必要打开一些端口,比如用于HTTP的端口80和HTTPS的端口443。

背靠背界限收集

图2中显示的是背靠背界限收集拓扑布局,它被广泛觉得是最安然的收集部署之一。界限收集应用两个防火墙,一方面与因特网分分开来,另一方面与内部收集区分开来。每个防火墙有两个收集适配器。当内部防火墙有一个收集适配器与界限收集相连接,并且另一个与内部收集相连接时,外部防火墙有一个收集适配器与因特网相连接,另一个与界限收集相连接(如图2所示)。这就供给了一层额外保护。假如一个来自因特网的入侵者危及到界限收集的安然,他不能自动造访内部收集资本,由于在入侵者和收集另外部分之间有另一道屏蔽。

图2  应用两个防火墙的双重樊篱子网或背靠背界限收集

请留意,另一个安然路由器将收集瓜分成不合的部分,这些部分组成全部界限收集。只管锁定这个路由器没有锁定与因特网连接的路由器紧张,然则也可以确保关闭不紧张的端口,以得到更多的安然。

外部防火墙可以阻拦外部进击,并治理所有进入DMZ的因特网造访。内部防火墙治理进入内部收集的DMZ造访。与面对因特网的防火墙规则比拟,这个防火墙该当拥有不合的规则,仅容许内部详细利用办事造访进入特定的系统,并阻拦自发输入端口80的收集流量进入内部收集。换句话说,内部防火墙该当仅通报来自DMZ办事器的、必要与某个内部系统进行通信的输入流量。比如,假如一个Web办事器经由过程SQL与数据库通信时,打开防火墙的TCP端口,通报SQL哀乞降相应,并且阻拦其它任何流量。当构成防火墙的不合部分用在DMZ的每一边时,安然性获得进一步增强。黑客不太可能应用相同的要领对两个系统进行进击。

为了安然起见,对收集进行瓜分时,要老是选择物理瓜分法。虚拟局域网(VLAN)是一个网段,逻辑上由转换器定义并节制,该转换器可以将其端口分配到两个或者更多虚拟局域网段,而不是将其所有端口分配到同一个物理网段。只管这样可以低落购买多个互换器的资源,但瓜分的网段是虚拟的。可以删除这种瓜分,并且很轻易就可以绕过互换器所供给的安然。

您可能还会对下面的文章感兴趣: