DMZ主機控制策略

1、內網可以訪問外網

內網(wang)的用(yong)戶顯然需(xu)要(yao)自由地訪(fang)問外網(wang)。在(zai)這一(yi)策略中，防火墻需(xu)要(yao)進行(xing)源地址轉換。

2、內網可以訪問DMZ

此策略是(shi)為了方便內網用戶使用和管(guan)理DMZ中的服務(wu)器。

3、外網不能訪問內網

很顯(xian)然，內(nei)網中存(cun)放的是公司內(nei)部數(shu)(shu)據(ju)，這些數(shu)(shu)據(ju)不允許外(wai)網的用戶進行訪問。

該圖片由注冊用戶"科技數碼行"提供，版權聲明反饋

4、外網可以訪問DMZ

DMZ中(zhong)的服務器(qi)本身就是要給(gei)外(wai)界(jie)提(ti)供服務的，所(suo)以外(wai)網必須可以訪(fang)問DMZ。同時(shi)，外(wai)網訪(fang)問DMZ需要由防火墻完成對外(wai)地址到(dao)服務器(qi)實(shi)際(ji)地址的轉換。

5、DMZ不能訪問內網

很明顯，如果違背此策略，則當入侵者攻(gong)陷DMZ時，就可(ke)以進(jin)一(yi)步進(jin)攻(gong)到內(nei)網的(de)重(zhong)要數(shu)據。

6、DMZ不能訪問外網

此條(tiao)策略也有例外(wai)，比如DMZ中(zhong)放置郵件服(fu)務器(qi)時，就需(xu)要訪(fang)問外(wai)網(wang)(wang)(wang)(wang)，否(fou)則將不能正常工作。在網(wang)(wang)(wang)(wang)絡中(zhong)，非軍(jun)事區(DMZ)是(shi)指(zhi)為(wei)不信任系統提(ti)供(gong)(gong)服(fu)務的孤立(li)網(wang)(wang)(wang)(wang)段(duan)，其(qi)目(mu)的是(shi)把敏(min)感的內部網(wang)(wang)(wang)(wang)絡和其(qi)他提(ti)供(gong)(gong)訪(fang)問服(fu)務的網(wang)(wang)(wang)(wang)絡分開，阻止內網(wang)(wang)(wang)(wang)和外(wai)網(wang)(wang)(wang)(wang)直接通(tong)信，以保證(zheng)內網(wang)(wang)(wang)(wang)安全。

DMZ主機服務配置

1、運作機理

DMZ提供的(de)(de)服務(wu)是(shi)經過了地(di)址轉換（NAT）和(he)受(shou)安全(quan)(quan)規則限制的(de)(de)，以達到隱蔽真實地(di)址、控制訪問的(de)(de)功能。首先要根(gen)據(ju)將要提供的(de)(de)服務(wu)和(he)安全(quan)(quan)策略建立一(yi)個(ge)清(qing)晰的(de)(de)網絡拓撲，確定DMZ區(qu)應用服務(wu)器的(de)(de)IP和(he)端(duan)口號以及數據(ju)流向。通(tong)(tong)常網絡通(tong)(tong)信(xin)流向為(wei)禁止外網區(qu)與內(nei)網區(qu)直接(jie)通(tong)(tong)信(xin)，DMZ區(qu)既可(ke)與外網區(qu)進(jin)行(xing)通(tong)(tong)信(xin)，也可(ke)以與內(nei)網區(qu)進(jin)行(xing)通(tong)(tong)信(xin)，受(shou)安全(quan)(quan)規則限制。

2、地址轉換

DMZ區(qu)(qu)服(fu)務(wu)器(qi)與(yu)內網(wang)(wang)區(qu)(qu)、外網(wang)(wang)區(qu)(qu)的(de)通信是(shi)經過網(wang)(wang)絡(luo)地(di)(di)址(zhi)(zhi)(zhi)轉換(huan)（NAT）實(shi)現(xian)的(de)。網(wang)(wang)絡(luo)地(di)(di)址(zhi)(zhi)(zhi)轉換(huan)用(yong)(yong)于將(jiang)一(yi)個(ge)(ge)地(di)(di)址(zhi)(zhi)(zhi)域（如(ru)專(zhuan)用(yong)(yong)Intranet）映(ying)射(she)到另(ling)一(yi)個(ge)(ge)地(di)(di)址(zhi)(zhi)(zhi)域（如(ru)Internet），以達到隱藏(zang)專(zhuan)用(yong)(yong)網(wang)(wang)絡(luo)的(de)目的(de)。DMZ區(qu)(qu)服(fu)務(wu)器(qi)對(dui)內服(fu)務(wu)時映(ying)射(she)成內網(wang)(wang)地(di)(di)址(zhi)(zhi)(zhi)，對(dui)外服(fu)務(wu)時映(ying)射(she)成外網(wang)(wang)地(di)(di)址(zhi)(zhi)(zhi)。采(cai)用(yong)(yong)靜態(tai)映(ying)射(she)配(pei)置(zhi)網(wang)(wang)絡(luo)地(di)(di)址(zhi)(zhi)(zhi)轉換(huan)時，服(fu)務(wu)用(yong)(yong)IP和真(zhen)實(shi)IP要一(yi)一(yi)映(ying)射(she)，源地(di)(di)址(zhi)(zhi)(zhi)轉換(huan)和目的(de)地(di)(di)址(zhi)(zhi)(zhi)轉換(huan)都必須(xu)要有。

3、安全規則制定

安全規(gui)(gui)則(ze)集(ji)(ji)(ji)是安全策(ce)略的(de)技術實(shi)現(xian)，一個(ge)可靠(kao)、高效(xiao)的(de)安全規(gui)(gui)則(ze)集(ji)(ji)(ji)是實(shi)現(xian)一個(ge)成功、安全的(de)防火(huo)墻(qiang)的(de)非常(chang)關鍵的(de)一步。如(ru)果防火(huo)墻(qiang)規(gui)(gui)則(ze)集(ji)(ji)(ji)配置(zhi)錯誤(wu)，再好的(de)防火(huo)墻(qiang)也只是擺設(she)。在(zai)建立(li)規(gui)(gui)則(ze)集(ji)(ji)(ji)時(shi)必須注意規(gui)(gui)則(ze)次序(xu)，因(yin)為防火(huo)墻(qiang)大(da)多以(yi)(yi)順(shun)序(xu)方式(shi)檢(jian)查信(xin)(xin)息包，同(tong)樣的(de)規(gui)(gui)則(ze)，以(yi)(yi)不同(tong)的(de)次序(xu)放置(zhi)，可能會完(wan)全改變(bian)防火(huo)墻(qiang)的(de)運轉情(qing)況。如(ru)果信(xin)(xin)息包經(jing)過每一條規(gui)(gui)則(ze)而(er)沒有(you)發現(xian)匹配，這個(ge)信(xin)(xin)息包便會被(bei)拒(ju)絕。一般來說，通(tong)常(chang)的(de)順(shun)序(xu)是，較特殊(shu)的(de)規(gui)(gui)則(ze)在(zai)前，較普通(tong)的(de)規(gui)(gui)則(ze)在(zai)后，防止在(zai)找到一個(ge)特殊(shu)規(gui)(gui)則(ze)之前一個(ge)普通(tong)規(gui)(gui)則(ze)便被(bei)匹配，避免防火(huo)墻(qiang)被(bei)配置(zhi)錯誤(wu)。

DMZ安(an)全(quan)規(gui)則指定了(le)非軍事(shi)區內(nei)的(de)某(mou)一(yi)主機（IP地(di)(di)址(zhi)）對應的(de)安(an)全(quan)策(ce)略。由于DMZ區內(nei)放置的(de)服務(wu)器主機將提供公共服務(wu)，其地(di)(di)址(zhi)是公開的(de)，可以被外(wai)部網的(de)用戶訪問，所(suo)以正確設置DMZ區安(an)全(quan)規(gui)則對保證網絡(luo)安(an)全(quan)是十分重(zhong)要的(de)。

FireGate可(ke)以根(gen)據數(shu)據包(bao)的(de)(de)地址(zhi)、協(xie)議(yi)和端(duan)口進行訪問控制。它將每個連(lian)接作(zuo)為一(yi)個數(shu)據流(liu)，通過規則表(biao)與連(lian)接表(biao)共同配合，對網絡(luo)連(lian)接和會話的(de)(de)當(dang)前狀態進行分析和監(jian)控。其用于過濾(lv)和監(jian)控的(de)(de)IP包(bao)信息主要有：源(yuan)IP地址(zhi)、目的(de)(de)IP地址(zhi)、協(xie)議(yi)類型(xing)（IP、ICMP、TCP、UDP）、源(yuan)TCP/UDP端(duan)口、目的(de)(de)TCP/UDP端(duan)口、ICMP報文類型(xing)域(yu)(yu)和代碼域(yu)(yu)、碎片包(bao)和其他標志(zhi)位（如SYN、ACK位）等。

為了(le)讓DMZ區的應用服(fu)(fu)務器能與內網中(zhong)DB服(fu)(fu)務器（服(fu)(fu)務端口4004、使用TCP協議(yi)）通信，需增加DMZ區安(an)全規則(ze)， 這樣一個(ge)基(ji)于DMZ的安(an)全應用服(fu)(fu)務便配置好了(le)。其(qi)他(ta)的應用服(fu)(fu)務可(ke)根據安(an)全策略逐個(ge)配置。