DMZ主機控制策略
1、內網可以訪問外網
內網的用戶顯然(ran)需(xu)要(yao)自由地(di)(di)訪問外網。在這一策(ce)略中,防火墻需(xu)要(yao)進行源地(di)(di)址轉換。
2、內網可以訪問DMZ
此策略(lve)是為了方(fang)便內網用(yong)戶使用(yong)和(he)管理DMZ中的服務器。
3、外網不能訪問內網
很顯然,內網中存放的是公司內部(bu)數據,這些數據不(bu)允(yun)許外網的用戶(hu)進行(xing)訪問。
4、外網可以訪問DMZ
DMZ中的(de)服務器本身(shen)就是要給外界提供(gong)服務的(de),所以外網(wang)必須可以訪(fang)問DMZ。同時(shi),外網(wang)訪(fang)問DMZ需(xu)要由防火(huo)墻(qiang)完成對外地址到服務器實(shi)際地址的(de)轉換。
5、DMZ不能訪問內網
很明(ming)顯(xian),如果(guo)違背此策略,則當入侵者攻陷DMZ時,就可以進(jin)一步進(jin)攻到內(nei)網的重要(yao)數據。
6、DMZ不能訪問外網
此(ci)條策略(lve)也有例外,比如(ru)DMZ中放置郵件服務器時,就需要訪問外網(wang),否則將不能正常工作。在(zai)網(wang)絡中,非軍(jun)事區(DMZ)是指為不信任系統(tong)提供服務的孤立網(wang)段,其目的是把敏感的內部(bu)網(wang)絡和其他提供訪問服務的網(wang)絡分開,阻止(zhi)內網(wang)和外網(wang)直(zhi)接(jie)通信,以保(bao)證內網(wang)安全。
DMZ主機服務配置
1、運作機理
DMZ提供的(de)服務是經(jing)過(guo)了地址轉(zhuan)換(NAT)和(he)受安全規則(ze)限(xian)制的(de),以達到隱(yin)蔽真實地址、控制訪(fang)問(wen)的(de)功能(neng)。首先要根據將要提供的(de)服務和(he)安全策略建立一個(ge)清晰的(de)網(wang)(wang)(wang)絡拓撲,確定DMZ區(qu)(qu)應用服務器(qi)的(de)IP和(he)端(duan)口(kou)號以及數(shu)據流向(xiang)。通(tong)(tong)常網(wang)(wang)(wang)絡通(tong)(tong)信流向(xiang)為(wei)禁止外網(wang)(wang)(wang)區(qu)(qu)與內(nei)網(wang)(wang)(wang)區(qu)(qu)直接通(tong)(tong)信,DMZ區(qu)(qu)既可(ke)與外網(wang)(wang)(wang)區(qu)(qu)進行通(tong)(tong)信,也可(ke)以與內(nei)網(wang)(wang)(wang)區(qu)(qu)進行通(tong)(tong)信,受安全規則(ze)限(xian)制。
2、地址轉換
DMZ區(qu)(qu)(qu)服(fu)務器與內(nei)網(wang)(wang)區(qu)(qu)(qu)、外(wai)網(wang)(wang)區(qu)(qu)(qu)的通信是經過網(wang)(wang)絡地(di)(di)址(zhi)轉(zhuan)換(huan)(NAT)實(shi)現(xian)的。網(wang)(wang)絡地(di)(di)址(zhi)轉(zhuan)換(huan)用于將一(yi)個地(di)(di)址(zhi)域(如(ru)專(zhuan)用Intranet)映(ying)射(she)到(dao)另一(yi)個地(di)(di)址(zhi)域(如(ru)Internet),以達到(dao)隱(yin)藏專(zhuan)用網(wang)(wang)絡的目(mu)的。DMZ區(qu)(qu)(qu)服(fu)務器對內(nei)服(fu)務時映(ying)射(she)成內(nei)網(wang)(wang)地(di)(di)址(zhi),對外(wai)服(fu)務時映(ying)射(she)成外(wai)網(wang)(wang)地(di)(di)址(zhi)。采用靜態映(ying)射(she)配置網(wang)(wang)絡地(di)(di)址(zhi)轉(zhuan)換(huan)時,服(fu)務用IP和(he)真實(shi)IP要一(yi)一(yi)映(ying)射(she),源地(di)(di)址(zhi)轉(zhuan)換(huan)和(he)目(mu)的地(di)(di)址(zhi)轉(zhuan)換(huan)都必(bi)須(xu)要有(you)。
3、安全規則制定
安(an)(an)全(quan)規(gui)(gui)則(ze)(ze)(ze)(ze)集是(shi)安(an)(an)全(quan)策略的(de)(de)(de)技術實(shi)現(xian),一(yi)(yi)(yi)個可(ke)靠(kao)、高效的(de)(de)(de)安(an)(an)全(quan)規(gui)(gui)則(ze)(ze)(ze)(ze)集是(shi)實(shi)現(xian)一(yi)(yi)(yi)個成功、安(an)(an)全(quan)的(de)(de)(de)防(fang)火墻(qiang)(qiang)的(de)(de)(de)非常關鍵的(de)(de)(de)一(yi)(yi)(yi)步(bu)。如(ru)果(guo)防(fang)火墻(qiang)(qiang)規(gui)(gui)則(ze)(ze)(ze)(ze)集配(pei)置(zhi)錯誤(wu),再好的(de)(de)(de)防(fang)火墻(qiang)(qiang)也只(zhi)是(shi)擺設。在(zai)(zai)(zai)建立(li)規(gui)(gui)則(ze)(ze)(ze)(ze)集時(shi)必須注意規(gui)(gui)則(ze)(ze)(ze)(ze)次序(xu),因為防(fang)火墻(qiang)(qiang)大(da)多以順序(xu)方式檢查信息(xi)包,同樣的(de)(de)(de)規(gui)(gui)則(ze)(ze)(ze)(ze),以不(bu)同的(de)(de)(de)次序(xu)放(fang)置(zhi),可(ke)能會(hui)完全(quan)改變(bian)防(fang)火墻(qiang)(qiang)的(de)(de)(de)運(yun)轉情況。如(ru)果(guo)信息(xi)包經過(guo)每一(yi)(yi)(yi)條規(gui)(gui)則(ze)(ze)(ze)(ze)而沒有(you)發(fa)現(xian)匹配(pei),這(zhe)個信息(xi)包便(bian)會(hui)被拒絕。一(yi)(yi)(yi)般來(lai)說,通(tong)常的(de)(de)(de)順序(xu)是(shi),較特(te)(te)殊的(de)(de)(de)規(gui)(gui)則(ze)(ze)(ze)(ze)在(zai)(zai)(zai)前,較普通(tong)的(de)(de)(de)規(gui)(gui)則(ze)(ze)(ze)(ze)在(zai)(zai)(zai)后,防(fang)止在(zai)(zai)(zai)找到(dao)一(yi)(yi)(yi)個特(te)(te)殊規(gui)(gui)則(ze)(ze)(ze)(ze)之前一(yi)(yi)(yi)個普通(tong)規(gui)(gui)則(ze)(ze)(ze)(ze)便(bian)被匹配(pei),避免防(fang)火墻(qiang)(qiang)被配(pei)置(zhi)錯誤(wu)。
DMZ安全規則(ze)指定了非軍事區(qu)內的某一(yi)主機(ji)(IP地(di)址)對應的安全策略。由于DMZ區(qu)內放置(zhi)(zhi)的服務器主機(ji)將提供公(gong)共服務,其地(di)址是公(gong)開的,可以被外部網的用戶訪問,所以正確(que)設(she)置(zhi)(zhi)DMZ區(qu)安全規則(ze)對保證網絡(luo)安全是十(shi)分(fen)重要的。
FireGate可以根據(ju)(ju)數(shu)據(ju)(ju)包的(de)(de)地址、協(xie)議(yi)和(he)(he)端(duan)口(kou)進行訪問控(kong)制。它將每個連(lian)接作為一個數(shu)據(ju)(ju)流,通(tong)過規則表與(yu)連(lian)接表共(gong)同配合,對網(wang)絡連(lian)接和(he)(he)會話的(de)(de)當前(qian)狀態進行分(fen)析和(he)(he)監控(kong)。其(qi)用于(yu)過濾和(he)(he)監控(kong)的(de)(de)IP包信息(xi)主要有:源IP地址、目(mu)的(de)(de)IP地址、協(xie)議(yi)類(lei)(lei)型(xing)(IP、ICMP、TCP、UDP)、源TCP/UDP端(duan)口(kou)、目(mu)的(de)(de)TCP/UDP端(duan)口(kou)、ICMP報文類(lei)(lei)型(xing)域和(he)(he)代碼域、碎片包和(he)(he)其(qi)他標志位(如SYN、ACK位)等。
為了讓(rang)DMZ區(qu)的(de)應(ying)(ying)用(yong)(yong)服務(wu)器能(neng)與內(nei)網(wang)中(zhong)DB服務(wu)器(服務(wu)端口4004、使用(yong)(yong)TCP協議(yi))通信,需增加DMZ區(qu)安(an)全(quan)規則(ze), 這樣(yang)一(yi)個基于(yu)DMZ的(de)安(an)全(quan)應(ying)(ying)用(yong)(yong)服務(wu)便(bian)配置好了。其他的(de)應(ying)(ying)用(yong)(yong)服務(wu)可根據安(an)全(quan)策略逐個配置。
申明:以上內容源于程序系統索引或網民分享提供,僅供您參考使用,不代表本網站的研究觀點,請注意甄別內容來源的真實性和權威性。