DMZ主機控制策略
1、內網可以訪問外網
內網的用戶(hu)顯然需(xu)要自由地訪(fang)問(wen)外網。在這一策略中,防火墻需(xu)要進行(xing)源地址轉(zhuan)換。
2、內網可以訪問DMZ
此策略是為了(le)方便內網用戶使用和管理DMZ中的服務器。
3、外網不能訪問內網
很顯然(ran),內(nei)網中存放(fang)的是公司內(nei)部數據,這些數據不允(yun)許外網的用(yong)戶進行訪(fang)問。
4、外網可以訪問DMZ
DMZ中的(de)服(fu)務器本身就是(shi)要給外(wai)(wai)界提供服(fu)務的(de),所以外(wai)(wai)網必須可以訪問DMZ。同時(shi),外(wai)(wai)網訪問DMZ需要由防火(huo)墻完成對外(wai)(wai)地址(zhi)到服(fu)務器實(shi)際地址(zhi)的(de)轉換。
5、DMZ不能訪問內網
很(hen)明(ming)顯,如果(guo)違背此策(ce)略(lve),則當入侵者攻陷DMZ時,就可以(yi)進一步進攻到內網的重(zhong)要數據。
6、DMZ不能訪問外網
此條策略也有例外(wai)(wai),比如(ru)DMZ中放置郵件服(fu)(fu)(fu)務(wu)器時,就需要(yao)訪問外(wai)(wai)網(wang)(wang),否(fou)則將不(bu)能正常工(gong)作。在網(wang)(wang)絡(luo)(luo)中,非軍事區(DMZ)是(shi)指為不(bu)信任系統提供(gong)服(fu)(fu)(fu)務(wu)的(de)孤立網(wang)(wang)段,其(qi)目的(de)是(shi)把(ba)敏感的(de)內(nei)部網(wang)(wang)絡(luo)(luo)和(he)(he)其(qi)他提供(gong)訪問服(fu)(fu)(fu)務(wu)的(de)網(wang)(wang)絡(luo)(luo)分開,阻止內(nei)網(wang)(wang)和(he)(he)外(wai)(wai)網(wang)(wang)直(zhi)接通信,以保證內(nei)網(wang)(wang)安全。
DMZ主機服務配置
1、運作機理
DMZ提供的(de)服務(wu)(wu)(wu)是經過(guo)了地(di)址轉(zhuan)換(huan)(NAT)和(he)(he)受安全規則限(xian)制(zhi)(zhi)的(de),以(yi)達到隱蔽真(zhen)實地(di)址、控制(zhi)(zhi)訪問的(de)功能(neng)。首先要根(gen)據將(jiang)要提供的(de)服務(wu)(wu)(wu)和(he)(he)安全策略(lve)建立一個清晰的(de)網(wang)(wang)(wang)(wang)絡拓撲,確定(ding)DMZ區應(ying)用(yong)服務(wu)(wu)(wu)器的(de)IP和(he)(he)端口(kou)號(hao)以(yi)及數(shu)據流(liu)向。通(tong)(tong)常(chang)網(wang)(wang)(wang)(wang)絡通(tong)(tong)信流(liu)向為禁止外網(wang)(wang)(wang)(wang)區與內網(wang)(wang)(wang)(wang)區直接通(tong)(tong)信,DMZ區既(ji)可與外網(wang)(wang)(wang)(wang)區進(jin)行(xing)通(tong)(tong)信,也(ye)可以(yi)與內網(wang)(wang)(wang)(wang)區進(jin)行(xing)通(tong)(tong)信,受安全規則限(xian)制(zhi)(zhi)。
2、地址轉換
DMZ區(qu)服(fu)務(wu)(wu)器與內(nei)網(wang)(wang)區(qu)、外(wai)(wai)(wai)網(wang)(wang)區(qu)的(de)(de)通信是(shi)經過網(wang)(wang)絡地(di)址(zhi)轉(zhuan)換(huan)(huan)(NAT)實現的(de)(de)。網(wang)(wang)絡地(di)址(zhi)轉(zhuan)換(huan)(huan)用于(yu)將一個(ge)地(di)址(zhi)域(如(ru)專(zhuan)用Intranet)映(ying)射(she)到(dao)另一個(ge)地(di)址(zhi)域(如(ru)Internet),以達到(dao)隱藏專(zhuan)用網(wang)(wang)絡的(de)(de)目的(de)(de)。DMZ區(qu)服(fu)務(wu)(wu)器對內(nei)服(fu)務(wu)(wu)時(shi)(shi)(shi)映(ying)射(she)成(cheng)內(nei)網(wang)(wang)地(di)址(zhi),對外(wai)(wai)(wai)服(fu)務(wu)(wu)時(shi)(shi)(shi)映(ying)射(she)成(cheng)外(wai)(wai)(wai)網(wang)(wang)地(di)址(zhi)。采用靜態映(ying)射(she)配置網(wang)(wang)絡地(di)址(zhi)轉(zhuan)換(huan)(huan)時(shi)(shi)(shi),服(fu)務(wu)(wu)用IP和真實IP要一一映(ying)射(she),源地(di)址(zhi)轉(zhuan)換(huan)(huan)和目的(de)(de)地(di)址(zhi)轉(zhuan)換(huan)(huan)都必須要有(you)。
3、安全規則制定
安全(quan)(quan)規(gui)(gui)則(ze)(ze)(ze)(ze)集(ji)是(shi)安全(quan)(quan)策略的(de)(de)(de)技術實現,一個可(ke)(ke)靠、高效的(de)(de)(de)安全(quan)(quan)規(gui)(gui)則(ze)(ze)(ze)(ze)集(ji)是(shi)實現一個成功、安全(quan)(quan)的(de)(de)(de)防(fang)(fang)火(huo)墻(qiang)(qiang)的(de)(de)(de)非常(chang)關(guan)鍵的(de)(de)(de)一步。如果(guo)防(fang)(fang)火(huo)墻(qiang)(qiang)規(gui)(gui)則(ze)(ze)(ze)(ze)集(ji)配(pei)置(zhi)(zhi)錯(cuo)誤,再好的(de)(de)(de)防(fang)(fang)火(huo)墻(qiang)(qiang)也只是(shi)擺設。在建(jian)立規(gui)(gui)則(ze)(ze)(ze)(ze)集(ji)時必(bi)須注意規(gui)(gui)則(ze)(ze)(ze)(ze)次序(xu),因為防(fang)(fang)火(huo)墻(qiang)(qiang)大多以順(shun)序(xu)方式(shi)檢查(cha)信息包(bao),同樣的(de)(de)(de)規(gui)(gui)則(ze)(ze)(ze)(ze),以不同的(de)(de)(de)次序(xu)放置(zhi)(zhi),可(ke)(ke)能會(hui)完全(quan)(quan)改變防(fang)(fang)火(huo)墻(qiang)(qiang)的(de)(de)(de)運(yun)轉情況。如果(guo)信息包(bao)經過每一條規(gui)(gui)則(ze)(ze)(ze)(ze)而沒有發現匹配(pei),這個信息包(bao)便會(hui)被(bei)拒絕。一般來說,通常(chang)的(de)(de)(de)順(shun)序(xu)是(shi),較特(te)殊的(de)(de)(de)規(gui)(gui)則(ze)(ze)(ze)(ze)在前,較普通的(de)(de)(de)規(gui)(gui)則(ze)(ze)(ze)(ze)在后,防(fang)(fang)止在找(zhao)到一個特(te)殊規(gui)(gui)則(ze)(ze)(ze)(ze)之前一個普通規(gui)(gui)則(ze)(ze)(ze)(ze)便被(bei)匹配(pei),避免防(fang)(fang)火(huo)墻(qiang)(qiang)被(bei)配(pei)置(zhi)(zhi)錯(cuo)誤。
DMZ安全(quan)規(gui)則指定了(le)非軍事區(qu)(qu)內的(de)(de)某一主機(ji)(IP地址(zhi))對應的(de)(de)安全(quan)策略(lve)。由于DMZ區(qu)(qu)內放置的(de)(de)服務器主機(ji)將提供公共服務,其地址(zhi)是(shi)公開的(de)(de),可以被外部網的(de)(de)用戶訪問(wen),所以正確設置DMZ區(qu)(qu)安全(quan)規(gui)則對保證(zheng)網絡(luo)安全(quan)是(shi)十分重要的(de)(de)。
FireGate可以根據(ju)數(shu)據(ju)包(bao)的(de)地(di)址、協(xie)議(yi)和端口進(jin)行(xing)訪問控(kong)制。它將(jiang)每個連(lian)(lian)接作(zuo)為一個數(shu)據(ju)流(liu),通過規則表與連(lian)(lian)接表共同配合,對網絡連(lian)(lian)接和會話的(de)當前(qian)狀態(tai)進(jin)行(xing)分析和監(jian)(jian)控(kong)。其用于(yu)過濾(lv)和監(jian)(jian)控(kong)的(de)IP包(bao)信息主要有:源IP地(di)址、目的(de)IP地(di)址、協(xie)議(yi)類型(xing)(IP、ICMP、TCP、UDP)、源TCP/UDP端口、目的(de)TCP/UDP端口、ICMP報文類型(xing)域(yu)和代(dai)碼(ma)域(yu)、碎片包(bao)和其他標志位(如SYN、ACK位)等。
為了(le)讓DMZ區的應用(yong)服(fu)務(wu)(wu)器能與內網中DB服(fu)務(wu)(wu)器(服(fu)務(wu)(wu)端口4004、使用(yong)TCP協(xie)議)通信,需(xu)增加DMZ區安(an)全規則, 這樣一個基于DMZ的安(an)全應用(yong)服(fu)務(wu)(wu)便配(pei)置(zhi)(zhi)好了(le)。其他的應用(yong)服(fu)務(wu)(wu)可根據安(an)全策略逐個配(pei)置(zhi)(zhi)。
申明:以上內容源于程序系統索引或網民分享提供,僅供您參考使用,不代表本網站的研究觀點,請注意甄別內容來源的真實性和權威性。