DMZ主機控制策略
1、內網可以訪問外網
內網(wang)的用(yong)戶顯(xian)然需要(yao)自由地(di)(di)訪(fang)問外網(wang)。在這(zhe)一策略(lve)中,防火墻(qiang)需要(yao)進(jin)行源地(di)(di)址(zhi)轉換。
2、內網可以訪問DMZ
此策略是(shi)為了方便(bian)內網(wang)用(yong)戶使用(yong)和管理DMZ中的服務(wu)器。
3、外網不能訪問內網
很顯然,內網中存放的是公司(si)內部數據,這些(xie)數據不(bu)允許外網的用戶進行訪問(wen)。
4、外網可以訪問DMZ
DMZ中的服(fu)(fu)務器(qi)本身就是要(yao)給外(wai)界提(ti)供服(fu)(fu)務的,所以外(wai)網(wang)必須可以訪問DMZ。同時,外(wai)網(wang)訪問DMZ需要(yao)由防火墻完成對(dui)外(wai)地址到服(fu)(fu)務器(qi)實際地址的轉換。
5、DMZ不能訪問內網
很(hen)明(ming)顯,如果違背此策(ce)略,則(ze)當入(ru)侵者(zhe)攻(gong)陷DMZ時(shi),就可(ke)以進(jin)一步進(jin)攻(gong)到(dao)內網的重要數據。
6、DMZ不能訪問外網
此條策略也(ye)有(you)例外(wai),比如(ru)DMZ中放置郵件(jian)服務(wu)器時(shi),就需要(yao)訪(fang)問外(wai)網(wang),否則(ze)將不能正常(chang)工作。在網(wang)絡中,非軍事區(DMZ)是指為(wei)不信(xin)任(ren)系統提供服務(wu)的(de)孤(gu)立網(wang)段,其目的(de)是把敏感的(de)內部網(wang)絡和(he)其他提供訪(fang)問服務(wu)的(de)網(wang)絡分(fen)開,阻(zu)止(zhi)內網(wang)和(he)外(wai)網(wang)直(zhi)接(jie)通信(xin),以保證內網(wang)安(an)全。
DMZ主機服務配置
1、運作機理
DMZ提(ti)供(gong)的(de)服務是經(jing)過(guo)了地(di)址轉換(NAT)和受安(an)全(quan)規(gui)則限(xian)制的(de),以達到隱蔽(bi)真實地(di)址、控制訪問的(de)功能。首先要根據將要提(ti)供(gong)的(de)服務和安(an)全(quan)策(ce)略(lve)建立一個(ge)清晰的(de)網絡拓撲(pu),確定DMZ區(qu)應用服務器的(de)IP和端口號以及數據流向。通(tong)(tong)常網絡通(tong)(tong)信(xin)(xin)流向為禁(jin)止外網區(qu)與(yu)內(nei)網區(qu)直(zhi)接通(tong)(tong)信(xin)(xin),DMZ區(qu)既(ji)可(ke)與(yu)外網區(qu)進行通(tong)(tong)信(xin)(xin),也(ye)可(ke)以與(yu)內(nei)網區(qu)進行通(tong)(tong)信(xin)(xin),受安(an)全(quan)規(gui)則限(xian)制。
2、地址轉換
DMZ區服務(wu)(wu)(wu)器與內網(wang)區、外網(wang)區的(de)(de)通信是經過(guo)網(wang)絡(luo)地址(zhi)(zhi)轉換(huan)(huan)(huan)(NAT)實現(xian)的(de)(de)。網(wang)絡(luo)地址(zhi)(zhi)轉換(huan)(huan)(huan)用于將(jiang)一(yi)個地址(zhi)(zhi)域(如專用Intranet)映射(she)(she)到另(ling)一(yi)個地址(zhi)(zhi)域(如Internet),以達到隱藏專用網(wang)絡(luo)的(de)(de)目的(de)(de)。DMZ區服務(wu)(wu)(wu)器對(dui)內服務(wu)(wu)(wu)時映射(she)(she)成內網(wang)地址(zhi)(zhi),對(dui)外服務(wu)(wu)(wu)時映射(she)(she)成外網(wang)地址(zhi)(zhi)。采用靜態映射(she)(she)配(pei)置網(wang)絡(luo)地址(zhi)(zhi)轉換(huan)(huan)(huan)時,服務(wu)(wu)(wu)用IP和真實IP要一(yi)一(yi)映射(she)(she),源地址(zhi)(zhi)轉換(huan)(huan)(huan)和目的(de)(de)地址(zhi)(zhi)轉換(huan)(huan)(huan)都必須要有(you)。
3、安全規則制定
安(an)全規(gui)則(ze)集(ji)是安(an)全策略的(de)(de)(de)技術實(shi)現,一(yi)個可靠、高效的(de)(de)(de)安(an)全規(gui)則(ze)集(ji)是實(shi)現一(yi)個成功、安(an)全的(de)(de)(de)防(fang)火墻的(de)(de)(de)非(fei)常關鍵的(de)(de)(de)一(yi)步(bu)。如(ru)果防(fang)火墻規(gui)則(ze)集(ji)配置錯(cuo)誤(wu)(wu),再(zai)好(hao)的(de)(de)(de)防(fang)火墻也只是擺設。在(zai)建立規(gui)則(ze)集(ji)時必須注意規(gui)則(ze)次序(xu)(xu)(xu),因為防(fang)火墻大(da)多以(yi)順序(xu)(xu)(xu)方(fang)式檢查信(xin)息包(bao),同(tong)樣的(de)(de)(de)規(gui)則(ze),以(yi)不同(tong)的(de)(de)(de)次序(xu)(xu)(xu)放(fang)置,可能(neng)會(hui)完(wan)全改變防(fang)火墻的(de)(de)(de)運(yun)轉情況。如(ru)果信(xin)息包(bao)經過每一(yi)條(tiao)規(gui)則(ze)而沒有發現匹配,這個信(xin)息包(bao)便會(hui)被(bei)(bei)拒(ju)絕(jue)。一(yi)般來說,通常的(de)(de)(de)順序(xu)(xu)(xu)是,較特殊的(de)(de)(de)規(gui)則(ze)在(zai)前,較普通的(de)(de)(de)規(gui)則(ze)在(zai)后,防(fang)止在(zai)找到一(yi)個特殊規(gui)則(ze)之前一(yi)個普通規(gui)則(ze)便被(bei)(bei)匹配,避免防(fang)火墻被(bei)(bei)配置錯(cuo)誤(wu)(wu)。
DMZ安(an)全(quan)規則指定(ding)了非軍事區(qu)內(nei)的(de)(de)某一主機(IP地(di)址)對(dui)(dui)應的(de)(de)安(an)全(quan)策略(lve)。由于DMZ區(qu)內(nei)放置的(de)(de)服務(wu)器主機將提供公共服務(wu),其地(di)址是公開的(de)(de),可以(yi)被外部網的(de)(de)用戶訪問(wen),所以(yi)正確設置DMZ區(qu)安(an)全(quan)規則對(dui)(dui)保證網絡安(an)全(quan)是十分(fen)重要的(de)(de)。
FireGate可(ke)以根據數(shu)據包的(de)地址、協議(yi)和端口(kou)進行訪問(wen)控制。它(ta)將每(mei)個(ge)連接作為(wei)一個(ge)數(shu)據流,通過(guo)規則(ze)表與(yu)連接表共同配合(he),對網絡連接和會話的(de)當前狀態(tai)進行分析和監控。其用(yong)于(yu)過(guo)濾和監控的(de)IP包信息主要有(you):源IP地址、目的(de)IP地址、協議(yi)類型(xing)(IP、ICMP、TCP、UDP)、源TCP/UDP端口(kou)、目的(de)TCP/UDP端口(kou)、ICMP報(bao)文類型(xing)域和代碼域、碎片包和其他標(biao)志位(wei)(如SYN、ACK位(wei))等(deng)。
為了讓DMZ區(qu)的(de)應(ying)用(yong)服務(wu)(wu)器能與內網中(zhong)DB服務(wu)(wu)器(服務(wu)(wu)端(duan)口4004、使用(yong)TCP協議)通(tong)信,需增(zeng)加DMZ區(qu)安(an)(an)全規則(ze), 這樣(yang)一個基于DMZ的(de)安(an)(an)全應(ying)用(yong)服務(wu)(wu)便配置好了。其他(ta)的(de)應(ying)用(yong)服務(wu)(wu)可根據安(an)(an)全策略逐(zhu)個配置。
申明:以上內容源于程序系統索引或網民分享提供,僅供您參考使用,不代表本網站的研究觀點,請注意甄別內容來源的真實性和權威性。