DMZ主機控制策略

1、內網可以訪問外網

內(nei)網的(de)用戶顯然(ran)需要自由地(di)訪問(wen)外網。在這一策略中，防火(huo)墻需要進(jin)行源地(di)址轉換。

2、內網可以訪問DMZ

此策略是為了方便內網用(yong)戶使用(yong)和(he)管理DMZ中的(de)服務(wu)器(qi)。

3、外網不能訪問內網

很顯(xian)然(ran)，內網(wang)中存放的是(shi)公司(si)內部數據(ju)，這些數據(ju)不允許外網(wang)的用戶進行訪問。

該圖片由注冊用戶"科技數碼行"提供，版權聲明反饋

4、外網可以訪問DMZ

DMZ中的服(fu)務器本身(shen)就是要給外(wai)界提供服(fu)務的，所以外(wai)網必須可(ke)以訪(fang)問DMZ。同(tong)時，外(wai)網訪(fang)問DMZ需要由防(fang)火墻完成(cheng)對外(wai)地址到(dao)服(fu)務器實際地址的轉換。

5、DMZ不能訪問內網

很明顯，如果違背此策略，則當入侵者攻陷DMZ時，就可(ke)以進一步(bu)進攻到內網的重要數據。

6、DMZ不能訪問外網

此條策略也(ye)有例外(wai)，比如(ru)DMZ中放置郵(you)件(jian)服(fu)(fu)務器時，就需要訪(fang)問外(wai)網(wang)(wang)，否則(ze)將不能正常工作。在(zai)網(wang)(wang)絡中，非軍事區(DMZ)是指為不信(xin)任(ren)系統提(ti)供服(fu)(fu)務的孤立網(wang)(wang)段(duan)，其目的是把敏(min)感的內(nei)部(bu)網(wang)(wang)絡和其他提(ti)供訪(fang)問服(fu)(fu)務的網(wang)(wang)絡分開，阻止內(nei)網(wang)(wang)和外(wai)網(wang)(wang)直(zhi)接通信(xin)，以保證內(nei)網(wang)(wang)安全。

DMZ主機服務配置

1、運作機理

DMZ提供(gong)(gong)的(de)服(fu)(fu)務(wu)是經過了地址轉換(huan)（NAT）和(he)受(shou)安(an)全規則限制(zhi)(zhi)的(de)，以(yi)(yi)達到隱蔽真(zhen)實地址、控(kong)制(zhi)(zhi)訪問的(de)功能。首先要根據(ju)將要提供(gong)(gong)的(de)服(fu)(fu)務(wu)和(he)安(an)全策略建立一(yi)個(ge)清晰(xi)的(de)網(wang)絡拓(tuo)撲，確(que)定DMZ區應用服(fu)(fu)務(wu)器的(de)IP和(he)端口號以(yi)(yi)及數據(ju)流向(xiang)。通(tong)常網(wang)絡通(tong)信(xin)流向(xiang)為禁止外網(wang)區與內(nei)網(wang)區直接通(tong)信(xin)，DMZ區既可(ke)與外網(wang)區進行通(tong)信(xin)，也(ye)可(ke)以(yi)(yi)與內(nei)網(wang)區進行通(tong)信(xin)，受(shou)安(an)全規則限制(zhi)(zhi)。

2、地址轉換

DMZ區(qu)服(fu)務(wu)(wu)器(qi)(qi)與(yu)內網(wang)區(qu)、外(wai)網(wang)區(qu)的(de)通信是經過網(wang)絡地(di)址(zhi)(zhi)轉(zhuan)換(huan)(huan)（NAT）實現的(de)。網(wang)絡地(di)址(zhi)(zhi)轉(zhuan)換(huan)(huan)用(yong)(yong)(yong)于(yu)將一(yi)個地(di)址(zhi)(zhi)域(yu)（如專用(yong)(yong)(yong)Intranet）映(ying)射到另一(yi)個地(di)址(zhi)(zhi)域(yu)（如Internet），以(yi)達(da)到隱(yin)藏(zang)專用(yong)(yong)(yong)網(wang)絡的(de)目(mu)的(de)。DMZ區(qu)服(fu)務(wu)(wu)器(qi)(qi)對內服(fu)務(wu)(wu)時(shi)映(ying)射成(cheng)內網(wang)地(di)址(zhi)(zhi)，對外(wai)服(fu)務(wu)(wu)時(shi)映(ying)射成(cheng)外(wai)網(wang)地(di)址(zhi)(zhi)。采用(yong)(yong)(yong)靜(jing)態映(ying)射配置網(wang)絡地(di)址(zhi)(zhi)轉(zhuan)換(huan)(huan)時(shi)，服(fu)務(wu)(wu)用(yong)(yong)(yong)IP和真(zhen)實IP要一(yi)一(yi)映(ying)射，源地(di)址(zhi)(zhi)轉(zhuan)換(huan)(huan)和目(mu)的(de)地(di)址(zhi)(zhi)轉(zhuan)換(huan)(huan)都必須要有(you)。

3、安全規則制定

安全規(gui)則(ze)(ze)集是(shi)(shi)安全策(ce)略(lve)的(de)(de)(de)技術(shu)實(shi)現(xian)，一(yi)個(ge)(ge)可靠、高(gao)效的(de)(de)(de)安全規(gui)則(ze)(ze)集是(shi)(shi)實(shi)現(xian)一(yi)個(ge)(ge)成功、安全的(de)(de)(de)防(fang)(fang)火(huo)墻的(de)(de)(de)非常(chang)關鍵的(de)(de)(de)一(yi)步。如(ru)(ru)果防(fang)(fang)火(huo)墻規(gui)則(ze)(ze)集配(pei)(pei)置(zhi)錯誤，再好的(de)(de)(de)防(fang)(fang)火(huo)墻也只是(shi)(shi)擺設。在建(jian)立規(gui)則(ze)(ze)集時必(bi)須注意(yi)規(gui)則(ze)(ze)次(ci)(ci)序(xu)(xu)，因(yin)為防(fang)(fang)火(huo)墻大多(duo)以順序(xu)(xu)方式(shi)檢(jian)查信(xin)息包(bao)，同(tong)樣的(de)(de)(de)規(gui)則(ze)(ze)，以不同(tong)的(de)(de)(de)次(ci)(ci)序(xu)(xu)放(fang)置(zhi)，可能會完全改變防(fang)(fang)火(huo)墻的(de)(de)(de)運轉情況。如(ru)(ru)果信(xin)息包(bao)經過(guo)每一(yi)條規(gui)則(ze)(ze)而沒有發現(xian)匹配(pei)(pei)，這個(ge)(ge)信(xin)息包(bao)便會被(bei)拒絕。一(yi)般來說(shuo)，通(tong)常(chang)的(de)(de)(de)順序(xu)(xu)是(shi)(shi)，較特(te)殊(shu)的(de)(de)(de)規(gui)則(ze)(ze)在前，較普通(tong)的(de)(de)(de)規(gui)則(ze)(ze)在后，防(fang)(fang)止在找到一(yi)個(ge)(ge)特(te)殊(shu)規(gui)則(ze)(ze)之前一(yi)個(ge)(ge)普通(tong)規(gui)則(ze)(ze)便被(bei)匹配(pei)(pei)，避免防(fang)(fang)火(huo)墻被(bei)配(pei)(pei)置(zhi)錯誤。

DMZ安(an)(an)全(quan)規則指定(ding)了(le)非(fei)軍事區內(nei)(nei)的(de)(de)某一(yi)主機(ji)（IP地址(zhi)）對(dui)應(ying)的(de)(de)安(an)(an)全(quan)策略。由于DMZ區內(nei)(nei)放置(zhi)的(de)(de)服務(wu)器(qi)主機(ji)將提供(gong)公共服務(wu)，其(qi)地址(zhi)是公開的(de)(de)，可(ke)以被外部(bu)網(wang)的(de)(de)用(yong)戶訪問，所以正確設置(zhi)DMZ區安(an)(an)全(quan)規則對(dui)保證網(wang)絡安(an)(an)全(quan)是十(shi)分(fen)重要的(de)(de)。

FireGate可以根據(ju)(ju)數據(ju)(ju)包的(de)地(di)址(zhi)、協議和端(duan)口進行(xing)訪問(wen)控制。它將每個連接作為一(yi)個數據(ju)(ju)流(liu)，通(tong)過(guo)規則表與連接表共同配(pei)合，對(dui)網絡連接和會(hui)話的(de)當前狀態進行(xing)分(fen)析和監控。其用(yong)于過(guo)濾和監控的(de)IP包信息(xi)主要有：源IP地(di)址(zhi)、目(mu)的(de)IP地(di)址(zhi)、協議類(lei)型(xing)(xing)（IP、ICMP、TCP、UDP）、源TCP/UDP端(duan)口、目(mu)的(de)TCP/UDP端(duan)口、ICMP報文類(lei)型(xing)(xing)域和代(dai)碼(ma)域、碎片包和其他標志位（如(ru)SYN、ACK位）等(deng)。

為了(le)讓DMZ區的應用服務(wu)(wu)(wu)器(qi)能與內網中DB服務(wu)(wu)(wu)器(qi)（服務(wu)(wu)(wu)端口(kou)4004、使(shi)用TCP協議）通信，需增加(jia)DMZ區安(an)全規則， 這樣一(yi)個基(ji)于DMZ的安(an)全應用服務(wu)(wu)(wu)便配置好了(le)。其他的應用服務(wu)(wu)(wu)可根據安(an)全策略(lve)逐個配置。