欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

怎樣在不同網(wǎng)絡(luò)安全需求下創(chuàng)建DMZ區(qū)的4種常用方法

  發(fā)布時(shí)間:2013-08-22 15:28:16   作者:佚名   我要評(píng)論
DMZ (Demilitarized Zone)是網(wǎng)絡(luò)安全中最重要的分區(qū)術(shù)語(yǔ),因?yàn)镈MZ包含設(shè)備性質(zhì),所以將其同網(wǎng)絡(luò)的其他部分分隔開(kāi)來(lái),創(chuàng)建DMZ的方法有很多,怎樣創(chuàng)建DMZ有賴(lài)于網(wǎng)絡(luò)的安全需求,創(chuàng)建DMZ的最常用的方法如下4種

安全區(qū)的定義在建立安全網(wǎng)絡(luò)過(guò)程中起著至關(guān)重要的作用。DMZ (Demilitarized Zone)是網(wǎng)絡(luò)安全中最重要的分區(qū)術(shù)語(yǔ)。因?yàn)镈MZ包含設(shè)備性質(zhì),所以將其同網(wǎng)絡(luò)的其他部分分隔開(kāi)來(lái)。這些設(shè)備通常是需要從公共網(wǎng)絡(luò)上去訪問(wèn)的服務(wù)器,不允許在它們所在的區(qū)域?qū)崿F(xiàn)太嚴(yán)格的安全策略,因而需要分離開(kāi)來(lái)。

DMZ通常是駐留于專(zhuān)用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間的一個(gè)子網(wǎng),從公共網(wǎng)絡(luò)的連接到DMZ設(shè)備終止:這些服務(wù)器也經(jīng)常被相對(duì)安全的專(zhuān)用網(wǎng)絡(luò)設(shè)備訪問(wèn)。

創(chuàng)建DMZ的方法有很多,怎樣創(chuàng)建DMZ有賴(lài)于網(wǎng)絡(luò)的安全需求,創(chuàng)建DMZ的最常用的方法如下4種。

一、使用防火墻創(chuàng)建DMZ

這種方法使用一個(gè)有3個(gè)接口的防火墻去創(chuàng)建隔離區(qū),每個(gè)隔離區(qū)成為這個(gè)防火墻接口的一員。防火墻提供區(qū)與區(qū)之間的隔離。這種機(jī)制提供了許多關(guān)于DMZ安全的控制。圖1顯示了怎樣使用一個(gè)防火墻創(chuàng)建DMZ一個(gè)防火墻也可以有多個(gè)接口,允許創(chuàng)建多個(gè)DMZ。此種方式是創(chuàng)建DMZ最常用的方法。

使用防火墻創(chuàng)建DMZ
使用防火墻創(chuàng)建DMZ

二、在防火墻之外的公共網(wǎng)絡(luò)和防火墻之間創(chuàng)建DMZ

在這種配置中,DMZ暴露在防火墻的公共面一側(cè)。通過(guò)防火墻的流量,首先要通過(guò)DMZ。一般情況下不推薦這種配置,因?yàn)镈MZ中能夠用來(lái)控制設(shè)備安全的控制非常少。這些設(shè)備實(shí)際上是公共區(qū)域的一部分,它們自身并沒(méi)有受到真正的保護(hù)。圖2顯示了創(chuàng)建DMZ的方法。

防火墻之夕隨公共網(wǎng)絡(luò)和防火墻之間創(chuàng)建DMZ
防火墻之夕隨公共網(wǎng)絡(luò)和防火墻之間創(chuàng)建DMZ

三、在防火墻之外且不在公共網(wǎng)絡(luò)和防火墻之間創(chuàng)建DMZ

這種類(lèi)型的配置同第二種方法類(lèi)似(如圖3所示),僅有的區(qū)別是:這里的DMZ不是位于防火墻和公共網(wǎng)絡(luò)之間,而是位于連接防火墻同公共網(wǎng)絡(luò)的邊緣路由器的一個(gè)隔離接口。這種類(lèi)型的配置向DMZ網(wǎng)絡(luò)中的設(shè)備提供了非常小的安全性,但是這種配置使防火墻有從未保護(hù)和易受攻擊的DMZ網(wǎng)絡(luò)的隔離性。這種配置中的邊緣路由器能夠用于拒絕所有從DMZ子網(wǎng)到防火墻所在的子網(wǎng)的訪問(wèn)。并且,隔離的VLAN能夠允許防火墻所在的子網(wǎng)和DMZ子網(wǎng)間有第二層的隔離。當(dāng)位于DMZ子網(wǎng)的主機(jī)受到危害,并且攻擊者開(kāi)始使用這個(gè)主機(jī)對(duì)防火墻和網(wǎng)絡(luò)發(fā)動(dòng)更進(jìn)一步攻擊的情形下這類(lèi)型的配置是有用的。

在防火墻之外且不在公共網(wǎng)絡(luò)和防火墻之間的創(chuàng)建DMZ
在防火墻之外且不在公共網(wǎng)絡(luò)和防火墻之間的創(chuàng)建DMZ

四、在層疊防火墻之間創(chuàng)建DMZ

在這種機(jī)制(如圖4所示)下,兩個(gè)防火墻層疊放置,訪問(wèn)專(zhuān)用網(wǎng)絡(luò)時(shí),所有的流量必須經(jīng)過(guò)兩個(gè)層疊防火墻,兩個(gè)防火墻之間的網(wǎng)絡(luò)用作DMZ。由于DMZ前面的防火墻使它獲得了大量的安全性,但是它的缺陷是所有專(zhuān)用網(wǎng)絡(luò)到公共網(wǎng)絡(luò)之間的數(shù)據(jù)流必須經(jīng)過(guò)DMZ,一個(gè)被攻陷的DMZ設(shè)備能夠使攻擊者以不同的方法阻截和攻擊這個(gè)流量??梢栽诜阑饓χg設(shè)置專(zhuān)用VLAN減輕這種風(fēng)險(xiǎn)。

分區(qū)是安全設(shè)計(jì)中的一個(gè)重要概念,使用設(shè)計(jì)良好的DMZ隔離方法,在一個(gè)低安全區(qū)設(shè)備受損時(shí),包含在替他區(qū)域設(shè)備受損的風(fēng)險(xiǎn)也很小。

在層疊防火墻之間創(chuàng)建DMZ
在層疊防火墻之間創(chuàng)建DMZ

相關(guān)文章

最新評(píng)論