怎樣在不同網(wǎng)絡(luò)安全需求下創(chuàng)建DMZ區(qū)的4種常用方法

安全區(qū)的定義在建立安全網(wǎng)絡(luò)過程中起著至關(guān)重要的作用。DMZ (Demilitarized Zone)是網(wǎng)絡(luò)安全中最重要的分區(qū)術(shù)語。因為DMZ包含設(shè)備性質(zhì),所以將其同網(wǎng)絡(luò)的其他部分分隔開來。這些設(shè)備通常是需要從公共網(wǎng)絡(luò)上去訪問的服務(wù)器,不允許在它們所在的區(qū)域?qū)崿F(xiàn)太嚴(yán)格的安全策略,因而需要分離開來。
DMZ通常是駐留于專用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間的一個子網(wǎng),從公共網(wǎng)絡(luò)的連接到DMZ設(shè)備終止:這些服務(wù)器也經(jīng)常被相對安全的專用網(wǎng)絡(luò)設(shè)備訪問。
創(chuàng)建DMZ的方法有很多,怎樣創(chuàng)建DMZ有賴于網(wǎng)絡(luò)的安全需求,創(chuàng)建DMZ的最常用的方法如下4種。
一、使用防火墻創(chuàng)建DMZ
這種方法使用一個有3個接口的防火墻去創(chuàng)建隔離區(qū),每個隔離區(qū)成為這個防火墻接口的一員。防火墻提供區(qū)與區(qū)之間的隔離。這種機制提供了許多關(guān)于DMZ安全的控制。圖1顯示了怎樣使用一個防火墻創(chuàng)建DMZ一個防火墻也可以有多個接口,允許創(chuàng)建多個DMZ。此種方式是創(chuàng)建DMZ最常用的方法。
使用防火墻創(chuàng)建DMZ
二、在防火墻之外的公共網(wǎng)絡(luò)和防火墻之間創(chuàng)建DMZ
在這種配置中,DMZ暴露在防火墻的公共面一側(cè)。通過防火墻的流量,首先要通過DMZ。一般情況下不推薦這種配置,因為DMZ中能夠用來控制設(shè)備安全的控制非常少。這些設(shè)備實際上是公共區(qū)域的一部分,它們自身并沒有受到真正的保護(hù)。圖2顯示了創(chuàng)建DMZ的方法。
防火墻之夕隨公共網(wǎng)絡(luò)和防火墻之間創(chuàng)建DMZ
三、在防火墻之外且不在公共網(wǎng)絡(luò)和防火墻之間創(chuàng)建DMZ
這種類型的配置同第二種方法類似(如圖3所示),僅有的區(qū)別是:這里的DMZ不是位于防火墻和公共網(wǎng)絡(luò)之間,而是位于連接防火墻同公共網(wǎng)絡(luò)的邊緣路由器的一個隔離接口。這種類型的配置向DMZ網(wǎng)絡(luò)中的設(shè)備提供了非常小的安全性,但是這種配置使防火墻有從未保護(hù)和易受攻擊的DMZ網(wǎng)絡(luò)的隔離性。這種配置中的邊緣路由器能夠用于拒絕所有從DMZ子網(wǎng)到防火墻所在的子網(wǎng)的訪問。并且,隔離的VLAN能夠允許防火墻所在的子網(wǎng)和DMZ子網(wǎng)間有第二層的隔離。當(dāng)位于DMZ子網(wǎng)的主機受到危害,并且攻擊者開始使用這個主機對防火墻和網(wǎng)絡(luò)發(fā)動更進(jìn)一步攻擊的情形下這類型的配置是有用的。
在防火墻之外且不在公共網(wǎng)絡(luò)和防火墻之間的創(chuàng)建DMZ
四、在層疊防火墻之間創(chuàng)建DMZ
在這種機制(如圖4所示)下,兩個防火墻層疊放置,訪問專用網(wǎng)絡(luò)時,所有的流量必須經(jīng)過兩個層疊防火墻,兩個防火墻之間的網(wǎng)絡(luò)用作DMZ。由于DMZ前面的防火墻使它獲得了大量的安全性,但是它的缺陷是所有專用網(wǎng)絡(luò)到公共網(wǎng)絡(luò)之間的數(shù)據(jù)流必須經(jīng)過DMZ,一個被攻陷的DMZ設(shè)備能夠使攻擊者以不同的方法阻截和攻擊這個流量??梢栽诜阑饓χg設(shè)置專用VLAN減輕這種風(fēng)險。
分區(qū)是安全設(shè)計中的一個重要概念,使用設(shè)計良好的DMZ隔離方法,在一個低安全區(qū)設(shè)備受損時,包含在替他區(qū)域設(shè)備受損的風(fēng)險也很小。
在層疊防火墻之間創(chuàng)建DMZ
相關(guān)文章
- 從事網(wǎng)絡(luò)安全工作,手上自然離不開一些重要的網(wǎng)絡(luò)安全工具,今天就為大家分享10大網(wǎng)絡(luò)安全工具,需要的朋友可以參考下2023-10-05
- 這篇為大家分享的是近幾年比較流量的安全檢測工具,從事網(wǎng)絡(luò)安全工作,手上自然離不開一些重要的網(wǎng)絡(luò)安全工具,今天就為大家分享10大網(wǎng)絡(luò)安全工具2023-10-05
- 如今小編從事了信息安全的工作,也算是將興趣升級成了工作,今天給大家聊聊那些年非?;鸬暮诳蛙浖?/div> 2023-10-05這篇文章主要介紹了如果不使用殺毒軟件保護(hù),您可能會面臨最常見的問題,2020-02-03這篇文章主要介紹了分享幾個IDS開源系統(tǒng),需要的朋友可以參考下2019-12-01
微信域名防封技術(shù) 微信域名總是被屏蔽被攔截該如何解決
身在網(wǎng)站要想在微信端被使用,多多少少都會有預(yù)防被攔截,是專門為運營網(wǎng)站和公眾號的運營者一個研究的工具幾十你是正常網(wǎng)站,也是公司企業(yè)備案,照樣也會被攔截,下面 給大2019-09-15企業(yè)數(shù)據(jù)防泄密之舉措:電腦文件加密軟件還是電腦數(shù)據(jù)防泄密系統(tǒng)?
現(xiàn)在很多單位局域網(wǎng)都是無紙化辦公,公司很多商業(yè)機密信息也是以電子文檔的方式存儲,那么電腦文件加密軟件還是電腦數(shù)據(jù)防泄密系統(tǒng)?下面就跟隨小編一起來了解一下2019-04-24公司數(shù)據(jù)防泄密方案之如何防止電腦文件泄露、公司電腦防止資料泄露?
公司日常辦公都是通過計算機網(wǎng)絡(luò)進(jìn)行,員工日常工作中形成的重要文件都是存儲在各自的電腦上,那么公司如何防止商業(yè)機密泄露、防止電腦資料泄露呢?本文就來詳細(xì)的介紹一下2019-04-24迅雷鏈技術(shù)專家深度剖析:區(qū)塊鏈信任之源的秘密
區(qū)塊鏈無疑是2018年的熱門技術(shù)。雖然,區(qū)塊鏈技術(shù)最受關(guān)注的應(yīng)用主要在金融服務(wù)領(lǐng)域,其實它越來越多地影響著各個行業(yè),迅雷鏈底層研發(fā)工程師張驍就區(qū)塊鏈安全問題和密碼學(xué)2018-12-26迅雷鏈開放平臺研發(fā)負(fù)責(zé)人張慧勇對區(qū)塊鏈安全問題的特點做了詳細(xì)解釋,介紹了目前區(qū)塊鏈所面臨的安全問題現(xiàn)狀、區(qū)塊鏈安全問題的特點,以及迅雷鏈?zhǔn)侨绾巫霭踩牡讓釉O(shè)計的2018-12-26最新評論