安全區(qū)的定義在建立安全網(wǎng)絡(luò)過程中起著至關(guān)重要的作用。DMZ (Demilitarized Zone)是網(wǎng)絡(luò)安全中最重要的分區(qū)術(shù)語。因為DMZ包含設(shè)備性質(zhì)，所以將其同網(wǎng)絡(luò)的其他部分分隔開來。這些設(shè)備通常是需要從公共網(wǎng)絡(luò)上去訪問的服務(wù)器，不允許在它們所在的區(qū)域?qū)崿F(xiàn)太嚴(yán)格的安全策略，因而需要分離開來。

DMZ通常是駐留于專用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間的一個子網(wǎng)，從公共網(wǎng)絡(luò)的連接到DMZ設(shè)備終止：這些服務(wù)器也經(jīng)常被相對安全的專用網(wǎng)絡(luò)設(shè)備訪問。

創(chuàng)建DMZ的方法有很多，怎樣創(chuàng)建DMZ有賴于網(wǎng)絡(luò)的安全需求，創(chuàng)建DMZ的最常用的方法如下4種。

一、使用防火墻創(chuàng)建DMZ

這種方法使用一個有3個接口的防火墻去創(chuàng)建隔離區(qū)，每個隔離區(qū)成為這個防火墻接口的一員。防火墻提供區(qū)與區(qū)之間的隔離。這種機制提供了許多關(guān)于DMZ安全的控制。圖1顯示了怎樣使用一個防火墻創(chuàng)建DMZ一個防火墻也可以有多個接口，允許創(chuàng)建多個DMZ。此種方式是創(chuàng)建DMZ最常用的方法。

使用防火墻創(chuàng)建DMZ

二、在防火墻之外的公共網(wǎng)絡(luò)和防火墻之間創(chuàng)建DMZ

在這種配置中，DMZ暴露在防火墻的公共面一側(cè)。通過防火墻的流量，首先要通過DMZ。一般情況下不推薦這種配置，因為DMZ中能夠用來控制設(shè)備安全的控制非常少。這些設(shè)備實際上是公共區(qū)域的一部分，它們自身并沒有受到真正的保護(hù)。圖2顯示了創(chuàng)建DMZ的方法。

防火墻之夕隨公共網(wǎng)絡(luò)和防火墻之間創(chuàng)建DMZ

三、在防火墻之外且不在公共網(wǎng)絡(luò)和防火墻之間創(chuàng)建DMZ

這種類型的配置同第二種方法類似(如圖3所示)，僅有的區(qū)別是：這里的DMZ不是位于防火墻和公共網(wǎng)絡(luò)之間，而是位于連接防火墻同公共網(wǎng)絡(luò)的邊緣路由器的一個隔離接口。這種類型的配置向DMZ網(wǎng)絡(luò)中的設(shè)備提供了非常小的安全性，但是這種配置使防火墻有從未保護(hù)和易受攻擊的DMZ網(wǎng)絡(luò)的隔離性。這種配置中的邊緣路由器能夠用于拒絕所有從DMZ子網(wǎng)到防火墻所在的子網(wǎng)的訪問。并且，隔離的VLAN能夠允許防火墻所在的子網(wǎng)和DMZ子網(wǎng)間有第二層的隔離。當(dāng)位于DMZ子網(wǎng)的主機受到危害，并且攻擊者開始使用這個主機對防火墻和網(wǎng)絡(luò)發(fā)動更進(jìn)一步攻擊的情形下這類型的配置是有用的。

在防火墻之外且不在公共網(wǎng)絡(luò)和防火墻之間的創(chuàng)建DMZ

四、在層疊防火墻之間創(chuàng)建DMZ

在這種機制(如圖4所示)下，兩個防火墻層疊放置，訪問專用網(wǎng)絡(luò)時，所有的流量必須經(jīng)過兩個層疊防火墻，兩個防火墻之間的網(wǎng)絡(luò)用作DMZ。由于DMZ前面的防火墻使它獲得了大量的安全性，但是它的缺陷是所有專用網(wǎng)絡(luò)到公共網(wǎng)絡(luò)之間的數(shù)據(jù)流必須經(jīng)過DMZ,一個被攻陷的DMZ設(shè)備能夠使攻擊者以不同的方法阻截和攻擊這個流量?？梢栽诜阑饓χg設(shè)置專用VLAN減輕這種風(fēng)險。

分區(qū)是安全設(shè)計中的一個重要概念，使用設(shè)計良好的DMZ隔離方法，在一個低安全區(qū)設(shè)備受損時，包含在替他區(qū)域設(shè)備受損的風(fēng)險也很小。

在層疊防火墻之間創(chuàng)建DMZ

最新評論