人就是不断的靠近,又不断的保持距离。
DMZ主机控制策略
1内网可以访问外网
内网的用户显然需要自由地访问外网在这一策略中防火墙需要进行源地址转换
2内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器
3外网不能访问内网
很显然内网中存放的是公司内部数据这些数据不允许外网的用户进行访问
4外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的所以外网必须可以访问DMZ同时外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换
5DMZ不能访问内网
很明显如果违背此策略则当入侵者攻陷DMZ时就可以进一步进攻到内网的重要数据
6DMZ不能访问外网
此条策略也有例外比如DMZ中放置邮件服务器时就需要访问外网否则将不能正常工作在网络中非军事区DMZ是指为不信任系统提供服务的孤立网段其目的是把敏感的内部网络和其他提供访问服务的网络分开阻止内网和外网直接通信以保证内网安全
DMZ主机服务配置
1运作机理
DMZ提供的服务是经过了地址转换(NAT)和受安全规则限制的以达到隐蔽真实地址控制访问的功能首先要根据将要提供的服务和安全策略建立一个清晰的网络拓扑确定DMZ区应用服务器的IP和端口号以及数据流向通常网络通信流向为禁止外网区与内网区直接通信DMZ区既可与外网区进行通信也可以与内网区进行通信受安全规则限制
2地址转换
DMZ区服务器与内网区外网区的通信是经过网络地址转换(NAT)实现的网络地址转换用于将一个地址域(如专用Intranet)映射到另一个地址域(如Internet)以达到隐藏专用网络的目的DMZ区服务器对内服务时映射成内网地址对外服务时映射成外网地址采用静态映射配置网络地址转换时服务用IP和真实IP要一一映射源地址转换和目的地址转换都必须要有
3安全规则制定
安全规则集是安全策略的技术实现一个可靠高效的安全规则集是实现一个成功安全的防火墙的非常关键的一步如果防火墙规则集配置错误再好的防火墙也只是摆设在建立规则集时必须注意规则次序因为防火墙大多以顺序方式检查信息包同样的规则以不同的次序放置可能会完全改变防火墙的运转情况如果信息包经过每一条规则而没有发现匹配这个信息包便会被拒绝一般来说通常的顺序是较特殊的规则在前较普通的规则在后防止在找到一个特殊规则之前一个普通规则便被匹配避免防火墙被配置错误
DMZ安全规则指定了非军事区内的某一主机(IP地址)对应的安全策略由于DMZ区内放置的服务器主机将提供公共服务其地址是公开的可以被外部网的用户访问所以正确设置DMZ区安全规则对保证网络安全是十分重要的
FireGate可以根据数据包的地址协议和端口进行访问控制它将每个连接作为一个数据流通过规则表与连接表共同配合对网络连接和会话的当前状态进行分析和监控其用于过滤和监控的IP包信息主要有源IP地址目的IP地址协议类型(IPICMPTCPUDP)源TCP/UDP端口目的TCP/UDP端口ICMP报文类型域和代码域碎片包和其他标志位(如SYNACK位)等
为了让DMZ区的应用服务器能与内网中DB服务器(服务端口4004使用TCP协议)通信需增加DMZ区安全规则 这样一个基于DMZ的安全应用服务便配置好了其他的应用服务可根据安全策略逐个配置
申明以上内容源于程序系统索引或网民分享提供仅供您参考使用不代表本网站的研究观点请注意甄别内容来源的真实性和权威性