域名主機(jī)
DMZ主機(jī)控制策略
1、內(nèi)網(wǎng)可以訪(fǎng)問(wèn)外網(wǎng)
內(nèi)網(wǎng)的用戶(hù)顯然需要自由地訪(fǎng)問(wèn)外網(wǎng),。在這一策略中,,防火墻需要進(jìn)行源地址轉(zhuǎn)換。
2,、內(nèi)網(wǎng)可以訪(fǎng)問(wèn)DMZ
此策略是為了方便內(nèi)網(wǎng)用戶(hù)使用和管理DMZ中的服務(wù)器,。
3、外網(wǎng)不能訪(fǎng)問(wèn)內(nèi)網(wǎng)
很顯然,,內(nèi)網(wǎng)中存放的是公司內(nèi)部數(shù)據(jù),,這些數(shù)據(jù)不允許外網(wǎng)的用戶(hù)進(jìn)行訪(fǎng)問(wèn)。
4,、外網(wǎng)可以訪(fǎng)問(wèn)DMZ
DMZ中的服務(wù)器本身就是要給外界提供服務(wù)的,,所以外網(wǎng)必須可以訪(fǎng)問(wèn)DMZ,。同時(shí),外網(wǎng)訪(fǎng)問(wèn)DMZ需要由防火墻完成對(duì)外地址到服務(wù)器實(shí)際地址的轉(zhuǎn)換,。
5,、DMZ不能訪(fǎng)問(wèn)內(nèi)網(wǎng)
很明顯,如果違背此策略,,則當(dāng)入侵者攻陷DMZ時(shí),,就可以進(jìn)一步進(jìn)攻到內(nèi)網(wǎng)的重要數(shù)據(jù)。
6,、DMZ不能訪(fǎng)問(wèn)外網(wǎng)
此條策略也有例外,,比如DMZ中放置郵件服務(wù)器時(shí),就需要訪(fǎng)問(wèn)外網(wǎng),,否則將不能正常工作,。在網(wǎng)絡(luò)中,非軍事區(qū)(DMZ)是指為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段,,其目的是把敏感的內(nèi)部網(wǎng)絡(luò)和其他提供訪(fǎng)問(wèn)服務(wù)的網(wǎng)絡(luò)分開(kāi),,阻止內(nèi)網(wǎng)和外網(wǎng)直接通信,以保證內(nèi)網(wǎng)安全,。
DMZ主機(jī)服務(wù)配置
1,、運(yùn)作機(jī)理
DMZ提供的服務(wù)是經(jīng)過(guò)了地址轉(zhuǎn)換(NAT)和受安全規(guī)則限制的,以達(dá)到隱蔽真實(shí)地址,、控制訪(fǎng)問(wèn)的功能,。首先要根據(jù)將要提供的服務(wù)和安全策略建立一個(gè)清晰的網(wǎng)絡(luò)拓?fù)洌_定DMZ區(qū)應(yīng)用服務(wù)器的IP和端口號(hào)以及數(shù)據(jù)流向,。通常網(wǎng)絡(luò)通信流向?yàn)榻雇饩W(wǎng)區(qū)與內(nèi)網(wǎng)區(qū)直接通信,,DMZ區(qū)既可與外網(wǎng)區(qū)進(jìn)行通信,也可以與內(nèi)網(wǎng)區(qū)進(jìn)行通信,,受安全規(guī)則限制。
2,、地址轉(zhuǎn)換
DMZ區(qū)服務(wù)器與內(nèi)網(wǎng)區(qū),、外網(wǎng)區(qū)的通信是經(jīng)過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)實(shí)現(xiàn)的。網(wǎng)絡(luò)地址轉(zhuǎn)換用于將一個(gè)地址域(如專(zhuān)用Intranet)映射到另一個(gè)地址域(如Internet),,以達(dá)到隱藏專(zhuān)用網(wǎng)絡(luò)的目的,。DMZ區(qū)服務(wù)器對(duì)內(nèi)服務(wù)時(shí)映射成內(nèi)網(wǎng)地址,對(duì)外服務(wù)時(shí)映射成外網(wǎng)地址,。采用靜態(tài)映射配置網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí),,服務(wù)用IP和真實(shí)IP要一一映射,源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換都必須要有,。
3,、安全規(guī)則制定
安全規(guī)則集是安全策略的技術(shù)實(shí)現(xiàn),,一個(gè)可靠、高效的安全規(guī)則集是實(shí)現(xiàn)一個(gè)成功,、安全的防火墻的非常關(guān)鍵的一步,。如果防火墻規(guī)則集配置錯(cuò)誤,再好的防火墻也只是擺設(shè),。在建立規(guī)則集時(shí)必須注意規(guī)則次序,,因?yàn)榉阑饓Υ蠖嘁皂樞蚍绞綑z查信息包,同樣的規(guī)則,,以不同的次序放置,,可能會(huì)完全改變防火墻的運(yùn)轉(zhuǎn)情況。如果信息包經(jīng)過(guò)每一條規(guī)則而沒(méi)有發(fā)現(xiàn)匹配,,這個(gè)信息包便會(huì)被拒絕,。一般來(lái)說(shuō),通常的順序是,,較特殊的規(guī)則在前,,較普通的規(guī)則在后,防止在找到一個(gè)特殊規(guī)則之前一個(gè)普通規(guī)則便被匹配,,避免防火墻被配置錯(cuò)誤,。
DMZ安全規(guī)則指定了非軍事區(qū)內(nèi)的某一主機(jī)(IP地址)對(duì)應(yīng)的安全策略。由于DMZ區(qū)內(nèi)放置的服務(wù)器主機(jī)將提供公共服務(wù),,其地址是公開(kāi)的,,可以被外部網(wǎng)的用戶(hù)訪(fǎng)問(wèn),所以正確設(shè)置DMZ區(qū)安全規(guī)則對(duì)保證網(wǎng)絡(luò)安全是十分重要的,。
FireGate可以根據(jù)數(shù)據(jù)包的地址,、協(xié)議和端口進(jìn)行訪(fǎng)問(wèn)控制。它將每個(gè)連接作為一個(gè)數(shù)據(jù)流,,通過(guò)規(guī)則表與連接表共同配合,,對(duì)網(wǎng)絡(luò)連接和會(huì)話(huà)的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。其用于過(guò)濾和監(jiān)控的IP包信息主要有:源IP地址,、目的IP地址,、協(xié)議類(lèi)型(IP、ICMP,、TCP,、UDP)、源TCP/UDP端口,、目的TCP/UDP端口,、ICMP報(bào)文類(lèi)型域和代碼域、碎片包和其他標(biāo)志位(如SYN,、ACK位)等,。
為了讓DMZ區(qū)的應(yīng)用服務(wù)器能與內(nèi)網(wǎng)中DB服務(wù)器(服務(wù)端口4004,、使用TCP協(xié)議)通信,需增加DMZ區(qū)安全規(guī)則,, 這樣一個(gè)基于DMZ的安全應(yīng)用服務(wù)便配置好了,。其他的應(yīng)用服務(wù)可根據(jù)安全策略逐個(gè)配置。
聲明:以上內(nèi)容源于程序系統(tǒng)索引或網(wǎng)民分享提供,,僅供您參考使用,,不代表本網(wǎng)站的研究觀(guān)點(diǎn),請(qǐng)注意甄別內(nèi)容來(lái)源的真實(shí)性和權(quán)威性,。申請(qǐng)刪除>> 糾錯(cuò)>>
阿里云
耕升
七彩虹
雷神