知識點(diǎn)
DMZ的功用
發(fā)布日期:2019-05-07 瀏覽次數:1534
何為DMZ?
DMZ是英文“demilitarized zone”的縮寫(xiě),中文名稱(chēng)為“隔離區”,也稱(chēng)“非軍事化區”。
它是介于兩個(gè)防火墻之間的空間。與Internet相比,DMZ可以提供更高的安全性,但是其安全性比內部網(wǎng)絡(luò )低。
它是為了解決安裝防火墻后外部網(wǎng)絡(luò )的訪(fǎng)問(wèn)用戶(hù)不能訪(fǎng)問(wèn)內部網(wǎng)絡(luò )服務(wù)器的問(wèn)題,而設立的一個(gè)非安全系統與安全系統之間的緩沖區。該緩沖區位于企業(yè)內部網(wǎng)絡(luò )和外部網(wǎng)絡(luò )之間的小網(wǎng)絡(luò )區域內。在這個(gè)小網(wǎng)絡(luò )區域內可以放置一些必須公開(kāi)的服務(wù)器設施,如企業(yè)Web服務(wù)器、郵件服務(wù)器(Mail)、FTP服務(wù)器和論壇等。另一方面,通過(guò)這樣一個(gè)DMZ區域,更加有效地保護了內部網(wǎng)絡(luò )。因為這種網(wǎng)絡(luò )部署,比起一般的防火墻方案,對來(lái)自外網(wǎng)的攻擊者來(lái)說(shuō)又多了一道關(guān)卡。
由于開(kāi)放DMZ,同時(shí)開(kāi)放了所有端口,因此在DMZ內一般放置不含機密信息的公用服務(wù)器;這樣來(lái)自外網(wǎng)的訪(fǎng)問(wèn)者可以訪(fǎng)問(wèn)DMZ中的服務(wù),但不可能接觸到存放在內網(wǎng)中的公司機密或私人信息等,即使DMZ中服務(wù)器受到破壞,也不會(huì )對內網(wǎng)中的機密信息造成影響。
DMZ作用
在實(shí)際的運用中,某些主機需要對外提供服務(wù),為了更好地提供服務(wù),同時(shí)又要有效地保護內部網(wǎng)絡(luò )的安全,將這些需要對外開(kāi)放的主機與內部的眾多網(wǎng)絡(luò )設備分隔開(kāi)來(lái),根據不同的需要,有針對性地采取相應的隔離措施,這樣便能在對外提供友好的服務(wù)的同時(shí)最大限度地保護了內部網(wǎng)絡(luò )。針對不同資源提供不同安全級別的保護,可以構建一個(gè)DMZ區域,DMZ可以為主機環(huán)境提供網(wǎng)絡(luò )級的保護,能減少為不信任客戶(hù)提供服務(wù)而引發(fā)的危險,是放置公共信息的最佳位置。在一個(gè)非DMZ系統中,內部網(wǎng)絡(luò )和主機的安全通常并不如人們想象的那樣堅固,提供給Internet的服務(wù)產(chǎn)生了許多漏洞,使其他主機極易受到攻擊。但是,通過(guò)配置DMZ,我們可以將需要保護的Web應用程序服務(wù)器和數據庫系統放在內網(wǎng)中,把沒(méi)有包含敏感數據、擔當代理數據訪(fǎng)問(wèn)職責的主機放置于DMZ中,這樣就為應用系統安全提供了保障。DMZ使包含重要數據的內部系統免于直接暴露給外部網(wǎng)絡(luò )而受到攻擊,攻擊者即使初步入侵成功,還要面臨DMZ設置的新的障礙。
服務(wù)配置
DMZ提供的服務(wù)是經(jīng)過(guò)了網(wǎng)絡(luò )地址轉換(NAT)和受安全規則限制的,以達到隱蔽真實(shí)地址、控制訪(fǎng)問(wèn)的功能。首先要根據將要提供的服務(wù)和安全策略建立一個(gè)清晰的網(wǎng)絡(luò )拓撲,確定DMZ區應用服務(wù)器的IP和端口號以及數據流向。通常網(wǎng)絡(luò )通信流向為禁止外網(wǎng)區與內網(wǎng)區直接通信,DMZ區既可與外網(wǎng)區進(jìn)行通信,也可以與內網(wǎng)區進(jìn)行通信,受安全規則限制。
DMZ分類(lèi)
VMware的《在VMware基礎架構中實(shí)現DMZ虛擬化》白皮書(shū)指出,一個(gè)虛擬化的DMZ提供了與物理DMZ同樣程度的安全性,從而生成一個(gè)同樣安全的虛擬DMZ網(wǎng)絡(luò )。在過(guò)去幾年中,虛擬化技術(shù)的使用有著(zhù)長(cháng)足的增長(cháng);虛擬機(VM)現在已經(jīng)可以代替物理服務(wù)器。同樣的趨勢也發(fā)生在DMZ領(lǐng)域上,為了讓網(wǎng)絡(luò )保持正確的隔離及安全性,物理DMZ正在不斷被虛擬DMZ替代著(zhù)。
- 上一篇:USB接口分類(lèi)