收藏
下载资源

dmz区域与防火墙技术简述

上传人:n**** 文档编号:89210093 上传时间:2019-05-21 格式:PDF 页数:11 大小:189.89KB
返回 下载 相关 举报
dmz区域与防火墙技术简述_第1页
第1页 / 共11页
dmz区域与防火墙技术简述_第2页
第2页 / 共11页
dmz区域与防火墙技术简述_第3页
第3页 / 共11页
dmz区域与防火墙技术简述_第4页
第4页 / 共11页
dmz区域与防火墙技术简述_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《dmz区域与防火墙技术简述》由会员分享,可在线阅读,更多相关《dmz区域与防火墙技术简述(11页珍藏版)》请在金锄头文库上搜索。

1、DMZ 区域与防火墙技术简述 整理: 本文主要介绍防火墙的一些经典应用拓扑结构及特殊应用配置。从中我们可以了解到 防火墙的一些具体应用方式,为我们配置自己企业防火墙的应用打下基础。当然这里所说 的防火墙仍是传统边界防火墙,不包括后面将要介绍的个人防火墙和分布式防火墙。 首先我们一起了解一下什么是 DMS 基本介绍 DMZ 是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化 区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一 个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的 小网络区域内,在这个小网

2、络区域内可以放置一些必须公开的服务器设施,如企业 Web 服务器、FTP 服务器和论坛等。“DMZ”区域是内网和外网均不能直接访问的一个区域, 多用于连接 WWW 服务器等公用服务器。另一方面,通过这样一个 DMZ 区域,更加有效 地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一 道关卡。 DMZ 主机 针对不同资源提供不同安全级别的保护,就可以考虑构建一个 DMZ 区域。DMZ 可以 理解为一个不同于外网或内网的特殊网络区域。 DMZ 内通常放置一些不含机密信息的公用 服务器,比如 Web、Mail、FTP 等。这样来自外网的访问者可以访问 DMZ 中的服务,但

3、不 可能接触到存放在内网中的公司机密或私人信息等。 即使 DMZ 中服务器受到破坏, 也不会 对内网中的机密信息造成影响。 当规划一个拥有 DMZ 的网络时候,我们可以明确各个网络之间的访问关系,可以确定以 清风读月 下六条访问控制策略: 1.内网可以访问外网 内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。 2.内网可以访问 DMZ 此策略是为了方便内网用户使用和管理 DMZ 中的服务器。 3.外网不能访问内网 很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。 4.外网可以访问 DMZ DMZ 中的服务器本身就是要给外界提供服务的,所以外网必须

4、可以访问 DMZ。同时, 外网访问 DMZ 需要由防火墙完成对外地址到服务器实际地址的转换。 5.DMZ 不能访问内网 很明显,如果违背此策略,则当入侵者攻陷 DMZ 时,就可以进一步进攻到内网的重要 数据。 6.DMZ 不能访问外网 此条策略也有例外,比如 DMZ 中放置邮件服务器时,就需要访问外网,否则将不能正 常工作。 应用 网络设备开发商,利用这一技术,开发出了相应的防火墙解决方案。称“非军事区结 构模式”。DMZ 通常是一个过滤的子网,DMZ 在内部网络和外部网络之间构造了一个安全 地带。 DMZ 防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是非常安全的。 同时它提供了一

5、个区域放置公共服务器,从而又能有效地避免一些互联应用需要公开,而 清风读月 与内部安全策略相矛盾的情况发生。在 DMZ 区域中通常包括堡垒主机、Modem 池,以及 所有的公共服务器,但要注意的是电子商务服务器只能用作用户连接,真正的电子商务后 台数据需要放在内部网络中。 分类 在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所 有内部网络对 DMZ 的访问。内部防火墙管理 DMZ 对于内部网络的访问。内部防火墙是内 部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时候, 它还可以起到保护内部网络的功能。而局域网内部,对于 Internet 的

6、访问由内部防火墙和 位于 DMZ 的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域(外部防 火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的安 全性也就大大加强,但投资成本也是最高的。 防火墙中的概念 网络安全中首先定义的区域是trust区域和untrust区域, 简单说就是一个是内网 (trust) , 是安全可信任的区域,一个是 internet,是不安全不可信的区域。防火墙默认情况下是阻 止从 untrust 到 trust 的访问,当有服务器在 trust 区域的时候,一旦出现需要对外提供服务 的时候就比较麻烦。 所以定义出一个 DMZ 的非

7、军事区域,让 trust 和 untrust 都可以访问的一个区域,即不 是绝对的安全,也不是绝对的不安全,这就是设计 DMZ 区域的核心思想。 下面介绍防火墙的几种典型应用拓扑结构。 一、防火墙的主要应用拓扑结构 边界防火墙虽然是传统的,但是它的应用最广,技术最为成熟。目前大多数企业网络 中所应用的都是边界防火墙。所以了解边界防火墙的应用对于掌握整个防火墙技术非常重 清风读月 要。 传统边界防火墙主要有以下四种典型的应用环境,它们分别是: 控制来自互联网对内部网络的访问 控制来自第三方局域网对内部网络的访问 控制局域网内部不同部门网络之间的访问 控制对服务器中心的网络访问 下面分别予以介绍。

8、 1、 控制来自互联网对内部网络的访问控制来自互联网对内部网络的访问 这是一种应用最广,也是最重要的防火墙应用环境。在这种应用环境下,防火墙主要 保护内部网络不遭受互联网用户(主要是指非法的黑客)的攻击。目前绝大多数企业、特别 是中小型企业,采用防火墙的目的就是这个。 在这种应用环境中,一般情况下防火墙网络可划分为三个不同级别的安全区域: 内部网络:这是防火墙要保护的对象,包括全部的企业内部网络设备及用户主机。这 个区域是防火墙的可信区域(这是由传统边界防火墙的设计理念决定的)。 外部网络:这是防火墙要防护的对象,包括外部互联网主机和设备。这个区域为防火 墙的非可信网络区域(也是由传统边界防火

9、墙的设计理念决定的)。 DMZ(非军事区):它是从企业内部网络中划分的一个小区域,在其中就包括内部网络 中用于公众服务的外部服务器,如 Web 服务器、邮件服务器、FTP 服务器、外部 DNS 服务 器等,它们都是为互联网提供某种信息服务。 在以上三个区域中,用户需要对不同的安全区域庙宇不同的安全策略。虽然内部网络 和 DMZ 区都属于企业内部网络的一部分,但它们的安全级别(策略)是不同的。对于要保护 的大部分内部网络,一般情况下禁止所有来自互联网用户的访问;而由企业内部网络划分 清风读月 出去的 DMZ 区,因需为互联网应用提供相关的服务,所以在一定程度上,没有内部网络限 制那么严格,如 W

10、eb 服务器通常是允许任何人进行正常的访问。或许有人问,这样的话, 这些服务器不是很容易初攻击,按原理来说是这样的,但是由于在这些服务器上所安装的 服务非常少,所允许的权限非常低,真正有服务器数据是在受保护的内部网络主机上,所 以黑客攻击这些服务器没有任何意义,既不能获取什么有用的信息,也不能通过攻击它而 获得过高的网络访问权限。 另外,建议通过 NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成 防火墙上设置的少数几个有效公网 IP 地址。这样有两个好处:一则可以对外屏蔽内部网络 构和 IP 地址,保护内部网络的安全;同时因为是公网 IP 地址共享,所以可以大大节省公 网 IP

11、 地址的使用,节省了企业投资成本。 在这种应用环境中,在网络拓扑结构上企事业单位可以有两种选择,这主要是根据单 位原有网络设备情况而定。 如果企业原来已有边界路由器,则此可充分利用原有设备,利用边界路由器的包过滤 功能,添加相应的防火墙配置,这样原来的路由器也就具有防火墙功能了。然后再利用防 火墙与需要保护的内部网络连接。 对于 DMZ 区中的公用服务器, 则可直接与边界路由器相 连,不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中,边界路由器与防 火墙就一起组成了两道安全防线, 并且在这两者之间可以设置一个 DMZ 区, 用来放置那些 允许外部用户访问的公用服务器设施。网络拓扑结构

12、如图 1 所示。 如果企业原来没有边界路由器,此时也可不再添加边界路由器,仅由防火墙来保护内 部网络。此时 DMZ 区域和需要保护的内部网络分别连接防火墙的不同 LAN 网络接口,因 此需要对这两部分网络设置不同的安全策略。这种拓扑结构虽然只有一道安全防线,但对 于大多数中、小企业来说是完全可以满足的。不过在选购防火墙时就要注意,防火墙一定 清风读月 要有两个以上的 LAN 网络接口。它与我们前面所介绍的“多宿主机”结构是一样的。这种应 用环境的网络拓扑结构如图 2 所示 图 1 图 2 2、 控制来自第三方网络对内部网络的访问控制来自第三方网络对内部网络的访问 这种应用主要是针对一些规模比较

13、大的企事业单位,它们的企业内部网络通常要与分 支机构、合作伙伴或供应商的局域网进行连接,或者是同一企业网络中存在多个子网。在 这种应用环境下,防火墙主要限制第三方网络(以上所说的其它单位局域网或本单位子网) 对内部网络的非授权访问。 在这种防火墙应用网络环境中, 根据企业是否需要非军事区(放置一些供第三方网络用 清风读月 户访问的服务器)可以有两种具体的网络配置方案: (1)需要 DMZ 区。这种情况是企业需要为第三方网络提供一些公用服务器,供日常访 问。这种网络环境与上面所介绍的限制互联网用户非法访问企业内部网络一样,整个网络 同样可分为三个区域: 内部网络:这是防火墙要保护的对象,包括全部

14、企业内部网络中需要保护的设备和用 户主机。为防火墙的可信网络区域,需对第三方用户透明隔离(透明是指“相当于不存在的” 意思)。 外部网络:防火墙要限制访问的对象,包括第三方网络主机和设备。为防火墙的非可 信网络区域。 DMZ(非军事区):由企业内部网络中一些外部服务器组成,包括公众 Web 服务器、邮 件服务器、FTP 服务器、外部 DNS 服务器等。这些公众服务器为第三方网络提供相应的网 络信息服务。 需要保护的内部网络和 DMZ 区的安全策略也是不同的: 需要保护的内部网络一般禁止 来自第三方的访问,而 DMZ 则是为第三方提供相关的服务,允许第三方的访问。 同样必要时可通过 NAT(网络

15、地址转换)对外屏蔽内部网络结构,保护内网安全。 我们仍考虑企业原有边界路由器设备,通过配置后它同样可以担当包过滤防火墙角色。 这时的 DMZ 区就可直接连接边界路由器的一个 LAN 接口上,而无需经过防火墙。而保护 内部网络通过防火墙与边界路由器连接。网络拓扑结构如图 3 所示。如果企业没有边界路 由器,则 DMZ 区和内部网络分别接在防火墙的两个不同的 LAN 接口上,构成多宿主机模 式。 (2)、 没有 DMZ 区:此应用环境下整个网络就只包括内部网络和外部网络两个区域。 清风读月 某些需要向第三方网络提供特殊服务的服务器或主机与需要保护的内部网络通过防火墙 的同一 LAN 接口连接,作为

16、内部网络的一部分,只是通过防火墙配置对第三方开放内部网 络中特定的服务器/主机资源。网络拓扑结构如图 4 所示。但要注意的是,这种配置可能带 来极大的安全隐患,因为来自第三方网络中的攻击者可能破坏和控制对他们开放的内部服 务器/主机,并以此为据点,进而破坏和攻击内部网络中的其它主机/服务器等网络资源。 以上是考虑了企业是否需要 DMZ 区的两种情况。 与上面介绍的对互联网用户访问控制 的应用环境一样,在这种应用环境中,同样可以考虑企业单位原来是否已有边界路由器。 这种应用环境下,企业同样可以没有边界路由器。如果没有边界路由器,则须把如图 3 和 图 4 所示网络拓扑结构按如图 2 所示进行相应的改变,此时如图 3 和图 4 所示网络中,防 火墙须直接与第三方网络连接,DMZ 区与受保护的内部网络分别连接防火墙的两个不同的 LAN 接口。不过要注意,如图 3 所示的网络结构中,DMZ 区就相当于没有任何保护,其实 也称不上“DMZ 区”,所以在企业没有边界路由器的情况下,通常不采用如图 3 所示网络结 构,而是采用图 4 所示结构,把一些安全级别相对较低的服务器

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号