DMZ是网络的一个区域(两个防火墙之间的空间被称为DMZ),介于外网与内网之间的一个特殊区域,既然说他特殊,就有他的特殊性,也成隔离区。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。
两个防火墙之间的空间被称为 DMZ。与 Internet 相比,DMZ 可以提供更高的安全性,但是其安全性比内部网络低。
DMZ 是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如企业 Web 服务器、FTP 服务器和论坛等。另一方面,通过这样一个 DMZ 区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。
概念
DMZ 是英文“Demilitarized Zone”的缩写,中文名称为“隔离区”,
与军事区和信任区相对应,也称“非军事化区”,是为了解决外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。作用是把单位的 FTP 服务器、E-Mail 服务器等允许外部访问的服务器单独部署在此区域,使整个需要保护的内部网络接在信任区后,不允许任何外部网络的直接访问,实现内外网分离,满足用户的安全需求。
DMZ 区可以理解为一个不同于外网或内网的特殊网络区域,DMZ 内通常放置一些不含机密信息的公用服务器,比如 WEB 服务器、E-Mail 服务器、FTP 服务器等。这样来自外网的访问者只可以访问 DMZ 中的服务,但不可能接触到存放在内网中的信息等,即使 DMZ 中服务器受到破坏,也不会对内网中的信息造成影响。DMZ 区是信息安全纵深防护体系的第一道屏障,在企事业单位整体信息安全防护体系中具有举足轻重的作用。
针对不同资源提供不同安全级别的保护,就可以考虑 构建一个 DMZ 区域。如右图所示,我们可以看到网络被划分为三个区域:安全级别最高的 LAN Area(内网),安全级别中等的 DMZ 区域和安全级别最低的 Internet 区域(外网)。右图是一个典型的 DMZ 区的构建图,用户将核心的、重要的,只为内部网络用户提供服务的服务器部署在内网,将 WEB 服务器、E-Mail 服务器、FTP 服务器等需要为内部和外部网络同时提供服务的服务器放置到防火墙后的 DMZ 区内。通过合理的策略规划,使 DMZ 中服务器既免受到来自外网络的入侵和破坏,也不会对内网中的机密信息造成影响。DMZ 服务区好比一道屏障,在其中放置外网服务器,在为外网用户提供服务的同时也有效地保障了内部网络的安全。
原理
将部分用于提供对外服务的服务器主机划分到一个特定的子网——DMZ 内,在 DMZ 的主机能与同处 DMZ 内的主机和外部网络的主机通信,而同内部网络主机的通信会被受到限制。这使 DMZ 的主机能被内部网络和外部网络所访问,而内部网络又能避免外部网络所得知。
DMZ 能提供对外部入侵的防护,但不能提供内部破坏的防护,如内部通信数据包分析和欺骗。
UniERM 具备内网访问 DMZ 区服务器的分析和控制。外网访问 DMZ 区服务器的分析和控制。
作用
在实际的运用中,某些主机需要对外提供服务,为了更好地提供服务,同时又要有效地保护内部网络的安全,将这些需要对外开放的主机与内部的众多网络设备分隔开来,根据不同的需要,有针对性地采取相应的隔离措施,这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。针对不同资源提供不同安全级别的保护,可以构建一个 DMZ 区域,DMZ 可以为主机环境提供网络级的保护,能减少为不信任客户提供服务而引发的危险,是放置公共信息的最佳位置。在一个非 DMZ 系统中,内部网络和主机的安全通常并不如人们想象的那样坚固,提供给 Internet 的服务产生了许多漏洞,使其他主机极易受到攻击。但是,通过配置 DMZ,我们可以将需要保护的 Web 应用程序服务器和数据库系统放在内网中,把没有包含敏感数据、担当代理数据访问职责的主机放置于 DMZ 中,这样就为应用系统安全提供了保障。DMZ 使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击,攻击者即使初步入侵成功,还要面临 DMZ 设置的新的障碍。
应用
在一个用路由器连接的局域网中,我们可以将网络划分为三个区域:安全级别最高的 LAN Area(内网),安全级别中等的 DMZ 区域和安全级别最低的 Internet 区域(外网)。三个区域因担负不同的任务而拥有不同的访问策略。我们在配置一个拥有 DMZ 区的网络的时候通常定义以下的访问控制策略以实现 DMZ 区的屏障功能。
1.内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2.内网可以访问 DMZ
此策略是为了方便内网用户使用和管理 DMZ 中的服务器。
3.外网不能访问内网
很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4.外网可以访问 DMZ
DMZ 中的服务器本身就是要给外界提供服务的,所以外网必须可以访问 DMZ。同时,外网访问 DMZ 需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ 访问内网有限制
很明显,如果违背此策略,则当入侵者攻陷 DMZ 时,就可以进一步进攻到内网的重要数据。
6.DMZ 不能访问外网
此条策略也有例外,比如 DMZ 中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。
在没有 DMZ 的技术之前,需要使用外网服务器的用户必须在其防火墙上面开放端口(就是 Port Forwarding 技术)使互联网的用户访问其外网服务器,显然,这种做法会因为防火墙对互联网开放了一些必要的端口降低了需要受严密保护的内网区域的安全性,黑客们只需要攻陷外网服务器,那么整个内部网络就完全崩溃了。DMZ 区的诞生恰恰为需用架设外网服务器的用户解决了内部网络的安全性问题。
服务配置
DMZ 提供的服务是经过了网络地址转换(NAT)和受安全规则限制的,以达到隐蔽真实地址、控制访问的功能。首先要根据将要提供的服务和安全策略建立一个清晰的网络拓扑,确定 DMZ 区应用服务器的 IP 和端口号以及数据流向。通常网络通信流向为禁止外网区与内网区直接通信,DMZ 区既可与外网区进行通信,也可以与内网区进行通信,受安全规则限制。
地址转换
DMZ 区服务器与内网区、外网区的通信是经过网络地址转换(NAT)实现的。网络地址转换用于将一个地址域(如专用 Internet)映射到另一个地址域(如 Internet),以达到隐藏专用网络的目的。DMZ 区服务器对内服务时映射成内网地址,对外服务时映射成外网地址。采用静态映射配置网络地址转换时,服务用 IP 和真实 IP 要一一映射,源地址转换和目的地址转换都必须要有。
DMZ 安全规则制定
安全规则集是安全策略的技术实现,一个可靠、高效的安全规则集是实现一个成功、安全的防火墙的非常关键的一步。如果防火墙规则集配置错误,再好的防火墙也只是摆设。在建立规则集时必须注意规则次序,因为防火墙大多以顺序方式检查信息包,同样的规则,以不同的次序放置,可能会完全改变防火墙的运转情况。如果信息包经过每一条规则而没有发现匹配,这个信息包便会被拒绝。一般来说,通常的顺序是,较特殊的规则在前,较普通的规则在后,防止在找到一个特殊规则之前一个普通规则便被匹配,避免防火墙被配置错误。
DMZ 安全规则指定了非军事区内的某一主机(IP 地址)对应的安全策略。由于 DMZ 区内放置的服务器主机将提供公共服务,其地址是公开的,可以被外部网的用户访问,所以正确设置 DMZ 区安全规则对保证网络安全是十分重要的。
FireWall 可以根据数据包的地址、协议和端口进行访问控制。它将每个连接作为一个数据流,通过规则表与连接表共同配合,对网络连接和会话的当前状态进行分析和监控。其用于过滤和监控的 IP 包信息主要有:源 IP 地址、目的 IP 地址、协议类型(IP、ICMP、TCP、UDP)、源 TCP/UDP 端口、目的 TCP/UDP 端口、ICMP 报文类型域和代码域、碎片包和其他标志位(如 SYN、ACK 位)等。
为了让 DMZ 区的应用服务器能与内网中 DB 服务器(服务端口 4004、使用 TCP 协议)通信,需增加 DMZ 区安全规则, 这样一个基于 DMZ 的安全应用服务便配置好了。其他的应用服务可根据安全策略逐个配置。
DMZ 无疑是网络安全防御体系中重要组成部分,再加上入侵检测和基于主机的其他安全措施,将极大地提高公共服务及整个系统的安全性。
