DMZ实施浅析

901views

DMZ(Demilitarized Zone)即俗称的非军事区,是一个介于内网和外网之间的区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等,这样既提供了对外的服务,而又保证了内网的敏感机密数据的安全,现在网络上的主机的漏洞太多,几乎是防不胜防,而根据不同的需要,有针对性地采取相应的隔离措施,这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。而企业在安全方面的投入跟黑客那种忘我的疯狂是不成比例的,大多数企业的网络的安全性都不高,这种情况下DMZ的设定就尤其重要和迫切。原本很早就想做DMZ了,但一直除了email之外对外发布的服务都不多,所以就偷懒着,随着要求发布的服务的增加,这次搬家之后,正好是个机会实施DMZ,但实施的过程中,发现了一些困惑。

先说一下DMZ的设计原则:

1.内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2.内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网
很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
——PDF 下载中心
Page 2 of 3
4.外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ.同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网
很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
6.DMZ不能访问外网
此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。

1.内网可以访问外网:内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2.内网可以访问DMZ:此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网:很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4.外网可以访问DMZ :DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ.同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网 :很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
6.DMZ不能访问外网 :此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。

1,2,3,4是显而易见的,6要看服务类型,如果是email,那必须能,其他都可以取消,这个在防火墙可以根据IP来定制策略,最大的问题出在规则 5上,为什么呢,公司采用的是Windows的Domain管理,Domain Controller作为核心的授权系统是必须放在内网的,而如果邮件系统采用的Exchange的话,那么跟域的整合就让这个规则5有了很大的问题,如果Exchange服务器不能访问DC那授权肯定不行,如果可以,那么就是有潜在的风险,偶的email服务器虽然没有用Exchange,但当年内网的设置方式让这台服务器也在域里,所有的backup和安全设置都跟域相关,而无法访问域控代表着这些东西都要调整。

DMZ中有很多web服务器的后台数据库是放在内网里的,那么这些web服务器对内网的数据库服务器也有访问的通道,暂且不论这些访问,例如端口等是否能够让黑客进行RPC注入等获得数据库服务器的访问权限,从严格的意义上来说这种方式也是跟访问域控一样违反了规则5,只是一个是广义的访问,而另一个则是严格的限制了资源,当然通过数据库访问通道攻破数据库服务器跟通过DC访问通道攻破DC是两个级别的事情,而DC的攻破对于盗取资源来说有着更大的意义,这样来说严格的DMZ设计是必须让这些服务和紧密相关的服务都独立出来进入DMZ,而现实中大家肯定因为资源,资金,时间和技术能力等进行很多折中了。

针对Web服务的调整是简单的,而且有成熟案例的,而email服务器的调整就要艰苦和繁复的多,看来这个DMZ没有个一两个月是稳定不下来啊。

相关的文章

2 Responses to “DMZ实施浅析”

Leave a Reply

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据