DMZ实施浅析

DMZ（Demilitarized Zone）即俗称的非军事区，是一个介于内网和外网之间的区域，DMZ内通常放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等，这样既提供了对外的服务，而又保证了内网的敏感机密数据的安全，现在网络上的主机的漏洞太多，几乎是防不胜防，而根据不同的需要，有针对性地采取相应的隔离措施，这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。而企业在安全方面的投入跟黑客那种忘我的疯狂是不成比例的，大多数企业的网络的安全性都不高，这种情况下DMZ的设定就尤其重要和迫切。原本很早就想做DMZ了，但一直除了email之外对外发布的服务都不多，所以就偷懒着，随着要求发布的服务的增加，这次搬家之后，正好是个机会实施DMZ，但实施的过程中，发现了一些困惑。

先说一下DMZ的设计原则：

1.内网可以访问外网：内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。
2.内网可以访问DMZ：此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网：很显然，内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问。
4.外网可以访问DMZ ：DMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ.同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网 ：很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。
6.DMZ不能访问外网 ：此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。在网络中，非军事区（DMZ）是指为不信任系统提供服务的孤立网段，其目的是把敏感的内部网络和其他提供访问服务的网络分开，阻止内网和外网直接通信，以保证内网安全。

1，2，3，4是显而易见的，6要看服务类型，如果是email，那必须能，其他都可以取消，这个在防火墙可以根据IP来定制策略，最大的问题出在规则 5上，为什么呢，公司采用的是Windows的Domain管理，Domain Controller作为核心的授权系统是必须放在内网的，而如果邮件系统采用的Exchange的话，那么跟域的整合就让这个规则5有了很大的问题，如果Exchange服务器不能访问DC那授权肯定不行，如果可以，那么就是有潜在的风险，偶的email服务器虽然没有用Exchange，但当年内网的设置方式让这台服务器也在域里，所有的backup和安全设置都跟域相关，而无法访问域控代表着这些东西都要调整。

DMZ中有很多web服务器的后台数据库是放在内网里的，那么这些web服务器对内网的数据库服务器也有访问的通道，暂且不论这些访问，例如端口等是否能够让黑客进行RPC注入等获得数据库服务器的访问权限，从严格的意义上来说这种方式也是跟访问域控一样违反了规则5，只是一个是广义的访问，而另一个则是严格的限制了资源，当然通过数据库访问通道攻破数据库服务器跟通过DC访问通道攻破DC是两个级别的事情，而DC的攻破对于盗取资源来说有着更大的意义，这样来说严格的DMZ设计是必须让这些服务和紧密相关的服务都独立出来进入DMZ，而现实中大家肯定因为资源，资金，时间和技术能力等进行很多折中了。

针对Web服务的调整是简单的，而且有成熟案例的，而email服务器的调整就要艰苦和繁复的多，看来这个DMZ没有个一两个月是稳定不下来啊。