DMZ原理和应用
本文作者:Lemon本文属于安全脉搏原创金币奖励计划转载请参考:https://www.secpulse.com/archives/61458.htmlDMZ是英文"demilitarize…
作者:柠檬
本文属于安全脉冲原始金币奖励计划
转载请参考:https://www.com/archives/61458.html
DMZ是英语“非军事区”的缩写,中文名称是“隔离区”,也称为“非军事区”。解决安装防火墙后外部网络无法访问内部网络服务器,并在非安全系统和安全系统之间建立缓冲区的问题。此缓冲区位于企业内部网络与外部网络之间的小型网络区域中。在这个小型网络区域中,您可以放置一些必须公开的服务器设施,例如企业Web服务器,FTP服务器和论坛。另一方面,通过这样的DMZ区域,内部网络得到更有效的保护,因为与通用防火墙方案相比,这种网络部署对攻击者具有额外的级别。
通用网络分为内部网和外部网,即LAN和WAN。然后,当您在一个物理位置有1个服务器时,您需要被外部网络访问,当您也被内部网访问时,则有2个方法是一个放在LAN上,一个放在DMZ上。由于防火墙默认设计用于保护内部网络,因此一般策略是禁止外部网络访问内部网络并允许内部网络访问外部网络。但是,如果外部网络可以访问服务器,则表示服务器已处于不可信状态,则服务器无法(主动)访问Intranet。因此,如果服务器位于Intranet上(通过端口重定向访问外部网络),一旦服务器受到攻击,Intranet将处于非常不安全的状态。
但是DMZ是让外部网络访问内部资源,即服务器,而内部网也可以访问服务器,但服务器无法主动访问内部网。 DMZ就是这样一个区域。为了在Intranet上建立物理位置,并希望外部网络可以访问这样的区域。
使用这种技术的网络设备开发人员已经开发出相应的防火墙解决方案,称为“非军事区域结构模型”。 DMZ通常是过滤子网,DMZ构建内部网络和外部网络之间的安全区域。网络结构如下所示。
作为DMZ区域的典型应用图,用户将需要为内部和外部网络提供服务的Web,Mail,FTP和其他服务器放入防火墙的DMZ区域。通过合理的战略规划,保护DMZ中的服务器免受外部网络的入侵和破坏,不影响内部网络中的机密信息。 DMZ服务区就像一个障碍。外部网络服务器位于其中,为外部网络用户提供有效服务,同时确保内部网络的安全性。
DMZ防火墙解决方案为要保护的内部网络添加了安全线,通常被认为是非常安全的。同时,它提供了公共服务器的区域放置,这反过来有效地避免了暴露某些互连应用程序的需要,并且与内部安全策略相矛盾。在DMZ区域,它通常包括堡垒主机,调制解调器池和所有公共服务器,但应注意电子商务服务器只能用作用户连接,以及真正的电子商务背景数据需要放在内部网络上。
在此防火墙解决方案中,有两个防火墙,可抵御来自外部网络的攻击,并管理来自所有外部网络的DMZ访问。内部防火墙管理DMZ对内部网络的访问。内部防火墙是内部网络的第三条安全线(有一个外部防火墙和堡垒主机)。当外部防火墙发生故障时,它也可以保护内部网络。在LAN内部,Internet的访问由内部防火墙和位于DMZ中的堡垒主机控制。在这种结构中,黑客必须通过三个独立区域(外部防火墙,内部防火墙和堡垒主机)到达LAN。攻击难度大大增强,相应内部网络的安全性大大提高,但投资成本也最高。
DMZ应用
在由路由器连接的LAN中,我们可以将网络划分为三个区域:最高安全性LAN区域(内部网),中等安全性DMZ区域和最低安全性Internet区域(外部网络)。这三个地区针对不同的任务有不同的访问策略。在使用DMZ区域配置网络时,我们通常会定义以下访问控制策略来实现DMZ区域的屏障功能。
1. Intranet可以访问外部网络。
Intranet用户需要可以自由访问外部网络。在此策略中,防火墙需要执行NAT。
2,内联网可以访问DMZ
此策略允许Intranet用户使用或管理DMZ中的服务器。
3,外部网络无法访问内部网络
这是防火墙的基本策略。 Intranet存储公司的内部数据。显然,外部网络上的用户不允许访问数据。如果要访问,则必须通过VPN进行访问。
4,外部网络可以访问DMZ
DMZ中的服务器需要向外界提供服务,因此外部网络必须能够访问DMZ。同时,外部网络访问DMZ需要通过防火墙完成外部地址到服务器实际地址的转换。
5,DMZ无法访问内网
如果未强制执行此策略,则当入侵者破坏DMZ时,内部网络将不受保护。
6,DMZ无法访问外部网络
这种策略有例外。例如,在我们的示例中,将邮件服务器放置在DMZ中时,您需要访问外部网络,否则它将无法正常工作。
在DMZ技术之前,需要使用外部网络服务器的用户必须打开防火墙上的端口(即端口转发技术),以使Internet用户能够访问其外部网络服务器。显然,由于防火墙,这种方法将被打开到Internet。必要的端口会降低需要严密保护的Intranet区域的安全性。黑客只需要破坏外部网络服务器,然后整个内部网络完全崩溃。 DMZ区域的诞生正是为了解决需要建立外部网络服务器的用户的内部网络安全问题。
作者:柠檬
本文属于安全脉冲原始金币奖励计划
转载请参考:https://www.com/archives/61458.html
作为DMZ区域的典型应用图,用户将需要为内部和外部网络提供服务的Web,Mail,FTP和其他服务器放入防火墙的DMZ区域。通过合理的战略规划,保护DMZ中的服务器免受外部网络的入侵和破坏,不影响内部网络中的机密信息。 DMZ服务区就像一个障碍。外部网络服务器位于其中,为外部网络用户提供有效服务,同时确保内部网络的安全性。
DMZ防火墙解决方案为要保护的内部网络添加了安全线,通常被认为是非常安全的。同时,它提供了公共服务器的区域放置,这反过来有效地避免了暴露某些互连应用程序的需要,并且与内部安全策略相矛盾。在DMZ区域,它通常包括堡垒主机,调制解调器池和所有公共服务器,但应注意电子商务服务器只能用作用户连接,以及真正的电子商务背景数据需要放在内部网络上。
在此防火墙解决方案中,有两个防火墙,可抵御来自外部网络的攻击,并管理来自所有外部网络的DMZ访问。内部防火墙管理DMZ对内部网络的访问。内部防火墙是内部网络的第三条安全线(有一个外部防火墙和堡垒主机)。当外部防火墙发生故障时,它也可以保护内部网络。在LAN内部,Internet的访问由内部防火墙和位于DMZ中的堡垒主机控制。在这种结构中,黑客必须通过三个独立区域(外部防火墙,内部防火墙和堡垒主机)到达LAN。攻击难度大大增强,相应内部网络的安全性大大提高,但投资成本也最高。
DMZ应用
在由路由器连接的LAN中,我们可以将网络划分为三个区域:最高安全性LAN区域(内部网),中等安全性DMZ区域和最低安全性Internet区域(外部网络)。这三个地区针对不同的任务有不同的访问策略。在使用DMZ区域配置网络时,我们通常会定义以下访问控制策略来实现DMZ区域的屏障功能。
1. Intranet可以访问外部网络。
Intranet用户需要可以自由访问外部网络。在此策略中,防火墙需要执行NAT。
2,内联网可以访问DMZ
此策略允许Intranet用户使用或管理DMZ中的服务器。
3,外部网络无法访问内部网络
这是防火墙的基本策略。 Intranet存储公司的内部数据。显然,外部网络上的用户不允许访问数据。如果要访问,则必须通过VPN进行访问。
4,外部网络可以访问DMZ
DMZ中的服务器需要向外界提供服务,因此外部网络必须能够访问DMZ。同时,外部网络访问DMZ需要通过防火墙完成外部地址到服务器实际地址的转换。
5,DMZ无法访问内网
如果未强制执行此策略,则当入侵者破坏DMZ时,内部网络将不受保护。
6,DMZ无法访问外部网络
这种策略有例外。例如,在我们的示例中,将邮件服务器放置在DMZ中时,您需要访问外部网络,否则它将无法正常工作。
在DMZ技术之前,需要使用外部网络服务器的用户必须打开防火墙上的端口(即端口转发技术),以使Internet用户能够访问其外部网络服务器。显然,由于防火墙,这种方法将被打开到Internet。必要的端口会降低需要严密保护的Intranet区域的安全性。黑客只需要破坏外部网络服务器,然后整个内部网络完全崩溃。 DMZ区域的诞生正是为了解决需要建立外部网络服务器的用户的内部网络安全问题。
作者:柠檬
本文属于安全脉冲原始金币奖励计划
转载请参考:https://www.com/archives/61458.html
- 发表于 2017-11-03 08:00
- 阅读 ( 608 )
- 分类:黑客技术
