DMZ主機控制策略

1、內網可以訪問外網

內網(wang)的用戶顯然需要自由地訪問外網(wang)。在這一策(ce)略中，防火墻需要進(jin)行源地址(zhi)轉換。

2、內網可以訪問DMZ

此(ci)策略是為了方便內網用戶使用和管理DMZ中的服(fu)務器。

3、外網不能訪問內網

很顯(xian)然(ran)，內網(wang)中存放的(de)是(shi)公司內部(bu)數(shu)據(ju)，這些數(shu)據(ju)不(bu)允許(xu)外網(wang)的(de)用戶進(jin)行(xing)訪問。

該圖片由注冊用戶"科技數碼行"提供，版權聲明反饋

4、外網可以訪問DMZ

DMZ中的(de)服務器(qi)(qi)本身就(jiu)是要給外界提供(gong)服務的(de)，所(suo)以外網(wang)必須(xu)可以訪問(wen)(wen)DMZ。同(tong)時，外網(wang)訪問(wen)(wen)DMZ需要由防火墻完成對外地(di)(di)址(zhi)到服務器(qi)(qi)實(shi)際地(di)(di)址(zhi)的(de)轉換。

5、DMZ不能訪問內網

很明顯，如(ru)果違背此(ci)策略(lve)，則當入侵者攻陷DMZ時，就可以進(jin)一步進(jin)攻到內網的重(zhong)要數據。

6、DMZ不能訪問外網

此(ci)條(tiao)策略也有例外，比如DMZ中放置郵件服務器時，就需要訪問外網(wang)(wang)，否則將不(bu)能(neng)正常(chang)工作。在網(wang)(wang)絡(luo)中，非(fei)軍事區(DMZ)是(shi)指為不(bu)信任系統提供服務的(de)孤立網(wang)(wang)段(duan)，其目的(de)是(shi)把敏(min)感的(de)內部(bu)網(wang)(wang)絡(luo)和其他提供訪問服務的(de)網(wang)(wang)絡(luo)分(fen)開，阻止(zhi)內網(wang)(wang)和外網(wang)(wang)直接通信，以保證內網(wang)(wang)安全。

DMZ主機服務配置

1、運作機理

DMZ提供(gong)的(de)服務(wu)是經過了地址轉(zhuan)換（NAT）和受安全(quan)規則限制(zhi)的(de)，以達到隱蔽真實地址、控(kong)制(zhi)訪(fang)問的(de)功能。首先要根據(ju)將要提供(gong)的(de)服務(wu)和安全(quan)策(ce)略建立一個清晰的(de)網(wang)(wang)絡拓撲，確(que)定DMZ區(qu)(qu)應用服務(wu)器的(de)IP和端口號(hao)以及數據(ju)流向。通(tong)常(chang)網(wang)(wang)絡通(tong)信流向為(wei)禁止外網(wang)(wang)區(qu)(qu)與(yu)(yu)內網(wang)(wang)區(qu)(qu)直接通(tong)信，DMZ區(qu)(qu)既可(ke)與(yu)(yu)外網(wang)(wang)區(qu)(qu)進(jin)行通(tong)信，也(ye)可(ke)以與(yu)(yu)內網(wang)(wang)區(qu)(qu)進(jin)行通(tong)信，受安全(quan)規則限制(zhi)。

2、地址轉換

DMZ區(qu)服(fu)(fu)務(wu)器(qi)與內網(wang)(wang)區(qu)、外(wai)網(wang)(wang)區(qu)的(de)通信(xin)是經(jing)過網(wang)(wang)絡地(di)(di)(di)址(zhi)(zhi)轉(zhuan)(zhuan)換(huan)(huan)（NAT）實(shi)現的(de)。網(wang)(wang)絡地(di)(di)(di)址(zhi)(zhi)轉(zhuan)(zhuan)換(huan)(huan)用(yong)于將一(yi)個(ge)地(di)(di)(di)址(zhi)(zhi)域（如(ru)(ru)專用(yong)Intranet）映(ying)射到另一(yi)個(ge)地(di)(di)(di)址(zhi)(zhi)域（如(ru)(ru)Internet），以達到隱藏專用(yong)網(wang)(wang)絡的(de)目的(de)。DMZ區(qu)服(fu)(fu)務(wu)器(qi)對內服(fu)(fu)務(wu)時(shi)(shi)映(ying)射成內網(wang)(wang)地(di)(di)(di)址(zhi)(zhi)，對外(wai)服(fu)(fu)務(wu)時(shi)(shi)映(ying)射成外(wai)網(wang)(wang)地(di)(di)(di)址(zhi)(zhi)。采用(yong)靜態映(ying)射配置網(wang)(wang)絡地(di)(di)(di)址(zhi)(zhi)轉(zhuan)(zhuan)換(huan)(huan)時(shi)(shi)，服(fu)(fu)務(wu)用(yong)IP和真實(shi)IP要一(yi)一(yi)映(ying)射，源地(di)(di)(di)址(zhi)(zhi)轉(zhuan)(zhuan)換(huan)(huan)和目的(de)地(di)(di)(di)址(zhi)(zhi)轉(zhuan)(zhuan)換(huan)(huan)都(dou)必須要有。

3、安全規則制定

安(an)全(quan)(quan)(quan)規(gui)(gui)(gui)則(ze)(ze)(ze)集是(shi)安(an)全(quan)(quan)(quan)策略的技術實(shi)(shi)現(xian)(xian)，一(yi)個(ge)(ge)(ge)可靠(kao)、高效的安(an)全(quan)(quan)(quan)規(gui)(gui)(gui)則(ze)(ze)(ze)集是(shi)實(shi)(shi)現(xian)(xian)一(yi)個(ge)(ge)(ge)成功、安(an)全(quan)(quan)(quan)的防(fang)(fang)火(huo)(huo)墻(qiang)(qiang)的非(fei)常關(guan)鍵的一(yi)步。如果防(fang)(fang)火(huo)(huo)墻(qiang)(qiang)規(gui)(gui)(gui)則(ze)(ze)(ze)集配置(zhi)(zhi)錯(cuo)誤(wu)，再好(hao)的防(fang)(fang)火(huo)(huo)墻(qiang)(qiang)也只是(shi)擺(bai)設。在建立規(gui)(gui)(gui)則(ze)(ze)(ze)集時必(bi)須注意規(gui)(gui)(gui)則(ze)(ze)(ze)次(ci)序(xu)，因為防(fang)(fang)火(huo)(huo)墻(qiang)(qiang)大多以(yi)(yi)順(shun)序(xu)方(fang)式檢查(cha)信息包，同樣的規(gui)(gui)(gui)則(ze)(ze)(ze)，以(yi)(yi)不同的次(ci)序(xu)放置(zhi)(zhi)，可能會(hui)完全(quan)(quan)(quan)改變防(fang)(fang)火(huo)(huo)墻(qiang)(qiang)的運轉情況。如果信息包經過每一(yi)條規(gui)(gui)(gui)則(ze)(ze)(ze)而(er)沒有(you)發現(xian)(xian)匹(pi)配，這個(ge)(ge)(ge)信息包便(bian)會(hui)被(bei)拒(ju)絕。一(yi)般來說，通(tong)常的順(shun)序(xu)是(shi)，較特殊的規(gui)(gui)(gui)則(ze)(ze)(ze)在前(qian)，較普通(tong)的規(gui)(gui)(gui)則(ze)(ze)(ze)在后，防(fang)(fang)止在找(zhao)到一(yi)個(ge)(ge)(ge)特殊規(gui)(gui)(gui)則(ze)(ze)(ze)之前(qian)一(yi)個(ge)(ge)(ge)普通(tong)規(gui)(gui)(gui)則(ze)(ze)(ze)便(bian)被(bei)匹(pi)配，避(bi)免(mian)防(fang)(fang)火(huo)(huo)墻(qiang)(qiang)被(bei)配置(zhi)(zhi)錯(cuo)誤(wu)。

DMZ安全規則指定了非軍(jun)事(shi)區內(nei)的某(mou)一主(zhu)機（IP地址）對(dui)應的安全策略(lve)。由于DMZ區內(nei)放置的服務器(qi)主(zhu)機將提供公共服務，其地址是(shi)(shi)公開的，可以(yi)(yi)被外部網(wang)的用戶訪問，所以(yi)(yi)正確設置DMZ區安全規則對(dui)保證網(wang)絡(luo)安全是(shi)(shi)十分重要的。

FireGate可以根據(ju)數據(ju)包的(de)地(di)址、協(xie)(xie)議和(he)(he)端口(kou)進行訪問控(kong)制。它(ta)將(jiang)每個(ge)連(lian)接(jie)(jie)作(zuo)為一(yi)個(ge)數據(ju)流，通過規則表(biao)與(yu)連(lian)接(jie)(jie)表(biao)共同(tong)配合，對(dui)網絡連(lian)接(jie)(jie)和(he)(he)會話的(de)當前狀態進行分析和(he)(he)監(jian)控(kong)。其(qi)用于(yu)過濾(lv)和(he)(he)監(jian)控(kong)的(de)IP包信息主要(yao)有：源IP地(di)址、目的(de)IP地(di)址、協(xie)(xie)議類(lei)(lei)型（IP、ICMP、TCP、UDP）、源TCP/UDP端口(kou)、目的(de)TCP/UDP端口(kou)、ICMP報文類(lei)(lei)型域和(he)(he)代碼域、碎(sui)片(pian)包和(he)(he)其(qi)他標(biao)志位（如SYN、ACK位）等。

為了(le)讓DMZ區的應用(yong)服務器(qi)能與內網中DB服務器(qi)（服務端(duan)口4004、使用(yong)TCP協(xie)議(yi)）通信，需增加DMZ區安(an)(an)全(quan)規則， 這樣(yang)一(yi)個(ge)基于DMZ的安(an)(an)全(quan)應用(yong)服務便配置好了(le)。其(qi)他的應用(yong)服務可根據安(an)(an)全(quan)策略逐個(ge)配置。