DMZ

點擊此處添加圖片說明DMZ是英文「demilitarized zone」的縮寫，中文名稱爲「隔離區」，也稱「非軍事化區」。它是爲了解決安裝防火牆後外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩衝區，這個緩衝區位於企業內部網絡和外部網絡之間的小網絡區域內，在這個小網絡區域內能夠放置一些必須公開的服務器設施，如企業Web服務器、FTP服務器和論壇等。另外一方面，經過這樣一個DMZ區域，更加有效地保護了內部網絡，由於這種網絡部署，比起通常的防火牆方案，對攻擊者來講又多了一道關卡。

網絡設備開發商，利用DMZ技術，開發出了相應的防火牆解 決方案。稱「非軍事區結構模式」。DMZ一般是一個過濾的子網，DMZ在內部網絡和外部網絡之間構造了一個安全地帶。 　　DMZ防火牆方案爲要保護的內部網絡增長了一道安全防線，一般認爲是很是安全的。同時它提供了 一個區域放置公共服務器，從而又能有效地避免一些互聯應用須要公開，而與內部安全策略相矛盾的狀況發生。在DMZ區域中一般包括堡壘主機、Modem池， 以及全部的公共服務器，但要注意的是電子商務服務器只能用做用戶鏈接，真正的電子商務後臺數 據須要放在內部網絡中。 　　在這個防火牆方案中，包括兩個防火牆，外部防火牆抵擋外部網絡的攻擊，並管理全部外部網絡對 DMZ的訪問。內部防火牆管理DMZ對於內部網絡的訪問。內部防火牆是內部網絡的第三道安全防線(前面有了外部防火牆和堡壘主機)，當外部防火牆失效的時 候，它還能夠起到保護內部網絡的功能。而局域網內部，對於Internet的訪問由內部防火牆和位於DMZ的堡壘主機控制。在這樣的結構裏，一個黑客必須經過三個獨立的區域(外部防火牆、內部防火牆和堡壘主機)纔可以到達局域網。攻擊難度大大增強，相應內部網絡的安全性也就大大增強，但投資成本也是最高的。 　　若是你的機器不提供網站或其餘的網絡服務的話不要設置．DMZ是把你電腦的全部端口開放到網絡 。

編輯本段一：什麼是DMZ

　 　DMZ(Demilitarized Zone)即俗稱的非軍事區，與軍事區和信任區相對應,做用是把WEB,e-mail,等容許外部訪問的服務器單獨接在該區端口，使整個須要保護的內部網 絡接在信任區端口後，不容許任何訪問，實現內外網分離，達到用戶需求。DMZ能夠理解爲一個不一樣於外網或內網的特殊網絡區域，DMZ內一般放置一些不含機密信息的公用服務器，好比Web、Mail、FTP等。這樣來自外網的訪問者能夠訪問DMZ中的服務，但不可能接觸到存放在內網中的公司機密或私人信息等，即便DMZ中服務器受到破壞，也不會對內網中的機密信息形成影響。

編輯本段二：爲何須要DMZ

　　在實際的運用中，某些主機需 要對外提供服務，爲了更好地提供服務，同時又要有效地保護內部網絡的安全，將這些須要對外開放的主機與內部的衆多網絡設備分隔開來，根據不一樣的須要，有針 對性地採起相應的隔離措施，這樣便能在對外提供友好的服務的同時最大限度地保護了內部網絡。針對不一樣資源提供不一樣安全級別的保護，能夠構建一個DMZ區 域，DMZ能夠爲主機環境提供網絡級的保護，能減小爲不信任客戶提供服務而引起的危險，是放置公共信息的最佳位置。在一個非DMZ系統中，內部網絡和主機 的安全一般並不如人們想象的那樣堅固，提供給Internet的服務產生了許多漏洞，使其餘主機極易受到攻擊。可是，經過配置DMZ，咱們能夠將須要保護 的Web應用程序服務器和數據庫系統放在內網中，把沒有包含敏感數據、擔當代理數據訪問職責的主機放置於DMZ中，這樣就爲應用系統安全提供了保障。DMZ使包含重要數據的內部系統免於直接暴露給外部網絡而受到攻擊，攻擊者即便初步入侵成功，還要面臨DMZ設置的新的障礙。

編輯本段三：DMZ網絡訪問控制策略

　　當規劃一個擁有DMZ的網絡時候,咱們能夠明確各個網絡之間的訪問關係,能夠肯定如下六條訪問控制策略。

1.內網能夠訪問外網

　　內網的用戶顯然須要自由地訪問外網。在這一策略中，防火牆須要進行源地址轉換。

2.內網能夠訪問DMZ

　　此策略是爲了方便內網用戶使用和管理DMZ中的服務器。

3.外網不能訪問內網

　　很顯然，內網中存放的是公司內部數據，這些數據不容許外網的用戶進行訪問。

4.外網能夠訪問DMZ

　　DMZ中的服務器自己就是要給外界提供服務的，因此外網必須能夠訪問DMZ。同時，外網訪問DMZ須要由防火牆完成對外地址到服務器實際地址的轉換。

5.DMZ不能訪問內網

　　很明顯，若是違背此策略，則當入侵者攻陷DMZ時，就能夠進一步進攻到內網的重要數據。

6.DMZ不能訪問外網

　　此條策略也有例外，好比DMZ中放置郵件服務器時，就須要訪問外網，不然將不能正常工做。在網絡中，非軍事區(DMZ)是指爲不信任系統提供服務的孤立網段，其目的是把敏感的內部網絡和其餘提供訪問服務的網絡分開，阻止內網和外網直接通訊，以保證內網安全。

編輯本段四：DMZ服務配置

　　DMZ提供的服務是通過了網絡地址轉換（NAT）和受安全規則限制的，以達到隱蔽真實地址、控制訪問的功能。首先要根據將要提供的服務和安全策略創建一個清晰的網絡拓撲，肯定DMZ區應用服務器的IP和端口號以及數據流向。一般網絡通訊流向爲禁止外網區與內網區直接通訊，DMZ區既可與外網區進行通訊，也能夠與內網區進行通訊，受安全規則限制。

1 地址轉換

　　DMZ區服務器與內網區、外網區的通訊是通過網絡地址轉換（NAT）實現的。網絡地址轉換用於將一個地址域（如專用Intranet）映射到另外一個地址域（如Internet），以達到隱藏專用網絡的目的。DMZ區服務器對內服務時映射成內網地址，對外服務時映射成外網地址。採用靜態映射配置網絡地址轉換時，服務用IP和真實IP要一一映射，源地址轉換和目的地址轉換都必需要有。

2 DMZ安全規則制定

　 　安全規則集是安全策略的技術實現，一個可靠、高效的安全規則集是實現一個成功、安全的防火牆的很是關鍵的一步。若是防火牆規則集配置錯誤，再好的防火牆 也只是擺設。在創建規則集時必須注意規則次序，由於防火牆大多以順序方式檢查信息包，一樣的規則，以不一樣的次序放置，可能會徹底改變防火牆的運轉狀況。如 果信息包通過每一條規則而沒有發現匹配，這個信息包便會被拒絕。通常來講，一般的順序是，較特殊的規則在前，較普通的規則在後，防止在找到一個特殊規則之 前一個普通規則便被匹配，避免防火牆被配置錯誤。 　　DMZ安全規則指定了非軍事區內的某一主機（IP地址）對應的安全策略。因爲DMZ區內放置的服務器主機將提供公共服務，其地址是公開的，能夠被外部 網的用戶訪問，因此正確設置DMZ區安全規則對保證網絡安全是十分重要的。 　　FireWall能夠根據數據包的地址、協議和端口進行訪問控制。它將每一個鏈接做爲一個數據 流，經過規則表與鏈接表共同配合，對網絡鏈接和會話的當前狀態進行分析和監控。其用於過濾和監控的IP包信息主要有：源IP地址、目的IP地址、協議類型 （IP、ICMP、TCP、UDP）、源TCP/UDP端口、目的TCP/UDP端口、ICMP報文類型域和代碼域、 碎片包和其餘標誌位（如SYN、ACK位）等。 　　爲了讓DMZ區的應用服務器能與內網中DB服務器（服務端口400四、使用TCP協議）通訊，需增長DMZ區安全規則， 這樣一個基於DMZ的安全應用服務便配置好了。其餘的應用服務可根據安全策略逐個配置。 　　DMZ無疑是網絡安全防護體系中重要組成部分，再加上入侵檢測和基於主機的其餘安全措施，將極大地提升公共服務及整個系統的安全性。