内外网的交流安全(DMZ,网闸,防火墙)

最新推荐文章于 2024-04-23 22:47:07 发布
最新推荐文章于 2024-04-23 22:47:07 发布
阅读量5.2k 收藏 34
点赞数 8
分类专栏: 计算机网络 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40398985/article/details/107786550
版权

汇总与修改自以下参考资料
https://www.xianjichina.com/news/details_88937.html
https://baike.baidu.com/item/防火墙/52767?fr=aladdin
https://www.cnblogs.com/xingyunblog/articles/10900211.html
https://www.cnblogs.com/leii/articles/12207977.html
https://www.imaschina.com/article/5890.html
七层协议:https://www.cnblogs.com/zhaobao1830/p/10257590.html

文章目录

DMZ

DMZ隔离区(demilitarized zone)内通常放置一些不含机密信息的公用服务器,比如 WEB 服务器、E-Mail 服务器、FTP 服务器等
1.内网可以访问外网:防火墙进行源地址转换,即指定对外的IP地址使得内网的多部主机可以通过一个有效的公网ip地址访问外部网络。
2.内网可以访问DMZ:使得内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网
4.外网可以访问DMZ:DMZ中的服务器本身就是要给外界提供服务的,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网:防止入侵DMZ后获取内网数据
6.DMZ不能访问外网:特别的,DMZ中放置邮件服务器时,就需要访问外网。

GAP

网闸(GAP)在两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息才可以通过。采用双主机+隔离硬件实现,内外网无直接的物理连接。
网闸工作在链路层上断开,通过对硬件上的存储芯片的读写,完成数据的交换。所以其具备数据库、文件同步、定制开发接口功能,且不存在内外网之间的会话。
安全隔离网闸使用私有协议,不支持传统网络结构的所有协议如TCPUDP、ICMP等从而规避协议本身的漏洞。
物理隔离卡并不等于网闸,其只能提供一台计算机在两个网之间切换,并且需要手动操作。

FireWall

防火墙用于单主机系统,大多数防火墙工作在网络层,也可以在传输与应用层工作,保证网络层安全的边界安全工具如DMZ。其直接进行数据包转发,基本上只支持浏览、邮件功能。具有加密与病毒预防机制。

过滤型防火墙:在网络层与传输层中,可以基于数据源头的地址以及协议类型等标志特征进行分析,确定是否可以通过。
应用代理防火墙:位于应用层之上,完全隔离网络通信流,通过特定的代理程序就可以实现对应用层的监督与控制。

桥接模式:正常的客户端请求通过防火墙送达服务器,服务器将响应返回给客户端。工作在桥模式下的防火墙没有IP地址,当对网络进行扩容时无需对网络地址进行重新规划,但牺牲了路由、VPN等功能。
网关模式:网关模式适用于内外网不在同一网段的情况,防火墙设置网关地址实现路由器的功能,为不同网段进行路由转发。
NAT模式:NAT(Network Address Translation)由防火墙对内部网络的IP地址进行地址翻译,使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数据流量返回到防火墙后,防火墙再将目的地址替换为内部网络的源地址。
实现外部网络访问内部网络服务的需求时,还可以使用地址/端口映射(MAP)技术,在防火墙上进行地址/端口映射配置,当外部网络用户需要访问内部服务时,防火墙将请求映射到内部服务器上;当内部服务器返回相应数据时,防火墙再将数据转发给外部网络。

堡垒机

切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。
主要实现了身份认证,账号管理,访问控制,操作审计的功能。

IDS

入侵检测系统(intrusion detection system)是一个监听设备,无须网络流量流经它便可以工作。因此IDS应当挂接在所有所关注流量都必须流经的链路上。"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

异常行为检测:要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵。
误用行为检测:将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。

基于标志的检测技术:定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。
基于异常的检测技术:CPU利用率、内存利用率、文件校验和等系统运行时的数值与所定义的“正常”情况比较。

IPS

入侵防御系统(IPS: Intrusion Prevention System)能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

IRS

入侵响应系统(Intrusion Response Systems) 位于防火墙和网络的设备之间,依靠对数据包的检测进行防御,能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

小结

对于双主机的内外网,使用网闸保证安全隔离+防火墙连通安全
对于单主机的内外网,使用隔离卡切换网络+DMZ隔离内外网+防火墙内外网防护
对于网络管理审计,使用IDS网络检测+IPS危险预防+IRS响应不良状态+堡垒机用户管理

eunsummeo
关注
  • 8
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
信息安全技术基础:防火墙DMZ区域.pptx
11-01
信息安全技术基础
DMZ及其设置相关
瑞风轻拂
12-21 9852
1.什么是DMZDMZ网络的一个区域,介于外网内网之间的一个特殊区域,既然说他特殊,就有他的特殊性,也成隔离区,,在传统意义上,安装了防火墙后,外部网络是不能访问内部网络的,要不还要防火墙干啥,假如说外部网络想要访问内部网络,比如内部网络有台WEB主机,对外提供服务,就得解决安装防火墙之后的矛盾了,一般情况下,外部网络访问内部网络有两种方法:一,主机放在内部网络LAN中,在路由器或者
DMZ区域 网络安全
global_coding的博客
02-01 479
DMZ区域
防火墙设置DMZ归类.pdf
02-09
防火墙设置DMZ归类.pdf
飞塔防火墙DMZ配置
10-17
飞塔防火墙DMZ配置,让你远离病毒和攻击
选用单防火墙DMZ还是双防火墙DMZ
03-03
你已经接受了这种想法,就是使用隔离区(DMZ)为你的机器提供更多的安全和强大的保护功能,而不是简单地在你的整个网络前面使用一个传统的防火墙。这对你会有好处,但是,仍存在一个问题:你会采用简单的路由并在你的单一的防火墙外面设置一个隔离区吗?或者采用两个防火墙并且在两个防火墙之间设置一个隔离区,这样增加额外的开支提供最大的保护值得吗?
P8 - 防火墙内网外网DMZ
Yummy的博客
05-14 4224
【软考-软件设计师-历年真题-2013年上半年上午基础知识】 防火墙通常分为内网外网DMZ三个区域,按照受保护程序,从高到低正确的排列次序为(8)。 (8)A.内网外网DMZ B.外网内网DMZ C.DMZ内网外网 D.内网DMZ外网 【答案】D 【解析】本题考查防火墙的基础知识。 通过防火墙我们可以将网络划分为三个区域:安全级别最高的LAN Area (内网), 安全级别中等的DMZ区域和安全级别最低的Internet区域(外网)。三个区域因担负不同的任务而拥有不同的访问
dmz可以访问内网吗_网络安全:如何使互联网用户访问DMZ区服务器,需要做哪些配置?...
weixin_39680121的博客
11-24 4026
本示例介绍如何配置DNAT规则。通过DNAT规则,将内部服务器的地址转换为公网IP地址,供互联网用户访问。如下图所示,某公司内部服务器FTP服务器为外网用户提供FTP服务。通过DNAT规则,隐藏FTP服务器的内网IP地址,替换为一个互联网IP地址,从而使互联网用户能够直接访问,并且的避免服务器受到外网的攻击。步骤一:配置接口1.配置连接内网服务器的接口。选择“网络 > 接口”,双击ether...
dmz如何获取内网数据_前端如何优雅的使用jsonp获取接口数据
weixin_29168393的博客
01-18 617
点击上方“蓝字”,发现更多精彩。在进行前后端分离项目开发过程中,我们会不可避免的在一些情况下需要进行数据跨域请求,而最常见的就是jsonp方式,先说说jsonp基本原理,用大白话来讲,就是说你将一个js文件去外部引入到页面,不管那个js地址是本地还是远程cdn在线的,我们都是可以引入进来直接使用的,跨域情况下最突出特点就是你在地址栏输入接口地址,是可以拿到后端返回数据的的,但实际去用aj...
ssh 怎么通过跳板机传文件到内网_内网渗透 | 域渗透实操ATT&CK
weixin_39639653的博客
11-22 345
0x01 Build UpGoal:目标域控存在一份重要文件。network建议DMZ的web双网卡:一个桥接一个VMnet2。其他的全部是VMnet2。network配置VMnet2配置如上图。ip信息看到分配成功然后互相ping一下没问题就ok了。说明一下,是黑盒测试所以不提供网络拓扑,只给出DMZ的ip。0x02 DMZ0x2.1 Admin Loginindex可以看到Writt...
内网安全-记一次内网靶机渗透
kali_Ma的博客
02-24 5847
所涉及到的知识点: 1、WEB安全-漏洞发现及利用 2、系统安全-权限提升(漏洞&配置&逃逸) 3、内网安全-横向移动(口令传递&系统漏洞) 实战演练-ATT&CK实战系列-红队评估 环境下载: http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ 利用资源: https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP https://github.com/briskets
DMZ区域与防火墙技术简述汇编.pdf
12-01
DMZ区域与防火墙技术简述汇编.pdf
【项目实战】堡垒机、DMZ防火墙有什么区别?
本本本添哥
07-21 726
堡垒机是一种【网络安全设备】 ,一种安全服务器,用于加强网络安全的服务器。堡垒机是指在网络中放置的一个独立的安全设备,用于加固网络安全性。防火墙是一种【网络安全设备】,用于监控和控制数据包在网络中的流动。防火墙是一种用于保护网络免受未经授权的访问和恶意攻击的网络安全设备或软件。DMZ不是【网络安全设备】DMZ意为非军事化区,是一种位于网络边界的区域DMZ是一个隔离的网络子网(网络区域),通常包含了承载公网服务的服务器(对外提供服务的服务器),例如Web服务器、邮件服务器等。
网络隔离下实现文件传输交换,你的方式真的安全吗?
文件数据安全交换
08-08 1104
随着企业对网络安全的重视程度提高、越来越多的企业在网络建设上进行了网络隔离。所谓网络隔离,即是指两个或两个以上的计算机或网络在断开连接的基础上,实现信息交换和资源共享
外网数据交换需确保传输内容合规
文件数据安全交换
08-26 736
越来越多的企业正面临一个重要问题:如何保护企业核心数据资产? 绝大多数企业都在内部实施了内外网分离,互联网内网隔离,生产网与办公网隔离,办公网与研发网隔离,以确保企业信息安全。然而,在通过网闸DMZ区、双网云桌面等方式实现内外网分离后,企业又会面临一系列新的问题: 1、数据难以进行相互传输,只能通过拷贝的形式,比如机密信息不允许拷贝却被人随意拷贝走了,一旦出现数据被篡改、被泄露等...
防火墙实验(实现trust、untrust、DMZ区域互通)
weixin_64311421的博客
03-17 4150
通了之后在浏览器上输入192.168.81.2,输入用户密码。先给交换机LSW1接口配置划分VLAN2和VLAN3。分别在server1 和server3上测试是否成功。用LSW1上ping 防火墙10.1.255.2。在PC1上ping 10.1.255.2。在交换机上配置vlan10 vlan11。修改g1/0/2和g1/0/3连接类型。在FW1上配置一个静态路由。到这里区域内部都互通了。在LSW1上写个缺省路由。再在物理主机上ping。在server2上配置。先配置GE0/0/0。
家用路由器网络设置DMZ
weixin_30906671的博客
05-16 1369
2分钟看懂DMZ区 装载 原文链接 最近看到一个名词“DMZ区”,一直充满疑问,今天对其进行了查询,理解如下: 1、DMZ是什么? 英文全名“Demilitarized Zone”,中文含义是“隔离区”。在安全领域的具体含义是“内外网防火墙之间的区域”。 2、DMZ做什么? DMZ区是一个缓冲区,在DMZ区存放着一些公共服务器,比如论坛等。 用户要从外网访问到的服务,理论上都...
内网DMZ外网之间的访问规则
热门推荐
Bingo的博客
07-03 1万+
两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。 当规划一个拥有DMZ网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。 1. 内网可以访问外网内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。 2. 内网可以访问DMZ。 此策略是为了方便内网用户使用和管理DMZ中的..
TCP相关问题总结
最新发布
qq_62835094的博客
04-23 1208
假设TCP是两次握手,则可能会发生以下情况客户端发起TCP握手,向服务器发送SYN,但该数据因网络波动滞留此时触发超时重传,重新简历TCP连接当新建立的连接断开后,之前在网络中滞留的SYN连接请求传递到服务端,服务端误以为客户端需要建立TCP连接,因此会发送SYN+ACK请求,并进入连接建立状态,但客户端并不需要建立连接,不会发送数据,因此会造成服务端资源的浪费三次握手可以防止客户端无效连接信息再次到达服务器,导致重新连接之所以需要四次挥手,因为半关闭tcp通道允许双方互相发送数据,数据是双向流动的。
华为防火墙外网访问dmz
07-28
华为防火墙的配置中,外网访问DMZ的步骤如下: 1. 首先,需要创建DMZ域并将接口添加到该域中。可以使用以下命令创建DMZ域并添加接口: firewall zone name DMZ add interface GigabitEthernet 1/0/2 2. 接下来,需要将内网办公区(trust域)的接口添加到信任域中。可以使用以下命令将接口添加到trust域: firewall zone trust add interface GigabitEthernet 1/0/1 3. 最后,需要将外网接口添加到非信任域(untrust域)中。可以使用以下命令将接口添加到untrust域: firewall zone untrust add interface GigabitEthernet 1/0/3 通过以上配置,外网就可以访问DMZ中的服务器了。请注意,这只是配置的基本步骤,具体的配置可能会因网络环境和需求而有所不同。\[3\] #### 引用[.reference_title] - *1* [华为防火墙做出口网关](https://blog.csdn.net/m0_63775189/article/details/125884715)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [华为防火墙USG6000V---内网访问外网---外网访问内网服务器(NAT服务器)示例配置](https://blog.csdn.net/lehe99/article/details/127677628)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值