DMZ:网络防御带
- 两个防火墙之间的网络防御带被称为非军事化区域(DMZ)。DMZ的目的是要在其中建立一个保护区来运行公用服务器(或服务),并将这个区域同专用局域网的制余部分相隔离。如果DMZ中的一个服务器被入侵了,那个服务器同局域网依然是相隔的:运行于其他DMZ服务器的网关防火墙和堡垒防火墙提供对被入侵服务器的防护。
- DMZ区称为“隔离区”,也称为“非军事化区”。
- 为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。通过DMZ区,更加有效的保护了内部网络。
- 在DMZ区域中通常包括堡垒主机,Modem池,以及所有的公共服务器(注:电子商务服务器只能作用户连接,真正的电子商务后台数据放在内部网络中。)
- DMZ策略
- 内可访外:内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换
- 内可访DMZ:方便内网用户使用和管理DMZ中的服务器
- 外不可访内
- 外可访DMZ区:DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换
- DMZ不可访内网:若违背,入侵者攻陷DMZ时,就可以进一步进攻到内网。
- DMZ不可访外网:(例外:DMZ中放邮件服务器,需要访外网)
- DMZ区实现方式
- 硬件实现:防火墙产品都提供了DMZ的接口
- 软件实现:Linux iptables
- 单防火墙
- 双防火墙
- 地址转换
- DMZ区服务器与内网区、外网区的通信是经过网络地址转换(NAT)实现的。网络地址转换用于将一个地址域(如专用Internet)映射到另一个地址域(如Internet),以达到隐藏专用网络的目的。
- DMZ区服务器对内服务时映射成内网地址,对外服务时映射成外网地址。采用静态映射配置网络地址转换时,服务用IP和真实IP要一一映射,源地址转换和目的地址转换都必须要有。
- 应用层网关防火墙
- 是内部网和外部网的隔离点,它可对应用层的通信数据流进行监控和隔绝。
- 缺点:对用户不透明,速度相对较慢
- 这种配置相对第—一种来说其优点是,局域网和DMZ都不共享两个网络的数据流负荷。另一个优点是,容易定义那些专门处理所有的局城网或DMZ数据流而拒绝其他网络的数据流的规则。还有一个优点是,单网关主机比两个单独的防火墙设备要便宜。
服务器集群架构:NAT
- 在1994年RFC 1631中首次提出。NAT被计划用来短期、暂时地解决日益暴露的公用IP地址短缺问题(直到IPV6投人使用)。NAT也被看做是解决对用于处理不相邻地址段的路由器的日益增长的需求的一个可行办法。
- NAT是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有网络访问外部网络的功能。这种通过使用少量的公有IP地址映射多数的私有IP地址的方式,可以在一定程度上缓解lP地址空间枯竭的压力。
- 私有网络地址和公有网络地址
- 私网地址:指内部网络或主机的IP地址
- 公网地址:指在互联网上全球唯一的IP地址
- IANA:规定将下列的IP地址保留作私网地址,不在Internet上被分配,可在任何单位或公司内部使用。
- A类私有地址:10.0.0.0~10.255.255.255
- B类私有地址:172.16.0.0~172.31.255.255
- C类私有地址:192.168.0.0~192.168.255.255
- iptables
- linux软件防火墙:iptables,
- iptable并不是真正的防火墙,像是一个客户端代理,只是一个命令行工具,位于用户空间,去操作真正的框架--netfilter。
- netfilter:“安全框架”是真正的防火墙,位于内核空间
- netfilter/iptables(简称:iptables):组成linux平台下的包过滤防火墙,可以完成包过滤,封包重定向和网络地址转换(NAT)等功能。
- Netfilter是linux操作系统核心层内部的一个数据包处理模块
- 功能:网络地址转换,数据包内容修改,数据包过滤的防火墙功能
- iptables规则:
- 规则的定义:“如果数据包头符合这样的条件,就这样处理这个数据包”
- 规则:
- 配置防火墙的主要工作就是添加、修改和删除这些规则。
- 当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。
- 分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。
- 链:
- 客户端发来的报文访问的目标地址可能并不是本机,而是其他服务器,当本机的内核支持IP_FORWARD时,我们可以将报文转发给其他服务器,所以,这个时候,我们就会提到iptables中的其他”关卡”,也就是其他”链”,他们就是 “路由前(prerouting)”、”转发(forward)”、”路由后(postrouting)”
- 当我们启用了防火墙功能时,报文需要经过如下关卡,也就是说,根据实际情况的不同,报文经过”链”可能不同。如果报文需要转发,那么报文则不会经过input链发往用户空间,而是直接在内核空间中经过forward链和postrouting链转发出去的
- 表
- 把具有相同功能的规则的集合叫做”表”,所以说,不同功能的规则,我们可以放置在不同的表中进行管理,而iptables已经为我们定义了4种表,
- filter表:负责过滤功能,防火墙;内核模块:iptables_filter
- nat表:network address translation,网络地址转换功能;内核模块:iptable_nat
- mangle表:拆解报文,做出修改,并重新封装 的功能;iptable_mangle
- raw表:关闭nat表上启用的连接追踪机制;iptable_raw
- 我们在实际的使用过程中,往往是通过”表”作为操作入口,对规则进行定义的,
- 表(功能)<–> 链(钩子):
- raw 表中的规则可以被哪些链使用:PREROUTING,OUTPUT
- mangle 表中的规则可以被哪些链使用:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
- nat 表中的规则可以被哪些链使用:PREROUTING(对DNAT),OUTPUT,POSTROUTING(对SNAT)(centos7中还有INPUT,centos6中没有)
- filter 表中的规则可以被哪些链使用:INPUT输入,FORWARD转发,OUTPUT输出
- iptables为我们定义了4张”表”,当他们处于同一条”链”时,执行的优先级如下。优先级次序(由高而低):raw –> mangle –> nat –> filter
- 支持三种类型的NAT(传统NAT,双向NAT,两次NAT)
- NAPT:在早期linux中,用来映射全部分本地专用地址到站点单个公用网络接口的公用房IP地址
- 转发和NAT:转发和NAT的语义在IPtables中是独立的,转发数据的功能在filter表中通过使用forward
- SNAT源地址:用于nat表的POSTROUTING规则链。源地址修改在做出路由决定来选择合适的出接口之后应用。因此,SNAT与出站接口相关,而不是入站接口。
- DNAT目的地址
- 都可用于at表的PREROUTING或OUTPUT规则链。在做出路由决定来选择合适的出站接口之前对目的地址进行修改。用来接收通过本地路由转发或送到主机的人站接口的数据包的人站接口有关。
- iptables实现源地址NAT和目的地址NAT,源地址NAT被分成两个子类:SNAT和伪装(MASQUERADE)。SNAT是一般的源地址转换,伪装是源地址NAT的--种特殊形式。当一个连接被丢弃时,它会立即删除任何与其有关的NAT表状态。
- 目的地址NAT也被分成两个子类:DNAT和REDIRECT (重定向)。DNAT是一般的目的地址转换,重定向是目的地址转换的一种特殊形式。它将数据包重定向到本地主机而不管数据包的原始目的地址是什么。
- linux软件防火墙:iptables,
4128
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
