《网络安全原理与实践》一2.2 设计一个DMZ

最新推荐文章于 2024-08-06 17:04:45 发布
最新推荐文章于 2024-08-06 17:04:45 发布
阅读量256 收藏
点赞数
文章标签: 网络 操作系统
原文链接:https://yq.aliyun.com/articles/104042
版权

本节书摘来自异步社区《网络安全原理与实践》一书中的第2章,第2.2节,作者 【美】Saadat Malik, CCIE #4955,更多章节内容可以访问云栖社区“异步社区”公众号查看

2.2 设计一个DMZ

网络安全原理与实践
DMZ是网络安全中使用的最重要的分区术语之一。一个DMZ是网络中的这样一个区:因为它所包含的设备性质而将其同网络的其他部分分隔开来的区。这些设备(通常是需要从公共网络上访问的服务器)不允许在它们所在的区域部署一个太严格的安全策略。因而,需要把这个区同网络的其他部分分离开来。

DMZ通常是驻留于私有网络和公共网络之间的一个子网。来自外网的连接通常终止于DMZ区域的设备。这些服务器可以相对安全的被私有网络内的设备访问。

创建DMZ的方法有很多。怎样创建DMZ依赖于网络的安全需求,同时也取决于对它的预算。创建DMZ的最常用方法如下。

使用一个三脚(three-legged)防火墙创建DMZ。
将DMZ置于防火墙之外,公共网络和防火墙之间。
将DMZ置于防火墙之外,但不在公共网络和防火墙之间的通道上(也叫做“脏DMZ[dirty DMZ]”)。
在层叠的防火墙之间创建DMZ。

2.2.1 使用一个三脚防火墙创建DMZ

这可能是创建DMZ最常用的方法。这种方法是使用一个有三个接口的防火墙去创建隔离区,每个隔离区成为这个防火墙接口的一员。防火墙提供区之间的隔离。这种机制提供了许多关于DMZ安全的控制。这一点是重要的,因为一个被攻陷的DMZ可能是精心设计的攻击的第一步。图2-1展示了怎样使用一个三脚防火墙创建DMZ。注意一个防火墙可以有多于三个的接口,允许创建许多DMZ。每个DMZ可以具有自己独特的安全需求。

image

2.2.2 DMZ置于防火墙之外,公共网络和防火墙之间

在这种配置中,DMZ暴露在防火墙的公共面一侧。需要通过防火墙的流量首先通过DMZ。一般情况下不推荐这种配置,因为在这种配置中针对DMZ区域内设备可用的安全控制非常少。这些设备实际上是公共区域的一部分,它们自身并没有真正地被保护。图2-2显示了一个在防火墙之外,公共网络和防火墙之间的DMZ是怎样创建的。

image

显然,这是相当不安全的建立DMZ的方法,因为在这种配置中防火墙的安全特性根本没有用到。但是,在网络边缘路由器的公网方向可以部署一些安全策略,从而向DMZ的成员设备提供一些基本的安全保障。这种安全可能使用访问控制列表的形式,只允许以特定的端口访问DMZ中的成员设备并拒绝其他所有的访问。

2.2.3 DMZ置于防火墙之外,但不在公共网络和防火墙之间的通道上

“脏DMZ”同前面描述的DMZ非常相似。它们仅有的区别是:这里的DMZ不是位于防火墙和公共网络之间,而是位于边缘路由器用于连接防火墙的接口以外的一个隔离接口(如图2-3所示)。这种类型的配置只为DMZ网络中的设备提供了非常少的安全保障。但是同前面部分描述的配置相比,这种配置为DMZ提供了稍多的隔离性。这种配置中的边缘路由器能够用于拒绝从DMZ子网到防火墙所在的子网的所有访问。并且,单独的VLAN能够提供防火墙所在的子网和DMZ子网间更进一步第二层的隔离。这在当一个位于DMZ子网的主机被攻陷,并且攻击者开始使用这个主机对防火墙和网络发动更进一步攻击的情形下是非常有用的。在这些情形下,增加的隔离层能够帮助延缓对防火墙的攻击进度。

因为防火墙通常要处理所有通往内网和通往普通DMZ服务器的数据,因此当防火墙的性能不足以处理额外的流量的时候,可以通过创建脏DMZ的方式来解决。因为在DMZ上服务器(通常是公共服务器)的流量是相当可观的,所以网络管理员通常被迫将这些设备置于防火墙之外的一个DMZ上,这样防火墙就不必处理通往这些服务器的流量。

image

网络管理员经常竭尽全力,以确保位于脏DMZ上的主机在面对大部分通常的网络攻击时特别牢固。一个暴露在公共网络中并且得到加强以面对网络攻击的主机称为堡垒主机(bastion host)。这些主机通常关掉所有不需要的服务,以防止攻击者利用这些服务入侵主机。同样,任何不需要的端口和网络协议也都被移除或禁用以增强主机的安全。同时这些主机的操作系统也需要安装所有必要的更新和补丁。大部分能够用于操纵这个主机的工具和配置程序都要从该主机上删除。另外,主机有大量开启的日志记录,以捕获任何入侵的企图。这很可能是一个在将来提升主机安全性的重要工具。甚至在设置了所有这些安全措施之后,还要部署额外措施以确保即使是主机被攻陷了,攻击者也无法通过从堡垒主机获得的访问权限访问内网。通常这也意味着堡垒主机和内部私有网络不共享相同的认证系统。

2.2.4 在层叠的防火墙之间创建DMZ

在这种形成DMZ的机制中,两个防火墙层叠放置,因而需要访问离公共网络最远的防火墙后面的私有网络时,所有流量必须要通过这两个防火墙。在这种方案中,两个防火墙中间的网络用作DMZ。在这种方案中,由于DMZ前面的防火墙而使它获得了相当高的安全性。但是,它的一个缺点是所有从内部网络流向公共网络的流量必须经过DMZ网络。在这种方案中,一个被攻陷的DMZ设备能够使攻击者以不同的方法阻截或者侦听这个流量。为抵御这种风险,可以在两个防火墙之间的设备上使用私有VLAN。这种配置的主要缺点之一是要用两个防火墙。图2-4显示了层叠在两个防火墙之间的DMZ是怎样建立的。

image

weixin_34318272
关注
网络安全原理实践学习笔记——设计DMZ
sapphire7的博客
09-03 3572
虽然不同网络设备中可用的安全特性在抵御网络攻击中起到了重要的作用,但事实上对网络攻击做好的防御方法之一是网络的安全拓扑设计。关注安全的网络拓扑设计对阻止网络攻击大有帮助,并且能使不同设备的安全特性得到最有效的使用。 在现代网络安全设计中用到的最关键的思想之一是用区去隔离开网络上的不同区域。置于不同区的设备具有不同的安全需求,而区基于这些需求提供保护。
Azure 安全网络篇 - DMZ 区域设计实践
微软技术栈
08-27 1990
应广大看官要求,今天为大家介绍如何在 Azure 上搭建 DMZ 区域。为什么讲这个话题,安全无小事,很多用户在上云的时候并没有做好安全的前期规划导致后期埋下了安全隐患。为什么专挑 DMZ 网络安全设计讲,要想富先修路,在云端跟 IDC 相同,要想富先修路,网络先行,同时 DMZ 区域是整个网络安全设计中的重点,流量属性最复杂,安全重要性最高。其次关于云原生,很多用户上云后希望更多采用云平台第一方的托管服务,过去一年多的时间 Azure 在安全产品上有很多新产品发布,也希望通过这篇文章,帮助用户了解 Azu
DMZ(Demilitarized Zone)
最新发布
ronshi的博客
08-06 673
DMZ(Demilitarized Zone)
dmz的概念及其拓扑图
06-03
具体介绍DMZ的概念及其示范图,一定让你更加明白其作用和具体的实践操作
DMZ
weixin_34335458的博客
08-11 226
  DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ...
网络安全基础入门(一)-- 课程架构和软件设置
网络安全的重要性体现在以下几个方面: - 保护个人隐私和信息安全; - 维护国家安全和社会稳定; - 保障网络服务的持续运行; - 避免经济损失和声誉风险等。 1.3 常见的网络威胁和攻击类型 网络威胁和攻击类型繁多...
网络安全防火墙技术
在当今信息化社会,网络安全已成为人们关注的焦点之一。 ## 1.1 什么是网络安全 网络安全是指通过采取各种技术手段和管理措施,保护网络系统中的计算机设备、网络设备、软件应用及其数据免受未经授权的访问、破坏...
VLAN的扩展性设计实践
VLAN能够在同一台交换机上实现不同网络设备之间的隔离通信,提高网络安全性和性能。 ## 1.2 VLAN的应用场景 VLAN可被广泛应用于企业网络中,如按部门划分VLAN以隔离不同部门的数据流量,按功能划分VLAN以提供不同...
网络安全与应用:防火墙技术的探究
网络安全面临着各种各样的威胁与挑战,包括但不限于:计算机病毒与木马、网络钓鱼、勒索软件、黑客攻击、DDoS攻击等。这些威胁几乎无处不在,给网络安全带来了极大的挑战。 ## 1.3 常见的网络安全攻击类型 常见的...
网络安全基础:防火墙网络攻防手段
网络安全的重要性和背景信息 ## 1.1 网络安全的定义和意义 网络安全是指保护计算机系统不受未经授权的访问或损害,并确保网络系统运行的连续性和完整性。随着互联网的普及和信息化程度的提高,网络安全问题变得尤...
内外网的交流安全(DMZ,网闸,防火墙)
qq_40398985的博客
08-06 6115
ARP ACL 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。 访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 VTY 虚拟终端(Virtual Teletype Terminal),用于实现远程登录路由器进行管理配置。 参考资料 vty http://www.luyouqiwang.net/luyouqixiansu451.html ...
关于DMZ区介绍及相关策略
热门推荐
Julia & Rust & Python
05-07 1万+
两个防火墙之间的空间被称为DMZ。 与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。 DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网...
DMZ原理+使用场景+实现 一文全介绍
qingwangheni的博客
01-18 5699
DMZ:即demilitarized zone,非军事区域。
我的第一个DMZ方案实践
weixin_34032827的博客
04-30 434
方案提出的初衷:外网需要定时和不定时推送数据到内网服务器(只要求数据到达内网,没有要求直接连接到内网) 为什么不是直连到内网:每个人第一想到的是不安全,是的,没错不安全。内网的应用和外网的应用最明显的区别就是承载的访问量,虽然都应该配置防恶意攻击策略,但是内网的应用一般不会像外网的应用考虑那么多安全的策略。所以这里的安全,包含防窃取资料的安全性、恶意攻击以及给hacker留了后门等因素。(我想的...
路由器DMZ原理
xiaoshengqdlg的专栏
03-26 4994
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器等。DMZ防火墙方案为要保护的内部网络增加了一道安
家用路由器网络设置DMZ
weixin_30906671的博客
05-16 1415
2分钟看懂DMZ区 装载 原文链接 最近看到一个名词“DMZ区”,一直充满疑问,今天对其进行了查询,理解如下: 1、DMZ是什么? 英文全名“Demilitarized Zone”,中文含义是“隔离区”。在安全领域的具体含义是“内外网防火墙之间的区域”。 2、DMZ做什么? DMZ区是一个缓冲区,在DMZ区存放着一些公共服务器,比如论坛等。 用户要从外网访问到的服务,理论上都...
安全概念:DMZ(非军事化区,隔离区)
diaoyo2388的博客
05-29 1074
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方...
DMZ区域搭建详解
weixin_33727510的博客
01-02 3088
转载自“陆文举” 博客,出处[url]http://luwenju.blog.51cto.com/620835/123589[/url] 转载于:https://blog.51cto.com/515hai/124063
企业网络安全DMZ与NAT架构详解
DMZ是一种网络安全策略,它将组织的内部网络划分为两个区域,一个是受保护的核心网络,另一个是半开放的区域,用于处理公共访问服务。通过这种方式,企业可以限制对核心系统直接的外部访问,只开放必要的服务端口,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值