DMZ network

DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。

　

  

网络设备 开发商，利用DMZ技术，开发出了相应的 防火墙 解决方案。称“非军事区结构模式”。DMZ通常是一个过滤的 子网 ，DMZ在内部网络和外部网络之间构造了一个安全地带。

　　DMZ 防火墙 方案为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。同时它提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部 安全策略 相矛盾的情况发生。在DMZ区域中通常包括 堡垒主机 、Modem池，以及所有的公共服务器，但要注意的是电子商务服务器只能用作用户连接，真正的电子商务 后台 数据需要放在内部网络中。

　　在这个 防火墙 方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有外部网络对DMZ的访问。内部 防火墙 管理DMZ对于内部网络的访问。内部 防火墙 是内部网络的第三道安全防线(前面有了外部防火墙和 堡垒主机 )，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而 局域网 内部，对于Internet的访问由内部 防火墙 和位于DMZ的 堡垒主机 控制。在这样的结构里，一个 黑客 必须通过三个独立的区域(外部 防火墙 、内部防火墙和 堡垒主机 )才能够到达 局域网 。攻击难度大大加强，相应内部网络的安全性也就大大加强，但投资成本也是最高的。

　　如果你的机器不提供网站或其他的网络服务的话不要设置．DMZ是把你电脑的所有端口开放到网络 。 ^[1]

编辑本段一：什么是DMZ

　　DMZ(Demilitarized Zone)即俗称的非军事区，与军事区和信任区相对应,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口，使整个需要保护的内部网络接在信任区端口后，不允许任何访问，实现内 外网 分离，达到用户需求。DMZ可以理解为一个不同于 外网 或 内网 的特殊网络区域，DMZ内通常放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等。这样来自 外网 的访问者可以访问DMZ中的服务，但不可能接触到存放在 内网 中的公司机密或私人信息等，即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。 ^[1]

编辑本段二：为什么需要DMZ

　　在实际的运用中，某些 主机 需要对外提供服务，为了更好地提供服务，同时又要有效地保护内部网络的安全，将这些需要对外开放的主机与内部的众多网络设备分隔开来，根据不同的需要，有针对性地采取相应的隔离措施，这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。针对不同资源提供不同安全级别的保护，可以构建一个DMZ区域，DMZ可以为 主机 环境提供网络级的保护，能减少为不信任客户提供服务而引发的危险，是放置公共信息的最佳位置。在一个非DMZ系统中，内部网络和 主机 的安全通常并不如人们想象的那样坚固，提供给Internet的服务产生了许多漏洞，使其他主机极易受到攻击。但是，通过配置DMZ，我们可以将需要保护的Web 应用程序 服务器和 数据库系统 放在 内网 中，把没有包含敏感数据、担当代理数据访问职责的 主机 放置于DMZ中，这样就为应用系统安全提供了保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击，攻击者即使初步入侵成功，还要面临DMZ设置的新的障碍。 ^[1]

编辑本段三：访问控制策略

　　当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。

　　 1.内网可以访问外网

　　 内网 的用户显然需要自由地访问 外网 。在这一策略中， 防火墙 需要进行源地址转换。

　　 2.内网可以访问DMZ

　　此策略是为了方便 内网 用户使用和管理DMZ中的服务器。

　　 3.外网不能访问内网

　　很显然， 内网 中存放的是公司内部数据，这些数据不允许 外网 的用户进行访问。

　　 4.外网可以访问DMZ

　　DMZ中的服务器本身就是要给外界提供服务的，所以 外网 必须可以访问DMZ。同时， 外网 访问DMZ需要由 防火墙 完成对外地址到服务器实际地址的转换。

　　 5.DMZ不能访问内网

　　很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到 内网 的重要数据。

　　 6.DMZ不能访问外网

　　此条策略也有例外，比如DMZ中放置 邮件服务器 时，就需要访问 外网 ，否则将不能正常工作。在网络中，非军事区(DMZ)是指为不信任系统提供服务的孤立网段，其目的是把敏感的内部网络和其他提供访问服务的网络分开，阻止 内网 和 外网 直接通信，以保证内网安全。 ^[1]

编辑本段四：DMZ服务配置

　　DMZ提供的服务是经过了 网络地址转换 （NAT）和受安全规则限制的，以达到隐蔽真实地址、控制访问的功能。首先要根据将要提供的服务和安全策略建立一个清晰的网络拓扑，确定DMZ区应用服务器的IP和 端口号 以及数据流向。通常 网络通信 流向为禁止 外网 区与 内网 区直接通信，DMZ区既可与外网区进行通信，也可以与内网区进行通信，受安全规则限制。

　　 1 地址转换

　　DMZ区服务器与 内网 区、 外网 区的通信是经过 网络地址转换 （NAT）实现的。 网络地址转换 用于将一个地址域（如专用Intranet）映射到另一个地址域（如Internet），以达到隐藏 专用网络 的目的。DMZ区服务器对内服务时映射成 内网 地址，对外服务时映射成 外网 地址。采用静态映射配置 网络地址转换 时，服务用IP和真实IP要一一映射，源地址转换和目的地址转换都必须要有。

　　 2 DMZ安全规则制定

　　安全规则集是安全策略的技术实现，一个可靠、高效的安全规则集是实现一个成功、安全的 防火墙 的非常关键的一步。如果 防火墙 规则集配置错误，再好的防火墙也只是摆设。在建立规则集时必须注意规则次序，因为 防火墙 大多以顺序方式检查信息包，同样的规则，以不同的次序放置，可能会完全改变防火墙的运转情况。如果信息包经过每一条规则而没有发现匹配，这个信息包便会被拒绝。一般来说，通常的顺序是，较特殊的规则在前，较普通的规则在后，防止在找到一个特殊规则之前一个普通规则便被匹配，避免 防火墙 被配置错误。

　　DMZ安全规则指定了非军事区内的某一 主机 （IP地址）对应的 安全策略 。由于DMZ区内放置的服务器 主机 将提供公共服务，其地址是公开的，可以被外部网的用户访问，所以正确设置DMZ区安全规则对保证 网络安全 是十分重要的。

　　FireWall可以根据 数据包 的地址、协议和端口进行 访问控制 。它将每个连接作为一个数据流，通过规则表与连接表共同配合，对网络连接和会话的当前状态进行分析和监控。其用于过滤和监控的IP包信息主要有：源IP地址、目的IP地址、协议类型（IP、ICMP、TCP、UDP）、源TCP/UDP端口、目的TCP/UDP端口、ICMP 报文 类型域和 代码 域、碎片包和其他标志位（如SYN、ACK位）等。

　　为了让DMZ区的应用服务器能与 内网 中DB服务器（服务端口4004、使用TCP协议）通信，需增加DMZ区安全规则， 这样一个基于DMZ的安全应用服务便配置好了。其他的应用服务可根据 安全策略 逐个配置。

　　DMZ无疑是 网络安全 防御体系中重要组成部分，再加上 入侵检测 和基于 主机 的其他安全措施，将极大地提高公共服务及整个系统的安全性。 ^[1]

编辑本段DMZ其他含义

　　 隔离区，非军事化区

　　DMZ是 Demilitarized Zone的缩写， 是指南北双方为了禁止军队的驻札，部署武器，设置军事设施 而设定的公约之地。 民间人统制线是为了有效地履行这条公约而设的地带，严禁一般老百姓 的居住与经济活动，这条线是按照南方的需要而设定的。 北方应该也设定了相似的地带。 横贯朝鲜半岛中间的地带如此形成

------------------------------------

DMZ的部署及配置

DMZ 是Demilitarized Zone 的缩写，俗称非军事化隔离区。DMZ 是一个位于内网和外网之间的特殊区域，一般用于放置公司对外开放的服务器，例如Web 服务器，Ftp 服务器，邮件服务器等。其实从ISA 的角度来看，DMZ 就是一个网络。有些朋友可能会有些疑问，为什么不把这些服务器直接放到内网呢？为什么需要DMZ 这个单独的网络呢？被发布的服务器放在内网是可以的，我们在前面的博文中已经讨论了技术上的可能性。但把发布服务器放在内网并非最佳选择，因为内网中还有其他的计算机，这些计算机和发布服务器的安全设置并不相同。例如内网中的域控制器并不适合开放给外网用户，财务室人员使用的工作站更是要严加防护。但如果这些计算机和发布服务器都放在内网，对我们进行访问控制是不利的。一旦发布服务器出现安全问题，有可能会危及内网其他计算机的安全。因此比较安全的解决方法是把发布的服务器放在一个单独的隔离网络中，管理员针对隔离网络进行有别于内网的安全配置，这样一来的话显然对安全更加有利。

下面我们用一个实例来为大家介绍一下如何利用ISA2006 部署和配置DMZ ，拓扑如下图所示，Beijing 是ISA2006 服务器，Beijing 有三块网卡，分别连接内网，外网和DMZ ，DMZ 在ISA 中也被称为外围。Denver 在内网，Perth 是DMZ ，Istanbul 在外网。

 

一 创建DMZ

Beijing 是一个有三块网卡的ISA 服务器，我们准备在Beijing 上手工创建DMZ 网络，网络范围是23.1.1.0 －23.1.1.255 。这个工作我们也可以通过ISA2006 自带的三向外围防火墙模板来进行，但这个模板和国内公司的网络环境不太匹配，因为国外公司的DMZ 使用的往往是公网地址，而国内DMZ 使用的大多是私网地址，这种环境上的差异会导致网络规则和防火墙策略配置上的差别，因此这个模板不太适合国内大多数公司使用，我们还是来手工创建并配置一个DMZ 网络。

顺便介绍一个ISA 中网络的一些基本原则，供大家创建网络时参考：

1、  ISA防火墙上的每个网络适配器可以有单个或者多个IP地址，但是每个IP地址只能与一个网络适配器所关联（NLB的虚拟IP地址不在此讨论范围内）。

2、  一个地址只能属于一个网络；ISA防火墙上任何一个网络适配器都必须并且只能属于一个网络，并且这个网络适配器上的所有地址都必须属于相同的网络；一个网络可以包含一个或者多个网络适配器。

3、  在网络定义的 地址范围中，应包含ISA防火墙对应网络适配器接口的IP地址。ISA将没有关联适配器的网络视为暂时断开连接，也就是说，ISA 服务器假定存在与该网络关联的适配器，但该适配器当前被禁用。当ISA服务器假定适配器断开连接时，ISA服务器将拒绝去往或来自属于断开的网络的IP地 址的通讯， 因为这些数据并没有通过和此网络相关联的网络适配器来进行转发，并认为这些数据包欺骗所有已启用的适配器。

4、  对于除外部网络之外的其他网络的网络适配器后还有其他子网的情况（即可以通过此网络适配器所关联的网络中的某台路由器到达的其他的网络，称之为网络后面的网络）， 你必须在ISA防火墙对应的网络的定义中，包含这些子网的地址，否则ISA防火墙会触发IP欺骗或者配置错误的警告。这是因为没有在此网络中定义的IP地 址范围，不属于此网络，但是却又必须从此网络相关联的网络适配器进行数据的转发，ISA防火墙认为这是一种欺骗行为。

5、 通常情况下， 对于一个完整的网络定义，地址范围应该从网络地址起，到子网广播地址为止。例如一个C类网络192.168.0.0/24，那么完整的网络地址范围为192.168.0.0～192.168.0.255。对于网络地址是从A类网络地址、B类网络地址中划分的子网的情况，在网络地址范围中还需要包含对应 的A类网络、B类网络的广播地址，例如一个A类子网10.1.1.0/24，那么内部网络地址中除了10.1.1.0～10.1.1.255外，还需要包 括A类网络的广播地址10.255.255.255～10.255.255.255。建议你总是通过添加适配器来添加内部网络地址。非完整的网络定义不需要遵循此要求。

不过，对于没有关联网络适配器的网络被视为暂时断开连接这一假设存在例外，在这些例外情况中，ISA 服务器将该网络视为网络后面的网络，这些例外包括下列网络：

默认的外部网络。ISA防火墙总是认为默认的外部网络位 于与默认路由所关联的网络适配器（配置了默认网关的网络适配器）所关联的网络的后面，去往或来自外部网络中的地址的通讯必须通过该适配器。来自外部网络中 的地址但是通过其他适配器的任何通讯都将被视为具有欺骗性，并将被丢弃。如果路由表中不存在默认网关项目，ISA防火墙将认为外部网络暂时断开连接。

配置为使用 IPSec 隧道模式的站点到站点VPN网络。

被隔离的VPN客户端网络，该网络从不与任何适配器关联，并总是位于与 VPN 拨入适配器关联的 VPN 客户端网络的后面

现在我们开始创建DMZ ，在Beijing 上打开ISA 管理器，如下图所示，选择新建网络。

 

为新创建的网络命名为DMZ 。

 

网络类型是外围网络。

 

DMZ 的地址范围是23.1.1.0 －23.1.1.255 ，注意，这个地址范围如果之前属于内网，那我们需要把它从内网范围中删除。根据我们刚才提到的网络原则，一个地址只能属于一个网络。

 

如下图所示，我们成功地完成了DMZ 网络的创建，是不是很轻松啊。

 

二 创建网络规则

DMZ 网络创建完毕后，我们需要创建DMZ 网络和其他网络之间的网络规则。因为我们知道，ISA 处理数据的访问请求，首先考虑的是这个数据包的源网络和目标网络的网络规则，因此网络规则决定了两个网络之间数据通讯的方向性和可能性。网络规则的设定取决于实际的访问需求，在本次实验中，DMZ 的Perth 拥有网站和Ftp 服务器。我们希望内网用户和外网用户都可以访问DMZ 的资源，同时DMZ 的服务器需要对外网进行访问。基于这个需求，我们可以把网络规则设定为从内网到DMZ 是NAT ，从DMZ 到外网是NAT 。为什么DMZ 到外网不设定为路由呢？因为DMZ 使用的是内网地址，外网用户无法直接访问这些IP 地址。

在Beijing 上打开ISA 管理器，如下图所示，选择“创建网络规则”。

 

为网络规则命名为“从内网到DMZ ”。

 

源网络是内网。

 

目标网络是DMZ 。

 

源网络到目标网络的网络关系设定为NAT 。

 

这样我们就设定了从内网到DMZ 的网络关系是NAT ，用同样的方法，我们设定从DMZ 到外网的网络关系是NAT 。

 

三 创建防火墙访问规则

在我们的实验环境中，我们希望内网能够访问DMZ ，由于内网和DMZ 的网络关系是NAT ，因此我们应该通过访问规则来完成这个任务。有的朋友可能会想，究竟什么情况下应该使用访问规则，而什么环境下更适用发布规则呢？我们给出使用访问规则的原则：

对于访问规则：

只适用于网络之间具有路由网络关系或正向NAT关系（源网络到目的网络为NAT）的网络间的访问；

一个访问规则可以允许到多个服务器的访问；

在访问规则中只应使用出站协议定义客户所访问的服务；

用户只能访问协议中所定义的端口

下面我们来具体创建访问规则，在Beijing 上打开ISA 管理器，如下图所示，选择新建“访问规则”。

 

我们在访问规则命名为“允许为内网访问DMZ ”。

 

当访问请求符合规则时允许访问请求的操作。

 

允许所有的出站通讯协议。

 

访问请求的源网络是内网。

 

访问请求的目标网络是DMZ 。

 

允许所有用户的访问请求。

 

如下图所示，顺利完成访问规则的创建。

 

测试一下访问规则的成果，在内网的Denver 上访问DMZ 的Perth ，如下图所示，访问正常。

 

四 创建发布规则

我们在本次实验中还希望DMZ 的服务器能够发布到外网，在这种情况下我们应该使用发布规则来完成任务。同样我们会给出使用发布规则的原则：

对于服务发布规则：

适用于源网络和目的网络之间具有路由网络关系或者NAT网络关系的网络间的访问。只是根据网络关系的不同，服务发布规则侦听的IP地址不同。在目的网络到源网络具有NAT网络关系的情况下，服务发布规则侦听的IP地址是ISA防火墙上连接源网络的网络接口的IP地址；而在源网络和目的网络之间具有路由网络关系或者NAT网络关系的的情况下，服务发布规则侦听的IP地址是被发布的服务器的IP地址；

一个发布规则只能允许到一个服务器的访问；

服务发布规则中只能使用入站协议定义所发布的服务；

通过服务发布规则，你可以通过修改服务发布规则的属性轻松的实现端口转换，并且许多内建的应用层过滤器或其某些特性只能通过服务发布规则实现，例如SMTP过滤器和Web代理过滤器的链接转换功能，就只能通过服务发布规则实现；

服务器应配置为SNAT客户；如果服务发布规则的到属性中配置为“使请求显示为来自初始客户端”，那么服务器应该配置ISA防火墙为其默认网关。

下面我们来创建发布规则，如下图所示，在ISA 管理器中选择新建“非Web 服务器协议发布规则”。

 

我们为发布规则命名为“发布Perth 上的FTP 服务器”。

 

被发布的服务器我们填写Perth 的IP 地址23.1.1.6 。

 

发布协议选择FTP 服务器。

 

侦听器监听外网的请求。顺便提一下，以前遇到有朋友想把 DMZ 的服务器发布到内网，但未能成功，他的实验环境和我们完全一样。用发布规则的使用原则分析一下就明白了，内网访问 DMZ 不能通过发布规则而应该使用访问规则。

 

好，完成发布规则的创建。

 

在外网的Istanbul 上测试一下，看能否访问Perth 的FTP 服务器。测试结果如下图所示，DMZ 的FTP 服务器发布成功！

 

今天我们用一个实例介绍了DMZ 的部署和配置，DMZ 从ISA 的角度看，其实只是一个网络。本文的重点在于讨论了一般意义上的网络创建原则，访问规则和发布规则的使用原则。大家如果能够对这些原理融会贯通，一定能够对大家的ISA 管理大有裨益。

---------------------------------

Reference:

A Demilitarized Zone (DMZ) is a network segment that is separated from other networks. Many organizations use them to separate their Local Area Networks (LAN) from the Internet. This puts additional security between their corporate network and the public Internet. It can also be used to separate one particular machine from the rest of a network, moving it outside of the protection of a firewall.

Frequent Uses

Common items that are placed in a DMZ are public-facing servers. For example, if an organization maintains its website on a server, that web server could be placed in a computer "Demilitarized Zone." In this way, if a malicious attack ever compromises the machine, the remainder of the company's network remains safe from danger. Someone can also place a computer on a DMZ outside of a network to test for connectivity issues being created by a firewall protecting the rest of the system.

Router Setup and Functionality

When connecting a LAN to the Internet, a router provides a physical connection to the public Internet, and firewall software offers a gateway to prevent malicious data from entering the network. One port on the firewall often connects to the network using an internal address, allowing traffic being sent out by individuals to reach the Internet. Another port is usually configured with a public address, which allows Internet traffic to reach the system. These two ports allow inbound and outbound data to communicate between the network and the Internet.