category
在计算机安全中,DMZ或非军事区(有时称为外围网络或屏蔽子网)是一个物理或逻辑子网络,包含组织的面向外部的服务,并将其暴露给不受信任的、通常更大的网络,如互联网。DMZ的目的是为组织的局域网(LAN)添加额外的安全层:外部网络节点只能访问DMZ中暴露的内容,而组织网络的其余部分则受到防火墙的保护。[1] DMZ是一个位于互联网和专用网络之间的小型隔离网络。[2]
不要将其与DMZ主机混淆,DMZ主机是一些家庭路由器中存在的一种功能,通常与普通DMZ有很大不同。
该名称来自非军事区一词,即国家之间不允许军事行动的区域。
根本原因
DMZ被视为不属于与其接壤的任何一个网络。这个比喻适用于计算用途,因为DMZ充当了通往公共互联网的网关。它既不像内部网络那样安全,也不像公共互联网那样不安全。
在这种情况下,最容易受到攻击的主机是那些在局域网之外为用户提供服务的主机,如电子邮件、Web和域名系统(DNS)服务器。由于这些主机遭受攻击的可能性增加,它们被放置在这个特定的子网络中,以便在其中任何一个受到攻击时保护网络的其余部分。
DMZ中的主机只能与内部网络中的特定主机进行有限的连接,因为DMZ的内容不如内部网络安全。同样,DMZ中主机与外部网络之间的通信也受到限制,以使DMZ比互联网更安全,并适合容纳这些特殊用途服务。这允许DMZ中的主机与内部和外部网络进行通信,同时一个介入的防火墙控制DMZ服务器和内部网络客户端之间的流量,另一个防火墙将执行某种级别的控制,以保护DMZ免受外部网络的影响。
DMZ配置提供了额外的安全性以抵御外部攻击,但它通常与内部攻击无关,例如通过数据包分析器嗅探通信或欺骗(如电子邮件欺骗)。
有时,配置一个单独的机密军事化区域(CMZ)也是一种良好的做法,[3]这是一个高度监控的军事化区域,主要包括不在DMZ中但包含有关访问LAN内服务器(如数据库服务器)的敏感信息的Web服务器(以及与外部世界(即互联网)接口的类似服务器)。在这样的体系结构中,DMZ通常具有应用程序防火墙和FTP,而CMZ托管Web服务器。(数据库服务器可以位于CMZ、LAN或单独的VLAN中。)
在外部网络上提供给用户的任何服务都可以放置在DMZ中。这些服务中最常见的是:
- Web servers
- Mail servers
- FTP servers
- VoIP servers
与内部数据库通信的Web服务器需要访问数据库服务器,该服务器可能无法公开访问,并且可能包含敏感信息。出于安全原因,web服务器可以直接或通过应用程序防火墙与数据库服务器通信。
电子邮件,尤其是用户数据库是保密的,因此它们通常存储在无法从互联网访问的服务器上(至少不是以不安全的方式),但可以从暴露在互联网上的电子邮件服务器访问。
DMZ内的邮件服务器将传入邮件传递给安全/内部邮件服务器。它还处理传出的邮件。
出于安全、遵守HIPAA等法律标准以及监控的原因,在商业环境中,一些企业在DMZ中安装了代理服务器。这有以下好处:
- 强制内部用户(通常是员工)使用代理服务器进行Internet访问。
- 减少了对互联网访问带宽的要求,因为一些网络内容可以由代理服务器缓存。
- 简化了对用户活动的记录和监控。
- 集中的web内容过滤。
与代理服务器一样,反向代理服务器是一个中介,但使用方式相反。它不是向想要访问外部网络的内部用户提供服务,而是为外部网络(通常是互联网)提供对内部资源的间接访问。例如,可以向外部用户提供后台应用程序访问,如电子邮件系统(在公司外阅读电子邮件),但远程用户将无法直接访问其电子邮件服务器(只有反向代理服务器才能物理访问内部电子邮件服务器)。这是一个额外的安全层,特别建议在需要从外部访问内部资源时使用,但值得注意的是,这种设计仍然允许远程(和潜在的恶意)用户在代理的帮助下与内部资源对话。由于代理充当不可信网络和内部资源之间的中继:它还可能向内部网络转发恶意流量(例如应用程序级别的漏洞利用);因此,代理的攻击检测和过滤功能对于防止外部攻击者利用代理暴露的内部资源中存在的漏洞至关重要。通常,这种反向代理机制是通过使用应用层防火墙来提供的,该防火墙专注于流量的特定形状和内容,而不仅仅是控制对特定TCP和UDP端口的访问(就像数据包过滤器防火墙所做的那样),但反向代理通常不能很好地替代经过深思熟虑的DMZ设计,因为它必须依靠连续的签名更新来更新攻击向量。
架构
使用DMZ设计网络有许多不同的方法。两种最基本的方法是使用单个防火墙(也称为三条腿模型)和双防火墙(也称背靠背模型)。这些体系结构可以根据网络需求进行扩展,以创建非常复杂的体系结构。
单个防火墙
使用DMZ并使用单个防火墙的典型三条腿网络模型的示意图。
具有至少3个网络接口的单个防火墙可用于创建包含DMZ的网络架构。外部网络在第一网络接口上从ISP到防火墙形成,内部网络从第二网络接口形成,DMZ从第三网络接口形成。防火墙成为网络的单一故障点,必须能够处理进入DMZ和内部网络的所有流量。区域通常用颜色标记,例如,紫色表示LAN,绿色表示DMZ,红色表示Internet(通常另一种颜色用于无线区域)。
双防火墙
使用双防火墙的DMZ的典型网络图。
根据Colton Fralick的说法,[4]最安全的方法是使用两个防火墙来创建DMZ。第一个防火墙(也称为“前端”或“周边”[5]防火墙)必须配置为仅允许前往DMZ的流量。第二个防火墙(也称为“后端”或“内部”防火墙)只允许从内部网络到DMZ的流量。
这种设置被认为[4]更安全,因为两个设备需要被破坏。如果两个防火墙由两个不同的供应商提供,则会有更多的保护,因为这会降低两个设备遭受相同安全漏洞的可能性。例如,在一个供应商的系统中发现安全漏洞的可能性较小。这种体系结构的一个缺点是,它的购买和管理成本都更高。[6] 使用来自不同供应商的不同防火墙的做法有时被描述为“深度防御”[7]安全策略的一个组成部分。
DMZ主机
一些家庭路由器指的是DMZ主机,在许多情况下,这实际上是用词不当。家庭路由器DMZ主机是内部网络上的单个地址(例如,IP地址),该地址具有发送给它的所有流量,这些流量不会以其他方式转发给其他LAN主机。根据定义,这不是一个真正的DMZ(非军事区),因为路由器本身并不能将主机与内部网络分开。也就是说,DMZ主机能够连接到内部网络上的其他主机,而真正DMZ内的主机被防火墙阻止与内部网络连接,除非防火墙允许连接。
如果内部网络上的主机首先请求连接到DMZ内的主机,则防火墙可以允许这样做。DMZ主机没有提供子网所提供的任何安全优势,并且经常被用作将所有端口转发到另一个防火墙/NAT设备的简单方法。这种策略(建立DMZ主机)也用于无法与正常防火墙规则或NAT正确交互的系统。这可能是因为无法提前制定转发规则(例如,不同的TCP或UDP端口号,而不是固定的数量或固定的范围)。这也用于路由器没有程序可处理的网络协议(6in4或GRE隧道是典型的例子)。
- 登录 发表评论
- 35 次浏览
最新内容
- 2 days 16 hours ago
- 2 days 16 hours ago
- 2 days 16 hours ago
- 2 days 16 hours ago
- 3 days 17 hours ago
- 3 days 17 hours ago
- 3 days 17 hours ago
- 3 days 17 hours ago
- 3 days 17 hours ago
- 3 days 17 hours ago