四层梦境之若何安全的DMZ[网络技术]

　谈到DMZ（非军事区）时,我们已经走过了冗长的DMZ计划之路,假如你的组织需求DMZ,它不再是一个麻烦的问题,目前的问题是你应当若何计划一个安全的DMZ.

　　在计算机安全范畴,DMZ是一个物理或逻辑的子网,它里面驻留着组织供应应外部用户的服务,并负责表露给更大,不可托的网络 – 普通指的是互联网,最初的DMZ计划就是从内部网络独立出一个简单的子网,但凡要开放给互联网的服务全部扔到这个子网中.

　　目前很多DMZ计划就象计划公路上行驶的交通工具一样,比方,计划运输货物的卡车时最重要的就是要尽大概降低货物运输本钱,计划经济型汽车时就是要省钱,计划风雅型汽车时,就是要让买车人的朋友妒忌,DMZ计划和计划汽车的原理一样,固然存在各种大概的改变,但它们目的都是相同的.

　　我们本日利用的网络名称有千千种,但基本上都离不开内部网络,外部网络和DMZ,它们大概被叫做合作搭档网络,供应商网络,内部DMZ或安全区,实际上它们都是混合了各种设备,衔接微风险的DMZ.51CTO编者按:假如你看过盗梦空间这部片子,你会发现网络计划者的工作和造梦师差不多.

　　DMZ计划的目标

　　假如你问10个网络架构师若何计划DMZ,你大概会得到10个完好差别的答案,固然改变会增添生活的爱好,但作为一个特别的行业,我们应当遵守DMZ计划范畴一些公认的做法.

　　DMZ计划的核心原则是按照风险断绝设备、系统、服务和利用程序,终究目标是断绝风险,当一个设备或系统被黑时,可以有效保护别的设备或系统不受连累,除了按风险断绝外,别的四种常见的DMZ计划办法辨别是:按操作系统断绝,按数据分类筹划断绝,按信任级别断绝和按业务部门断绝.

　　假如你理解审计和法规顺从要求,你会发现对技术计划的要求越来越多,在某些新需求中,我们发现需求将Web和利用程序与数据库断绝,这是一个非常好的主张,此外,我们也发现很多组织但愿服务器的用处单一化,比方,Web服务器不能同时用作DNS服务器,这些都是很好的设法.

　　DMZ计划的四个级别

　　我们将DMZ计划分为四个级别,一级是最简单的计划,背面的级别可以供应更细粒度的安全掌握.当我们想成立一个基本的DMZ时,普通会从单个网段的防火墙开始着手,在我们的DMZ计划书籍中我们将其称为一级计划,假如需求开放给互联网拜候的服务器数目较少,这种计划办法可以对付得过来,但假如你要做电子商务交易,必须用更高级的计划办法.

　　很多计划师都简单犯一样的错误,他们将Web服务器和利用程序服务器放在DMZ中,将数据库放在内部网络中,这种计划其实是最不安全的,因为数据库攻击变得更有针对性,假如将其布置在内部网络中,需求更复杂的计划,来自内部的攻击越发危险二级DMZ计划

　　二级DMZ计划大概包含多个DMZ网络,相关于一级计划,它在很多方面都举行了改良,它答应在每个DMZ之间写入通信法则实施掌握和断绝,首先需求将Web和利用程序服务,数据库,身份认证服务,VPN,合作搭档衔接,电子邮件和移动服务放在独立的DMZ中,在目前的网络环境下这种做法是可行的,大大都防火墙可以轻松处理数十个接口,每个接口可以支持多个VLAN.

　　三级DMZ计划

　　在二级DMZ计划中常常碰到的一个问题是,防火墙法则过度宽大,本不该开放给互联网拜候的设备被开放了,改正办法是利用两个防火墙,一个内部防火墙,一个外部防火墙,我们称这种计划为三级计划,DMZ按照拜候限制放在防火墙之间,入站互联网拜候答应通过外部防火墙进入外部DMZ,不会直接路由到由内部防火墙保护的内部DMZ中的设备上,内部网络可以和内部DMZ通信,但不能和外部DMZ通信.

　　三级DMZ计划利用两个防火墙,用它们自己的战略有效断绝了互联网衔接设备和它们需求的服务,大大都安全团队都可以快速理解外部DMZ和内部DMZ之间的拜候法则,最有引诱力的是可以成立答应互联网入站拜候从DMZ到内部网络的法则,当然这应当是永久禁止的,全部需求的服务都应当全部放进DMZ,永久不要表露内部网络.

　　但遗憾的是,这个限制却常常被冲破,因为IT小组之间普通贫乏调和或有效的沟通,布置新利用程序时常常很匆忙,未考虑安全因素,网络复杂性和别的因素招致组织在他们的内部网络上成立了关键服务,这样做是非常危险的. 四级DMZ计划

　　四级DMZ计划就更复杂了,四级计划普通需求在各种网络边界位置结对布置防火墙,将DMZ分离在这些防火墙之间,按照你挑选的指标举行断绝,大大都计划师喜好按照业务或功效组举行断绝,还有一些计划师喜好按照信任等级举行断绝.

　　最佳实践要求按照服务水平协议（SLA）和数据分类构建独立的防火墙仓库,可认为PCI安全尺度成立完好独立的防火墙仓库,为用户服务断绝防火墙（如Web浏览,FTP,电子邮件,打补钉等等）,为商业服务独立防火墙,通过SLA考虑将商业服务放入DMZ时,90%,98%和99.9%是三个最好的目标,按照SLA计划DMZ可以使DMZ管理变得更简单,并可以削减业务中止.

　　小结

　　最后,在筹划和计划阶段应尽大概严峻一点,一旦DMZ上线,要修复计划上存在的大漏洞可就麻烦了,在组织内置履行严峻的调查将有助于加强和别的好处相关者的沟通,无论他们是其他IT人员,还是企业主,合作搭档或管理人员,他们城市认为你是考虑全面的风险管理人员和战略思惟家,你在公司的形象一下子就上升了,同时,大概最重要的是,你将会得到更多有代价的反馈和倡议,假如一次说话会对你的DMZ计划产生庞大影响,你还会惊骇尝试找个人聊聊吗