学文网摘要:DMZ主机是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。本文简单介绍了DMZ主机、DMZ主机作用和DMZ主机设置方法、DMZ主机的安全缺陷及其安全缺陷的解决方案。
Abstract: DMZ host machine is a buffer zone between non-safety system and safety system installed to solve the problem of the outer network could not access the internal network server after the installation of firewall. The paper briefly introduces the DMZ host machine, DMZ main machine function and DMZ host machine setting methods, DMZ host machine safety flaws and the related solutions.
关键词:DMZ主机;作用;安全;解决方案
Key words: DMZ; function; safety; solution
中***分类号:TP39 文献标识码:A文章编号:1006-4311(2011)03-0185-01
1DMZ主机简介
DMZ(Demilitarized Zone)即俗称的非***事区,与***事区和信任区相对应,作用是把WEB,e-mail等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的机密或私人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。DMZ可以为主机环境提供网络级的保护,能减少为不信任客户提供服务而引发的危险,是放置公共信息的最佳位置。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击,攻击者即使初步入侵成功,还要面临DMZ设置的新的障碍。
2DMZ主机运作机理
DMZ提供的服务是经过了地址转换(NAT)和受安全规则限制的,以达到隐蔽真实地址、控制访问的功能。
2.1 地址转换DMZ区服务器与内网区、外网区的通信是经过网络地址转换(NAT)实现的。网络地址转换用于将一个地址域(如专用Intranet)映射到另一个地址域(如Internet),以达到隐藏专用网络的目的。DMZ区服务器对内服务时映射成内网地址,对外服务时映射成外网地址。采用静态映射配置网络地址转换时,服务用IP和真实IP要一一映射,源地址转换和目的地址转换都必须要有。
2.2 DMZ安全规则制定安全规则集是安全策略的技术实现,一个可靠、高效的安全规则集是实现一个成功、安全的防火墙的非常关键的一步。如果防火墙规则集配置错误,再好的防火墙也只是摆设。在建立规则集时必须注意规则次序,因为防火墙大多以顺序方式检查信息包,同样的规则,以不同的次序放置,可能会完全改变防火墙的运转情况。如果信息包经过每一条规则而没有发现匹配,这个信息包便会被拒绝。一般来说,通常的顺序是,较特殊的规则在前,较普通的规则在后,防止在找到一个特殊规则之前一个普通规则便被匹配,避免防火墙被配置错误。
DMZ安全规则指定了非***事区内的某一主机(IP地址)对应的安全策略。由于DMZ区内放置的服务器主机将提供公共服务,其地址是公开的,可以被外部网的用户访问,所以正确设置DMZ区安全规则对保证网络安全是十分重要的。
FireGate可以根据数据包的地址、协议和端口进行访问控制。它将每个连接作为一个数据流,通过规则表与连接表共同配合,对网络连接和会话的当前状态进行分析和监控。其用于过滤和监控的IP包信息主要有:源IP地址、目的IP地址、协议类型(IP、ICMP、TCP、UDP)、源TCP/UDP端口、目的TCP/UDP端口、ICMP报文类型域和代码域、碎片包和其他标志位(如SYN、ACK位)等。
为了让DMZ区的应用服务器能与内网中DB服务器(服务端口4004、使用TCP协议)通信,需增加DMZ区安全规则。
3DMZ主机的安全缺陷
首先,DMZ堡垒主机下的计算机与完露在Internet外网一样,很容易受到外部入侵和病毒的攻击;另一方面,DMZ主机设置需要单独划分网段,对于中低端路由交换设备来说DMZ主机往往只能设置一台或者几台,无法灵活的开启。
4DMZ主机的安全缺陷的解决
正因以上两大问题造成了在应用DMZ主机时遇到了一些麻烦,如何既通过路由交换设备保护内网计算机又可以针对多台计算机的DMZ或解决内网应用限制呢?
第一步:一般情况当我们的计算机处于内网中进行***或其他网络应用时往往会发现速度非常不理想,网络状态处于受限,相关***只有几KB/S。
第二步:虽然我们可以通过路由交换设备的DMZ主机设置来突破这种限制,但是大部分中低端路由交换设备都只容许我们设置一个IP地址作为DMZ主机,因此在使用上非常不方便。
第三步:要想彻底突破DMZ堡垒主机功能的缺陷我们就需要从本机下手,首先查看“网上邻居”“属性”,在这里会看到对应的本地连接情况。
第四步:如果拥有“Internet网关”显示***标的话我们只需要开启路由交换设备的UPNP功能就可以实现速度的突破以及内网安全防护双功能了。如果没有“Internet网关”信息那么可以按照接下来的步骤添加开启。
第五步:要想让本机具备“Internet网关”***标而支持UPNP功能就需要通过“开始”“运行”“输入services.mcs”。
安装相关服务,复制必须文件到本地硬盘。
第六步:在本机安装了UPNP功能后我们在Windows防火墙中的例外标签下将会看到“UPNP框架”一栏,将其选中后表示容许UPNP数据通过防火墙传输。
第七步:全部设置完毕后我们再次进入“网上邻居”“属性”,在这里将会看到新出现的“internet网关”***标。这个就是关键的UPNP服务。
第八步:在本机开启了UPNP功能出现“internet网关”***标并配合路由交换设备上开启UPNP功能后,我们在本机进行相关网络服务和应用时就会感受到速度的大幅度提高,同时网络状态也从受限变为正常。
5总结
通过本文我们可以了解DMZ主机作用及缺陷的解决方法,完全摆脱针对路由器上进行所谓的DMZ主机的设置,而且也不用再为堡垒主机可用IP地址数量局限所烦恼了,经过本文介绍我们可以直接在本机上针对某个服务某个应用进行突破限制操作,从而让网络应用更加灵活,要知道单纯的开启DMZ堡垒主机会将所有网络应用的限制都解除,而通过internet网关来设置规则只会针对规则中涉及到的服务与应用来解除限制,这样我们就可以更好的使用网络,更加灵活的配置各个网络程序。
转载请注明出处学文网 » 浅谈DMZ主机及其安全