DMZ

非軍事化區

DMZ,是英文“demilitarized zone”的縮寫,中文名稱為“隔離區”,也稱“非軍事化區”。它是為了解決安裝防火牆后外部網路的訪問用戶不能訪問內部網路伺服器的問題,而設立的一個非安全系統與安全系統之間的緩衝區。該緩衝區位於企業內部網路和外部網路之間的小網路區域內。在這個小網路區域內可以放置一些必須公開的伺服器設施,如企業Web伺服器FTP伺服器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網路。因為這種網路部署,比起一般的防火牆方案,對來自外網的攻擊者來說又多了一道關卡。

概念


DMZ 是英文“Demilitarized Zone”的縮寫,中文名稱為“隔離區”,
DMZ
DMZ
與軍事區和信任區相對應,也稱“非軍事化區”,是為了解決外部網路不能訪問內部網路伺服器的問題,而設立的一個非安全系統與安全系統之間的緩衝區。作用是把單位的 FTP伺服器、E-Mail伺服器等允許外部訪問的伺服器單獨部署在此區域,使整個需要保護的內部網路接在信任區后,不允許任何外部網路的直接訪問,實現內外網分離,滿足用戶的安全需求。
DMZ 區可以理解為一個不同於外網或內網的特殊網路區域,DMZ 內通常放置一些不含機密信息的公用伺服器,比如 WEB 伺服器、E-Mail 伺服器、FTP 伺服器等。這樣來自外網的訪問者只可以訪問 DMZ 中的服務,但不可能接觸到存放在內網中的信息等,即使 DMZ 中伺服器受到破壞,也不會對內網中的信息造成影響。DMZ 區是信息安全縱深防護體系的第一道屏障,在企事業單位整體信息安全防護體系中具有舉足輕重的作用。
針對不同資源提供不同安全級別的保護,就可以考慮 構建一個 DMZ 區域。如右圖所示,我們可以看到網路被劃分為三個區域:安全級別最高的 LAN Area(內網),安全級別中等的 DMZ 區域和安全級別最低的 Internet 區域(外網)。右圖是一個典型的 DMZ 區的構建圖,用戶將核心的、重要的,只為內部網路用戶提供服務的伺服器部署在內網,將 WEB 伺服器、E-Mail 伺服器、FTP 伺服器等需要為內部和外部網路同時提供服務的伺服器放置到防火牆后的 DMZ 區內。通過合理的策略規劃,使 DMZ 中伺服器既免受到來自外網路的入侵和破壞,也不會對內網中的機密信息造成影響。DMZ 服務區好比一道屏障,在其中放置外網伺服器,在為外網用戶提供服務的同時也有效地保障了內部網路的安全。

原理


將部分用於提供對外服務的伺服器主機劃分到一個特定的子網——DMZ內,在DMZ的主機能與同處DMZ內的主機和外部網路的主機通信,而同內部網路主機的通信會被受到限制。這使DMZ的主機能被內部網路和外部網路所訪問,而內部網路又能避免外部網路所得知。
DMZ能提供對外部入侵的防護,但不能提供內部破壞的防護,如內部通信數據包分析和欺騙。
UniERM具備內網訪問DMZ區伺服器的分析和控制。外網訪問DMZ區伺服器的分析和控制。

作用


在實際的運用中,某些主機需要對外提供服務,為了更好地提供服務,同時又要有效地保護內部網路的安全,將這些需要對外開放的主機與內部的眾多網路設備分隔開來,根據不同的需要,有針對性地採取相應的隔離措施,這樣便能在對外提供友好的服務的同時最大限度地保護了內部網路。針對不同資源提供不同安全級別的保護,可以構建一個DMZ區域,DMZ可以為主機環境提供網路級的保護,能減少為不信任客戶提供服務而引發的危險,是放置公共信息的最佳位置。在一個非DMZ系統中,內部網路和主機的安全通常並不如人們想象的那樣堅固,提供給Internet的服務產生了許多漏洞,使其他主機極易受到攻擊。但是,通過配置DMZ,我們可以將需要保護的Web應用程序伺服器和資料庫系統放在內網中,把沒有包含敏感數據、擔當代理數據訪問職責的主機放置於DMZ中,這樣就為應用系統安全提供了保障。DMZ使包含重要數據的內部系統免於直接暴露給外部網路而受到攻擊,攻擊者即使初步入侵成功,還要面臨DMZ設置的新的障礙。

應用


在一個用路由器連接的區域網中,我們可以將網路劃分為三個區域:安全級別最高的LAN Area(內網),安全級別中等的DMZ區域和安全級別最低的Internet區域(外網)。三個區域因擔負不同的任務而擁有不同的訪問策略。我們在配置一個擁有DMZ區的網路的時候通常定義以下的訪問控制策略以實現DMZ區的屏障功能。
1.內網可以訪問外網
內網的用戶顯然需要自由地訪問外網。在這一策略中,防火牆需要進行源地址轉換。
2.內網可以訪問DMZ
此策略是為了方便內網用戶使用和管理DMZ中的伺服器。
3.外網不能訪問內網
很顯然,內網中存放的是公司內部數據,這些數據不允許外網的用戶進行訪問。
4.外網可以訪問DMZ
DMZ中的伺服器本身就是要給外界提供服務的,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火牆完成對外地址到伺服器實際地址的轉換。
5.DMZ訪問內網有限制
很明顯,如果違背此策略,則當入侵者攻陷DMZ時,就可以進一步進攻到內網的重要數據。
6.DMZ不能訪問外網
此條策略也有例外,比如DMZ中放置郵件伺服器時,就需要訪問外網,否則將不能正常工作。在網路中,非軍事區(DMZ)是指為不信任系統提供服務的孤立網段,其目的是把敏感的內部網路和其他提供訪問服務的網路分開,阻止內網和外網直接通信,以保證內網安全。
在沒有DMZ的技術之前,需要使用外網伺服器的用戶必須在其防火牆上面開放埠(就是Port Forwarding技術)使網際網路的用戶訪問其外網伺服器,顯然,這種做法會因為防火牆對網際網路開放了一些必要的埠降低了需要受嚴密保護的內網區域的安全性,黑客們只需要攻陷外網伺服器,那麼整個內部網路就完全崩潰了。DMZ區的誕生恰恰為需用架設外網伺服器的用戶解決了內部網路的安全性問題。

服務配置


DMZ提供的服務是經過了網路地址轉換(NAT)和受安全規則限制的,以達到隱蔽真實地址、控制訪問的功能。首先要根據將要提供的服務和安全策略建立一個清晰的網路拓撲,確定DMZ區應用伺服器的IP和埠號以及數據流向。通常網路通信流向為禁止外網區與內網區直接通信,DMZ區既可與外網區進行通信,也可以與內網區進行通信,受安全規則限制。

地址轉換

DMZ區伺服器與內網區、外網區的通信是經過網路地址轉換(NAT)實現的。網路地址轉換用於將一個地址域(如專用Internet)映射到另一個地址域(如Internet),以達到隱藏專用網路的目的。DMZ區伺服器對內服務時映射成內網地址,對外服務時映射成外網地址。採用靜態映射配置網路地址轉換時,服務用IP和真實IP要一一映射,源地址轉換和目的地址轉換都必須要有。

DMZ安全規則制定

安全規則集是安全策略的技術實現,一個可靠、高效的安全規則集是實現一個成功、安全的防火牆的非常關鍵的一步。如果防火牆規則集配置錯誤,再好的防火牆也只是擺設。在建立規則集時必須注意規則次序,因為防火牆大多以順序方式檢查信息包,同樣的規則,以不同的次序放置,可能會完全改變防火牆的運轉情況。如果信息包經過每一條規則而沒有發現匹配,這個信息包便會被拒絕。一般來說,通常的順序是,較特殊的規則在前,較普通的規則在後,防止在找到一個特殊規則之前一個普通規則便被匹配,避免防火牆被配置錯誤。
DMZ安全規則指定了非軍事區內的某一主機(IP地址)對應的安全策略。由於DMZ區內放置的伺服器主機將提供公共服務,其地址是公開的,可以被外部網的用戶訪問,所以正確設置DMZ區安全規則對保證網路安全是十分重要的。
FireWall可以根據數據包的地址、協議和埠進行訪問控制。它將每個連接作為一個數據流,通過規則表與連接表共同配合,對網路連接和會話的當前狀態進行分析和監控。其用於過濾和監控的IP包信息主要有:源IP地址、目的IP地址、協議類型(IP、ICMPTCPUDP)、源TCP/UDP埠、目的TCP/UDP埠、ICMP報文類型域和代碼域、碎片包和其他標誌位(如SYN、ACK位)等。
為了讓DMZ區的應用伺服器能與內網中DB伺服器(服務埠4004、使用TCP協議)通信,需增加DMZ區安全規則,這樣一個基於DMZ的安全應用服務便配置好了。其他的應用服務可根據安全策略逐個配置。
DMZ無疑是網路安全防禦體系中重要組成部分,再加上入侵檢測和基於主機的其他安全措施,將極大地提高公共服務及整個系統的安全性。

虛擬DMZ


VMware的《在VMware基礎架構中實現DMZ虛擬化》白皮書指出,一個虛擬化的DMZ提供了與物理DMZ同樣程度的安全性,從而生成一個同樣安全的虛擬DMZ網路。在過去幾年中,虛擬化技術的使用有著長足的增長;虛擬機VM)現在已經可以代替物理伺服器。同樣的趨勢也發生在DMZ領域上,為了讓網路保持正確的隔離及安全性,物理DMZ正在不斷被虛擬DMZ替代著。