DMZ 非軍事區 - daniel-qa/Network GitHub Wiki

DMZ 非軍事區 #

DMZ 是英文“Demilitarized Zone”的縮寫，中文名稱為“隔離區”，與軍事區和信任區相對應，也稱“非軍事化區”，是為了解決外部網路不能訪問內部網路伺服器的問題，而設立的一個非安全系統與安全系統之間的緩衝區。

作用是把單位的 FTP伺服器、E-Mail伺服器等允許外部訪問的伺服器單獨部署在此區域，使整個需要保護的內部網路接在信任區後，不允許任何外部網路的直接訪問，實現內外網分離，滿足用戶的安全需求。

DMZ 區可以理解為一個不同於外網或區域網路的特殊網路區域，DMZ 內通常放置一些不含機密信息的公用伺服器，比如 WEB 伺服器、E-Mail 伺服器、FTP 伺服器等。

這樣來自外網的訪問者只可以訪問 DMZ 中的服務，但不可能接觸到存放在區域網路中的信息等，即使 DMZ 中伺服器受到破壞，也不會對區域網路中的信息造成影響。

DMZ 區是信息安全縱深防護體系的第一道屏障，在企事業單位整體信息安全防護體系中具有舉足輕重的作用。

針對不同資源提供不同安全級別的保護，就可以考慮構建一個 DMZ 區域。如右圖所示，我們可以看到網路被劃分為三個區域：安全級別最高的 LAN Area（區域網路），安全級別中等的 DMZ 區域和安全級別最低的 Internet 區域（外網）。右圖是一個典型的 DMZ 區的構建圖，用戶將核心的、重要的，只為內部網路用戶提供服務的伺服器部署在區域網路，將 WEB 伺服器、E-Mail 伺服器、FTP 伺服器等需要為內部和外部網路同時提供服務的伺服器放置到防火牆後的 DMZ 區內。

通過合理的策略規劃，使 DMZ 中伺服器既免受到來自外網路的入侵和破壞，也不會對區域網路中的機密信息造成影響。DMZ 服務區好比一道屏障，在其中放置外網伺服器，在為外網用戶提供服務的同時也有效地保障了內部網路的安全。

三個區域因擔負不同的任務而擁有不同的訪問策略。我們在配置一個擁有DMZ區的網路的時候通常定義以下的訪問控制策略以實現DMZ區的屏障功能。

訪問策略

1.區域網路可以訪問外網

區域網路的用戶顯然需要自由地訪問外網。在這一策略中，防火牆需要進行源地址轉換。

2.區域網路可以訪問DMZ

此策略是為了方便區域網路用戶使用和管理DMZ中的伺服器。

3.外網不能訪問區域網路

很顯然，區域網路中存放的是公司內部數據，這些數據不允許外網的用戶進行訪問。

4.外網可以訪問DMZ

DMZ中的伺服器本身就是要給外界提供服務的，所以外網必須可以訪問DMZ。同時，外網訪問DMZ需要由防火牆完成對外地址到伺服器實際地址的轉換。

5.DMZ訪問區域網路有限制

很明顯，如果違背此策略，則當入侵者攻陷DMZ時，就可以進一步進攻到區域網路的重要數據。

6.DMZ不能訪問外網

此條策略也有例外，比如DMZ中放置郵件伺服器時，就需要訪問外網，否則將不能正常工作。在網路中，非軍事區(DMZ)是指為不信任系統提供服務的孤立網段，其目的是把敏感的內部網路和其他提供訪問服務的網路分開，阻止區域網路和外網直接通信，以保證區域網路安全。

在沒有DMZ的技術之前，需要使用外網伺服器的用戶必須在其防火牆上面開放連線埠（就是Port Forwarding技術）使網際網路的用戶訪問其外網伺服器，顯然，這種做法會因為防火牆對網際網路開放了一些必要的連線埠降低了需要受嚴密保護的區域網路區域的安全性，黑客們只需要攻陷外網伺服器，那么整個內部網路就完全崩潰了。DMZ區的誕生恰恰為需用架設外網伺服器的用戶解決了內部網路的安全性問題。

DMZ安全規則制定

安全規則集是安全策略的技術實現，一個可靠、高效的安全規則集是實現一個成功、安全的防火牆的非常關鍵的一步。如果防火牆規則集配置錯誤，再好的防火牆也只是擺設。

在建立規則集時必須注意規則次序，因為防火牆大多以順序方式檢查信息包，同樣的規則，以不同的次序放置，可能會完全改變防火牆的運轉情況。如果信息包經過每一條規則而沒有發現匹配，這個信息包便會被拒絕。

一般來說，通常的順序是，較特殊的規則在前，較普通的規則在後，防止在找到一個特殊規則之前一個普通規則便被匹配，避免防火牆被配置錯誤。

DMZ安全規則指定了非軍事區內的某一主機（IP位址）對應的安全策略。由於DMZ區內放置的伺服器主機將提供公共服務，其地址是公開的，可以被外部網的用戶訪問，所以正確設定DMZ區安全規則對保證網路安全是十分重要的。

FireWall可以根據數據包的地址、協定和連線埠進行訪問控制。它將每個連線作為一個數據流，通過規則表與連線表共同配合，對網路連線和會話的當前狀態進行分析和監控。

其用於過濾和監控的IP包信息主要有：源IP位址、目的IP位址、協定類型（IP、ICMP、TCP、UDP）、源TCP/UDP連線埠、目的TCP/UDP連線埠、ICMP報文類型域和代碼域、碎片包和其他標誌位（如SYN、ACK位）等。

為了讓DMZ區的套用伺服器能與區域網路中DB伺服器（服務連線埠4004、使用TCP協定）通信，需增加DMZ區安全規則，這樣一個基於DMZ的安全套用服務便配置好了。其他的套用服務可根據安全策略逐個配置。

DMZ無疑是網路安全防禦體系中重要組成部分，再加上入侵檢測和基於主機的其他安全措施，將極大地提高公共服務及整個系統的安全性