网络安全原理与实践学习笔记——设计DMZ
DMZ设计思路
虽然不同网络设备中可用的安全特性在抵御网络攻击中起到了重要的作用,但事实上对网络攻击做好的防御方法之一是网络的安全拓扑设计。关注安全的网络拓扑设计对阻止网络攻击大有帮助,并且能使不同设备的安全特性得到最有效的使用。
在现代网络安全设计中用到的最关键的思想之一是用区去隔离开网络上的不同区域。置于不同区的设备具有不同的安全需求,而区基于这些需求提供保护。
创建区域的基本策略如下:
- 具有最大安全需求(私有网络)的设备在网络的最安全区中。通常这个区只允许很少或者不允许来自公共网络和其他网络的访问。访问通常使用防火墙或者其他安全部件控制,比如安全远程访问(SRA)。这个区中经常需要有严格的认证和授权。
- 仅需在内部访问的服务器要置于一个单独的专用安全区中。使用防火墙控制对这些设备的访问。对这些服务器的访问经常是受到严密监控和记录的。
- 需要从公共网络上访问的服务器,置于一个不允许访问网络中更安全的区的隔离区之中。万一这些服务器中的一个被攻陷,这样做可以避免危及其他区域的网络。另外,如果可能,这些服务器中的每一个也同其他服务器隔离开来,这样如果其中的一个服务器被攻陷时,其他的服务器也不会受到攻击。每个服务器或者每种类型服务器的隔离区按照最安全的类型配置。这意味着一个Web服务器,通过将其置入一个同FTP服务器完全隔离的区中,从而与FTP服务器完全隔离开来。用这种方法,如果这个Web服务器被攻陷,FTP服务器被攻击者访问的机会和攻击者利用从该Web服务器获得权限而对FTP服务器造成危害的可能性度有限。这种区被称为DMZ区,使用防火墙来控制对他们的进出访问。
DMZ通常是驻留于私有网络和公共网络之间的一个子网。来自外网的连接通常终止与DMZ区域的设备。这些服务器可以相对安全的被私有网络内的设备访问。
创建DMZ的最常用方法如下:
- 使用一个三角(three-legged)防火墙创建DMZ。
- 将DMZ置于防火墙之外,公共网络和防火墙之间。
- 将DMZ置于防火墙之外,但不在公共网络和防火墙之间的通道上(也叫作“脏DMZ[dirty DMZ]”)。
- 在层叠的防火墙之间创建DMZ。
1)使用一个三角(three-legged)防火墙创建DMZ
一个防火墙可以由多于三个接口,允许创建许多DMZ。每个DMZ可以具有自己独特的安全需求。
2)将DMZ置于防火墙之外,公共网络和防火墙之间
在这种配置中,DMZ暴露在防火墙的公共面一侧。需要通过防火墙的流量首先通过DMZ。一般情况下不推荐这种配置,因为在这种配置中针对DMZ区域内设备可用的安全控制非常少。这些设备实际上也是公共区域的一部分,它们自身并没有真正地被保护。
显然,这是相当不安全的建立DMZ的方法,因为在这种配置中防火墙的安全特性根本没有用到。但是,在网络边缘路由器的公网方向可以部署一些安全策略,从而向DMZ的成员设备提供一些基本的安全保障。这种安全可能使用访问控制列表的形式。只允许以特定的端口访问DMZ中成员设备并拒绝其他所有的访问。
3)将DMZ置于防火墙之外,但不在公共网络和防火墙之间的通道上
脏DMZ和前面描述的DMZ很相似,仅有的区别是:这里的DMZ不是位于防火墙和公共网络之间,而是位于边缘路由器用于连接防火墙的接口以外的隔离接口。这种类型的配置只为DMZ网络中的设备提供了非常少的安全保障。但是同前面部分描述的配置相比,这种配置为DMZ提供了稍多的隔离性。这种配置中的边缘路由器能够用于拒绝从DMZ子网到防火墙所在的子网的所有访问。并且,单独的VLAN能够提供防火墙所在子网和DMZ子网间更进一步的第二层的隔离。这在当一个位于DMZ子网的主机被攻陷,并且攻击者开始使用这个主机对防火墙和网络发动更进一步攻击的情形下是非常有用的。在这些情形下,增加的隔离层能够帮助延缓对防火墙的攻击进度。
因为防火墙通常要处理所有通往内网和普通DMZ服务器的数据,因此当防火墙性能不足以处理额外的流量的时候,可以通过创建脏DMZ的方式来解决。因为在DMZ上服务器(通常是公共服务器)的流量是相当可观的,所以网络管理员通常被迫将这些设备置于防火墙之外的一个DMZ上,这样防火墙就不必处理通往这些服务器的流量。
一个暴露在公共网络中并且得到加强以面对网络攻击的主机称为堡垒主机(bastion host)。这些主机通常关掉所有不需要的服务,以防止攻击者利用这些服务器入侵主机。同样,任何不需要的端口和网络协议也都要被移除或禁用以增强主机的安全。同时这些主机的操作系统也需要安装所有必要的更新和补丁。大部分能够用于操纵这个主机的工具和配置程序都要从该主机上移除。另外,主机有大量开启的日志记录,以捕获任何入侵的企图。甚至在设置了所有这些安全措施之后,还要部署额外措施以确保即时是主机被攻陷了,攻击者也无法通过从堡垒主机获得的权限访问内网。通常这也意味着堡垒主机和内部私有网络不共享相同的认证系统。
4)在层叠的防火墙之间创建DMZ
在这种形成的DMZ的机制中,两个防火墙层叠放置,因而需要访问离公共网络最远的防火墙后面的私有网络时,所有流量都必须要通过这两个防火墙。在这种方案中,两个防火墙中间的网络用作DMZ。由于DMZ前面的防火墙使得它获得了相当高的安全性。但缺点是所有从内部网络流向公共网络的流量必须经过DMZ网络。在这种方案中,一个被攻陷的DMZ设备能够使攻击者以不同的方式阻截或侦听这个流量。为抵御这种风险,可以在两个防火墙之间的设备上使用私有VLAN。
网络安全原理与实践学习笔记——设计DMZ相关推荐
- 浏览器工作原理与实践学习笔记
浏览器工作原理与实践 参考来源: 极客时间-李兵专栏 李兵简介: 08年,在 Chromium 和 IE 发布了一款双核浏览器:太阳花,国内第一款双核浏览器 ,支持chrome并兼容IE,日活达到了2 ...
- 计算机图形学原理及实践学习笔记第一章
第一章 绪论 1.1 计算机图形学简介 在计算机图形学中,"模型"这个词指的可以是 几何模型 也可以是 数学模型. 几何模型:我们想要呈现在图像中的物体的模型,例如 构建的汽车模型 ...
- 电脑鼠原理与实践学习笔记
一.电脑鼠概述 1.电脑鼠所需基本能力 1.拥有稳定且快速的行走能力 2.能正确判断能力 3.记忆路径的能力 2.电脑鼠发展现状 参考资料: 维基百科 美国MIT 美国UCLA 英国伯明翰大学 英国P ...
- 【day 1】python编程:从入门到实践学习笔记-安装、变量和简单数据类型
学习笔记目录 [day 1]python编程:从入门到实践学习笔记-安装.变量和简单数据类型 [day 2]python编程:从入门到实践学习笔记-列表以及其操作 [day 3]python编程:从入 ...
- 《网络安全原理与实践》一2.1 安全区介绍
本节书摘来自异步社区<网络安全原理与实践>一书中的第2章,第2.1节,作者 [美]Saadat Malik, CCIE #4955,更多章节内容可以访问云栖社区"异步社区&quo ...
- Word2vec原理+实战学习笔记(二)
来源:投稿 作者:阿克西 编辑:学姐 前篇:Word2vec原理+实战学习笔记(一) 视频链接:https://ai.deepshare.net/detail/p_5ee62f90022 ...
- python编程入门到实践学习笔记——外星人入侵游戏pygame(二 外星人)
python编程入门到实践学习笔记--外星人 前言 创建外星人类 创建外星人实例 创建一群外星人 让外星人群移动 移动方向设置 击杀外星人 生成新的外星人群 结束游戏 前言 接着上个做飞船和子弹的文章 ...
- 单片机原理与实践学习记录之51单片机硬件基础
单片机原理与实践学习记录 第三课(更新时间:2021.9.6) 51单片机硬件基础 MCS-51是Intel公司生产的一个单片机系列的总称.在功能上,该系列单片机有基本型和增强型两大类,通常以芯片型号 ...
- 单片机原理与实践学习记录之51单片机I/O口简单应用
单片机原理与实践学习记录 第二课(更新时间:2021.9.3) 51单片机I/O口简单应用 C51中常用的头文件 通常有reg51.h,reg52.h,math.h, ctype.h, stdio ...
最新文章
- java 扫描tcp端口号_多线程TCP端口扫描 java实现
- 冒号课堂§4.3:汇总范式
- 50个比特怎么生成10个码元_你们最关心的42个计算机网络基础问答
- week04_python函数返回值、作用域
- equals方法中变量在前和在后的区别
- mysql数据自定义随机_Mysql 自定义随机字符串
- linux tcp项目,Linux上TCP重传的应用控制
- VMware 禁用虚拟内存文件,提升虚拟机响应速度 .
- Angular JS
- IIS6上配置CGI有两个要点(转)
- layui结合mybatis的pagehelper插件的分页通用的方法
- insert into 语句 mysql_sql insert into 语句
- lema刻字机_Chris Lema访谈– WordPress业务
- 2022-2028年中国环保减速机行业运行动态及投资机会分析报告
- 无穷积分 ∫e^(-x^2)dx 的几种巧妙解法
- 微信小程序-预研总结(PPT分享)
- 配备Apple T2 安全芯片的 Mac 机型及T2芯片mac电脑U盘装系统教程
- vscode 设置setting文件
- UE4 Matinee制作相机动画及其蓝图播放(UE4.11和UE4.19测试通过)
- android制作3d打印机,基于Rayland主板的3D打印机指令控制Android(部分)实现