1 DMZ區(qū)的位置和意義

在現(xiàn)實(shí)的大型網(wǎng)絡(luò)中經(jīng)常會(huì)遇到這樣的問題，在局域網(wǎng)內(nèi)有一部分服務(wù)器是必須通過網(wǎng)絡(luò)直接訪問的，但其余網(wǎng)絡(luò)又不想直接暴露在路由器下面。在這種情況下，外部防火墻和內(nèi)部防火墻中間出現(xiàn)了一個(gè)新的區(qū)域，就是DMZ區(qū)。

DMZ(Demilitarized Zone)即俗稱的非軍事區(qū)，作用是把Web、Mail、FTP等一些不含機(jī)密信息的允許外部訪問的服務(wù)器單獨(dú)接在該區(qū)端口，使整個(gè)需要保護(hù)的內(nèi)部網(wǎng)絡(luò)接在信任區(qū)端口后，不允許任何訪問，實(shí)現(xiàn)內(nèi)外網(wǎng)分離，達(dá)到用戶需求。這樣來自外網(wǎng)的訪問者可以訪問DMZ區(qū)中的服務(wù)，而攻擊者即使初步入侵成功，還要面臨DMZ設(shè)置的新的障礙，因此也不會(huì)對(duì)內(nèi)網(wǎng)中的機(jī)密信息造成影響。所以數(shù)據(jù)庫服務(wù)器不能放在DMZ區(qū)。DMZ區(qū)的位置如圖所示。

2 DMZ區(qū)訪問策略

當(dāng)規(guī)劃一個(gè)擁有DMZ區(qū)的網(wǎng)絡(luò)時(shí)候，我們可以明確各個(gè)網(wǎng)絡(luò)之間的訪問關(guān)系，可以確定以下三條訪問控制策略。

2.1 內(nèi)網(wǎng)可以訪問外網(wǎng)、可以訪問DMZ

內(nèi)網(wǎng)的用戶顯然需要自由地訪問外網(wǎng)。在這一策略中，防火墻需要進(jìn)行源地址轉(zhuǎn)換。而內(nèi)網(wǎng)訪問DMZ是為了方便內(nèi)網(wǎng)用戶使用和管理DMZ中的服務(wù)器。

2.2 外網(wǎng)不能訪問內(nèi)網(wǎng)但可以訪問DMZ區(qū)

內(nèi)網(wǎng)中存放的是公司內(nèi)部數(shù)據(jù)，這些數(shù)據(jù)不允許外網(wǎng)的用戶進(jìn)行訪問。而DMZ區(qū)中的服務(wù)器本身就是要給外界提供服務(wù)的，所以外網(wǎng)必須可以訪問DMZ。同時(shí)，外網(wǎng)訪問DMZ區(qū)需要由防火墻完成對(duì)外地址到服務(wù)器實(shí)際地址的轉(zhuǎn)換。

2.3 DMZ不能訪問外網(wǎng)也不能訪問內(nèi)網(wǎng)

DMZ雖然不能訪問外網(wǎng)，但有例外，比如DMZ區(qū)中放置郵件服務(wù)器時(shí)，就需要訪問外網(wǎng)，否則將不能正常工作。而DMZ原則上也是不能訪問內(nèi)網(wǎng)的，如果違背此策略，則當(dāng)入侵者攻陷DMZ區(qū)時(shí)，就可以進(jìn)一步進(jìn)攻到內(nèi)網(wǎng)的重要數(shù)據(jù)，也就違反了DMZ區(qū)設(shè)立的初衷。非軍事區(qū)(DMZ)是指為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，其目的是把敏感的內(nèi)部網(wǎng)絡(luò)和其他提供訪問服務(wù)的網(wǎng)絡(luò)分開，阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全。

3 DMZ區(qū)服務(wù)配置

DMZ區(qū)提供的服務(wù)是經(jīng)過了地址轉(zhuǎn)換（NAT）和受安全規(guī)則限制的，以達(dá)到隱蔽真實(shí)地址、控制訪問的功能。首先要根據(jù)將要提供的服務(wù)和安全策略建立一個(gè)清晰的網(wǎng)絡(luò)拓?fù)洌_定DMZ區(qū)應(yīng)用服務(wù)器的IP和端口號(hào)以及數(shù)據(jù)流向。通常網(wǎng)絡(luò)通信流向?yàn)榻雇饩W(wǎng)區(qū)與內(nèi)網(wǎng)區(qū)直接通信，DMZ區(qū)既可與外網(wǎng)區(qū)進(jìn)行通信，也可以與內(nèi)網(wǎng)區(qū)進(jìn)行通信，受安全規(guī)則限制。

3.1 地址轉(zhuǎn)換

DMZ區(qū)服務(wù)器與內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)的通信是經(jīng)過網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）實(shí)現(xiàn)的。網(wǎng)絡(luò)地址轉(zhuǎn)換用于將一個(gè)地址域（如專用Intranet）映射到另一個(gè)地址域（如Internet），以達(dá)到隱藏專用網(wǎng)絡(luò)的目的。DMZ區(qū)服務(wù)器對(duì)內(nèi)服務(wù)時(shí)映射成內(nèi)網(wǎng)地址，對(duì)外服務(wù)時(shí)映射成外網(wǎng)地址。采用靜態(tài)映射配置網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)，服務(wù)用IP和真實(shí)IP要一一映射，源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換都必須要有。

3.2 在ISA下配置DMZ

以下介紹兩種DMZ的網(wǎng)絡(luò)部署：

第一種是只有一臺(tái)ISA Server的布局，稱為Three-Pronged DMZ，這種部署必須在ISA Server上插入三塊網(wǎng)卡，一張接上對(duì)外線路的Router裝置，另一張網(wǎng)卡接上內(nèi)部網(wǎng)絡(luò)區(qū)段的Switcher；

另一種是有兩臺(tái)ISA Server的布局，稱為Mid-Ground DMZ，每一臺(tái)ISA Server上插入兩個(gè)網(wǎng)卡。

參考文獻(xiàn)

[1]Jeff Doyle，Matt Kolon.Juniper路由器參考大全.人民郵電出版社.

[2]Alvaro Retana.網(wǎng)絡(luò)核心技術(shù)內(nèi)幕——專業(yè)IP網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì).北京希望電腦公司.

[3]段水福.計(jì)算機(jī)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì).浙江大學(xué)出版社.