『壹』 路由器中的虛擬伺服器和DMZ
配置步驟
1、WEB伺服器
1) 內網搭建好伺服器,保證內網pc可以正常訪問,以及該伺服器可以正常訪問互聯網;
2) 登陸路由器的管理界面,選擇「轉發規則」->「虛擬伺服器」,進行對應的埠映射設置。如在外部使用8080埠訪問內部80埠的WEB伺服器。
當把主機設置成DMZ主機後,該計算機完全暴露於外網,防火牆對該主機不再起作用。外網用戶訪問路由器外網地址時,訪問的就是192.168.0.10這台計算機。
注意:
1. 添加DMZ主機可能會給該主機帶來不安全因素,因此不要輕易使用這一選項。
2. DMZ主機的優先順序低於虛擬伺服器,網際網路用戶對路由器同一埠的訪問將優先轉發到虛擬伺服器所對應的區域網伺服器上。
『貳』 非軍事化區是什麼意思啊
DMZ是英文「demilitarized zone」的縮寫,中文名稱為「隔離區」,也稱「非軍事化區」。它是為了解決安裝防火牆後外部網路不能訪問內部網路伺服器的問題,而設立的一個非安全系統與安全系統之間的緩沖區,這個緩沖區位於企業內部網路和外部網路之間的小網路區域內,在這個小網路區域內可以放置一些必須公開的伺服器設施,如企業Web伺服器、FTP伺服器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網路,因為這種網路部署,比起一般的防火牆方案,對攻擊者來說又多了一道關卡。網路結構如右圖所示。
網路設備開發商,利用這一技術,開發出了相應的防火牆解決方案。稱「非軍事區結構模式」。DMZ通常是一個過濾的子網,DMZ在內部網路和外部網路之間構造了一個安全地帶。網路結構如下圖所示。
DMZ防火牆方案為要保護的內部網路增加了一道安全防線,通常認為是非常安全的。同時它提供了一個區域放置公共伺服器,從而又能有效地避免一些互聯應用需要公開,而與內部安全策略相矛盾的情況發生。在DMZ區域中通常包括堡壘主機、Modem池,以及所有的公共伺服器,但要注意的是電子商務伺服器只能用作用戶連接,真正的電子商務後台數據需要放在內部網路中。
在這個防火牆方案中,包括兩個防火牆,外部防火牆抵擋外部網路的攻擊,並管理所有內部網路對DMZ的訪問。內部防火牆管理DMZ對於內部網路的訪問。內部防火牆是內部網路的第三道安全防線(前面有了外部防火牆和堡壘主機),當外部防火牆失效的時候,它還可以起到保護內部網路的功能。而區域網內部,對於Internet的訪問由內部防火牆和位於DMZ的堡壘主機控制。在這樣的結構里,一個黑客必須通過三個獨立的區域(外部防火牆、內部防火牆和堡壘主機)才能夠到達區域網。攻擊難度大大加強,相應內部網路的安全性也就大大加強,但投資成本也是最高的。
『叄』 web伺服器可以部署在外網中嗎
web伺服器的部署,不存在外網和內網一說。
應該說,你想把你的web程序放在誰的伺服器上,也就是誰提供的程序運行環境
『肆』 急!網路
企業網路工程解決方案
本方案是一個典型的大型企業網路工程解決方案,實際工程可以根據需要和可能,參照此方案靈活應用。
一、企業網路設計
(1)主幹網設計
採用千兆乙太網技術。千兆乙太網技術特點是具有高速數據傳輸帶寬,基本能滿足高速交換及多媒體對服務質量的要求。易於網路升級、易於維護、易於管理,具有良好的價格比。
傳輸介質。千兆傳輸距離500m以內採用50/125多模光纜;千兆傳輸距離大於500m、小於5000m時採用9/125單模光纜;百兆傳輸距離2000m以內採用50/125多模光纜;百兆傳輸距離大於2000m採用9/125單模光纜。
交換機。主幹交換機的基本要求:機箱式結構,便於擴展;支持多種網路方式,如快速乙太網、千兆乙太網等;高性能,高背板帶寬及中心交換吞吐量;支持第二、第三交換,支持各種IP應用;高可靠性設計,如多電源/管理模塊、熱插拔;豐富的可管理能力等。
中心機房配置企業級交換機作為網路中心交換機。為實現網路動態管理和虛擬區域網,在中心交換機上配置第三層交換模塊和網路監控模塊。主幹各結點採用1000Mbps連接,伺服器採用雙網卡鏈路聚合200Mbps連接,客戶採用交換式10/1000Mbps連接。
(2)樓宇內區域網設計
要求採用支持802.1Q的10/100Mbps工作組乙太網交換機,交換機的數據依據用戶埠數、可靠性及網管要求配置網路接入交換機,使10/100Mbps流量接至桌面。
(3)接入Internet設計
Internet接入系統由位於網路中心的非軍事區(DMZ)交換機、WWW服務、E-mail服務、防火牆、路由器、Internet光纖接入組成。
(4)虛擬區域網VLAN設計
通過VLAN將相同業務的用戶劃分在一個邏輯子網內,既可以防止不同業務的用戶非法監聽保密信息、又可隔離廣播風暴。不同子網的通信採用三層路由交換完成。
各工作組交換機採用基於埠的VLAN劃分策略,劃分出多個不同的VLAN組,分隔廣播域。每個VLAN是一個子網,由子網中信息點的數量確定子網的大小。
同樣在千兆/百兆乙太網上聯埠上設置802.1Q協議,設置通信幹道(Truck),將每個VLAN的數據流量添加標記,轉發到主幹交換機上實現網路多層交換。
(5)虛擬專用網VPN設計
如果公司跨地區經營,自己鋪設專線不劃算,可以通過Internet採用VPN數據加密技術,構成企業內部虛擬專用網。
(6)網路拓撲結構。這部分待續
二、網路安全性設計
網路系統的可靠與安全問題:
a. 物理信息安全,主要防止物理通路的損壞和對物理通路的攻擊(干擾等)。
b. 鏈路層的網路安全需要保證通過網路鏈路傳送的數據不被竊聽。主要採用劃分VLAN、加密通信等手段。
c. 網路層的安全需要保證網路只給授權的客戶使用授權的服務,保證網路路由正確,避免被攔截或監聽。
d. 操作系統安全要求保證客戶資料、操作系統訪問控制的安全,同時能夠對該操作系統上的應用進行審計。
e. 應用平台的安全要求保證應用軟體服務,如資料庫服務、電子郵件伺服器、Web伺服器、ERP伺服器的安全。
(1)物理安全
機房要上鎖,出入人員要嚴加限制。注意不可讓人從天花板、窗戶進入房間。
機房電力要充足、製冷要合適,環境要清潔。
從工作站到配線櫃的配線應該布在偷聽設備接觸不到的地方。配線不應該直接布在地板或天花板上,而應該隱藏在線槽或其他管道里。
應該包括諸如火災、水災等自然災害後的恢復流程。如美國911世貿中心崩塌,大多數公司的數據得不到恢復。
(2)防火牆
防火牆應具管理簡單、功能先進等特點,並且能夠保證對所有系統實施「防彈」保護。 一個優秀的防火牆具有內網保護、靈活的部署、非軍事區(DMZ)范圍的保護、TCP狀態提醒、包過濾技術、TCP/IP堆棧保護、網路地址翻譯、VPN等功能。
(3)網路病毒
在網路中心主機安裝一台網路病毒控制中心伺服器,該伺服器既要與Internet相連,又要與企業內網相連。該伺服器通過Internet每每更病毒代碼及相關文件,企業內部網路中的伺服器、客戶時刻處於網路病毒控制中心服務的監控下,更新本機的病毒代碼庫及相文件,對計算機的所有文件和內存實施動態、實時、定時等多種病毒防殺策略,以確保網路系統安全。
(4)網路容錯
集群技術。一個伺服器集群包含多台擁有共享數據存儲空間的伺服器,各伺服器之間通過內部區域網進行相互通信。當其中一台伺服器發生故障時,它所運行的應用程序將由其他的伺服器自動接管。在大多數情況下,集群中所有的計算機都擁有一個共同的名稱,集群系統內任意一台伺服器都可被所有的網路用戶所使用。
(5)安全備份與災難恢復
企業信息管理最重要的資產不是網路硬體,而是網路運行的數據。
理想的備份系統是在軟體備份的基礎上增加硬體容錯系統,使網路更加安全可靠。實際上,備份不僅僅是文件備份,而是整個網路的一套備份體系。備份應包括文件備份和恢復,資料庫備份和恢復、系統災難恢復和備份任務管理。
(6)網路入侵檢測、報警、審計技術
入侵檢測系統(IDS-Intrusin Detection System)執行的主要任務包括:監視、分析用戶及系統活動;審計系統構造和弱點;識別、反映已知進攻的活動模式,向相關人士報警;統計分析異常行為模式;評估重要系統和數據文件的完整性;審計、跟蹤管理操作系統,識別用戶違反安全策略的行為。
常見的IDS產品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、啟明星辰公司的天闐、上海金諾的網安、東軟的網眼等。
(7)區域網信息的安全保護技術
密碼採用9位以上,每周修改1次
採用多層交換網路的虛擬網劃分技術,防止在內部網監聽數據
採用NTFS磁碟分區加密技術,使網上鄰居只能是信任用戶
採用Windows域控制技術,對網路資源實行統一管理
採用SAN(Storage Area Network存儲區域網路)與NAS(Network Attached Storage網路連接存儲)保護數據。
SAN技術允許將獨立的存儲設備連接至一台或多台伺服器,專用於伺服器,而伺服器則控制了網路其他部分對它的訪問。
NAS將存儲設備直接連接至網路,使網路中的用戶和網路伺服器可以共享此設備,網路對存儲設備的訪問則由文件管理器這一類設備進行管理。
利用SAN結合集群技術提高系統可靠性、可擴充性和抗災難性;利用NAS文件服務統一存放管理全公司桌面系統數據。
(8)網路代理
採用Proxy對訪問Internet實行統一監控。限制用戶訪問的時間、訪問的內容、訪問的網址、訪問的協議等等,同時對用戶的訪問進行審計。
(9)郵件過濾技術。
採用具有過濾技術郵件管理系統,一般是針對「主題詞」、「關鍵字」、「地址(IP、域名)」等信息過濾,防止非法信息的侵入。
(10)重視網路安全的教育,提高安全意識。
三、綜合布線與機房設計
1. 把伺服器、UPS、防火牆、路由器及中心交換機放置在中心機房,把各子系統的配線櫃設置在各子系統所在的樓層。
2. 樓宇間光纜敷設
採用4芯以上的單模或多模室外金屬光纜架空或埋地敷設。
3. 樓宇內UTP布線
採用AMP超五類UTP電纜、AMP超五類模塊、AMP信息面板、配線架、AMP超五類UTP跳線實現垂直系統、水平子系統、工作區的布線。
4. 機房裝修
(1)地板。鋪設抗靜電三防地板,規格600*600*27,板面標高0.20m,地板應符合GB6650-82《計算機機房用活動地板技術條件》
(2)吊頂。輕鋼龍骨鋁合金架頂棚、頂部礦棉吸聲板飾面。
(3)牆面。塗刮防防瓷、牆壁面刷乳膠漆。
(4)窗戶。加裝塑鋼推拉窗、木製窗簾盒、亞麻豎百葉窗簾。
(5)出入門。安裝鋁合金玻璃隔斷推拉門。
(6)照明。採用高效格柵雙管日光燈嵌入安裝。
(7)配電。機房配電採用三相五線制,多種電源(動力三相380V、普通220V和UPS輸出220V)配電箱。為UPS、空調機、照明等供電。配電箱設有空氣開關,線路全部用銅芯穿PVC管。
(8)接地。根據要求設計接地系統,其直流接地電阻小於1Ω、工作保護地和防雷地接地電阻小於4Ω。為保證優良的接地性能,採用JD—1型接地和化學降阻劑,此外,考慮機房抗靜電的需求,對抗靜電活動地板進行可靠的接地處理,以保證設備和工作人員的安全要求。
(9)空調。主機房3P櫃機;分機房1.5壁掛式空調機。
5. UPS後備電源。
採用分散保護,集中管理電源的策略,考慮APC公司提供的電源解決方案。
四、企業網應用系統
1. 應用伺服器。IBM伺服器首選,當然,也可以採用高檔PC機,PC機的優點是便於更新換代。
2. 軟體平台。採用Windows 2003(主要使用Domain域控制器,集成DNS服務),Redhat 9.0,Solaris 9.0(在unix/linux上運行Oracle資料庫,SAP/R3系統,基於Lotus Domino/Notes的OA系統)
3. 資料庫系統。採用Oracle大型資料庫,或SQL Server2000資料庫。
4. OA辦公系統。基於Lotus Domino/Notes的OA系統,Lotus Domino集成Email/HTTP等服務。
5. 企業管理綜合軟體ERP。採用SAP/R3系統,一步解決未來企業國際化問題;或是用友ERP—U8系統。
6. 網路存儲系統。
五、網路系統管理
1.交換機、路由器管理。設備均是Cisco產品,使用Cisco Works 2000。
2.網路綜合管理。HP OpenView集成網路管理和系統管理。OpenView 實現了網路運作從被動無序到主動控制的過渡,使IT部門及時了解整個網路當前的真實狀況,實現主動控制。OpenView系統產品包括了統一管理平台、全面的服務和資產管理、網路安全、服務質量保障、故障自動監測和處理、設備搜索、網路存儲、智能代理、Internet環境的開放式服務等豐富的功能特性。
3.桌面系統管理。
這是一個網上我搜索到的
!
有沒有經驗啦~~
自己能不能獨立完成啦~~~
做過項目嗎~~~~
網路設備啦~~~~
網路產品啦~~~
不知道是不是隨便說說`~~~~~~~~~~
這是某人10月初的一個面試題目,售後職位:高級網路工程師。面試官是三位CCIE,面試過程歷時2個多小時,印象非常深刻。現在這個offer基本已經確定了,事主還在考慮諸如待遇及工作壓力等情況再決定是否接這個offer.事主亦在其blog上張貼了面試題目,我故亦斗膽將其貼出。
1. 現在的6509及7609,SUP720交換帶寬去到720G,是不是可以說7609/6509可以取代一部分GSR的地位?
2. isis level1 的路由表包括哪此路由?有多個level-1-2出口時,其它路由它從哪裡學到,如何選路?
3. MPLS L3 VPN,如果我想讓兩個不同的VPN作單向互訪,怎做?
4. 跨域的MPLS L3 VPN可以談談思路嗎?
5. MPLS L3 VPN的一個用戶,他有上internet的需求,如何實現?有幾種實現方法?特點各是什麼?
6. MPLS L3 VPN,如果我想讓兩個不同的VPN作單向互訪,怎做?
7. L3 VPN與L2 VPN各自的特點是怎樣?你覺得哪一種模式運營起來比較有前景?
8. ISIS與OSPF的區別談一談吧,各個方面。
9. 一個骨幹網或城域網選ISIS及OSPF基於什麼理由?
10. BGP選路原則常用是哪些?在骨幹網與城域網間如何搭配一塊使用?
11. 如果BGP加上max path,會在哪個BGP選路屬性之前應用這個選項?
12. 為什麼骨幹網pop及城域網出口要作next-hop-self?
13. 兩個AS之間,有四台路由器口字型互聯,其中一台路由器上從EBGP學到一個網路,又從IBGP學到同一個網路,選路哪個?是哪個屬性影響?如果我在IBGP過來那個加上MED小於從EBGP過來的,又選哪個?為什麼?
14. local-pre與weight的區別是什麼?
15. BGP能不能實現負載均衡?如果可以,有哪些方法?
16. 多個AS之間,可不可以比較MED?如可以,需要前提條件嗎?如有,前提條件是什麼?
17. MED能不能和AS內的IGP度量值結合起來?如可以,如何做?
18. 割接限定回退的時間還有十分鍾,割接還未成功,局方已經催你回退了,但你覺得這些問題你再努力5分鍾可能會解決,你的選擇是什麼?
19. 骨幹網的QoS,如何部署?你認為什麼骨幹網什麼情況下是有擁塞發生了?
20. 對於工程及維護來說,你覺得l3網路和l2網路哪個比較好?
21. L3網路與L2網路對環路的處理各是什麼樣的機制?
22. 一般情況下,L2交換機的生成樹有多少數量?
23. 3550的生成樹模式是什麼?生成樹數量是怎樣的?
24. 跟據你的經驗,GE的埠,當流量達到多少時,你可以認為是有擁塞發生了?2.5G POS口,當流量達到多少時,你可以認為有擁塞?
此外,中間問了對項目實施上的一些事件的處理方式,問了有沒有一些失敗的經歷及體驗,還有問及工作中碰過最棘手的事件是什麼及如何處理等等。當然還有一些互相調戲平和氣氛的對話。
『伍』 對外服務的伺服器如web伺服器是放在內網好還是放在
通常意義上,web伺服器放到所謂的DMZ區,即安全級別介於外網和內網之間。這樣有兩個好處,一是給被訪問的web伺服器增加了基本的安全功能,二是web伺服器萬一被攻破,內網數據不會完全就暴露在攻擊者眼前,對內網來說也是一種安全。來源自網路。
耀磊數據為您解答。
『陸』 網路高手進!!
是英文「demilitarized zone」的縮寫,中文名稱為「隔離區」,也稱「非軍事化區」。它是為了解決安裝防火牆後外部網路不能訪問內部網路伺服器的問題,而設立的一個非安全系統與安全系統之間的緩沖區,這個緩沖區位於企業內部網路和外部網路之間的小網路區域內,在這個小網路區域內可以放置一些必須公開的伺服器設施,如企業Web伺服器、FTP伺服器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網路,因為這種網路部署,比起一般的防火牆方案,對攻擊者來說又多了一道關卡。
網路設備開發商,利用這一技術,開發出了相應的防火牆解決方案。稱「非軍事區結構模式」。DMZ通常是一個過濾的子網,DMZ在內部網路和外部網路之間構造了一個安全地帶。
真不好意思,還是復制,不過我覺得它說得還是很清楚的.
『柒』 什麼叫DMZ區DMZ區有什麼作用應該怎樣構建DMZ
它是為了解決安裝防火牆後外部網路不能訪問內部網路伺服器的問題,而設立的一個非安全系統與安全系統之間的緩沖區,這個緩沖區位於企業內部網路和外部網路之間的小網路區域內,在這個小網路區域內可以放置一些必須公開的伺服器設施,如企業Web伺服器、FTP伺服器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網路,因為這種網路部署,比起一般的防火牆方案,對攻擊者來說又多了一道關卡。
生動解釋:您的公司有一堆電腦,但可以歸為兩大類:客戶機、伺服器。所謂客戶機就是主動發起連接請求的機器,所謂伺服器就是被動響應提供某些服務的機器。伺服器又可以分僅供企業內網使用和為外網提供服務兩種。
OK,您只要按以下規則配置防火牆,就構造了一個DMZ區(您也可以叫love區,隨您):
1.內網可以訪問外網
內網的用戶顯然需要自由地訪問外網。在這一策略中,防火牆需要進行源地址轉換。
2.內網可以訪問DMZ
此策略是為了方便內網用戶使用和管理DMZ中的伺服器。
3.外網不能訪問內網
很顯然,內網中存放的是公司內部數據,這些數據不允許外網的用戶進行訪問。
4.外網可以訪問DMZ
DMZ中的伺服器本身就是要給外界提供服務的,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火牆完成對外地址到伺服器實際地址的轉換。
5.DMZ不能訪問內網
很明顯,如果違背此策略,則當入侵者攻陷DMZ時,就可以進一步進攻到內網的重要數據。
6.DMZ不能訪問外網
『捌』 在網路中什麼是DMZ
DMZ
DMZ是英文「demilitarized zone」的縮寫,中文名稱為「隔離區」,也稱「非軍事化區」。它是為了解決安裝防火牆後外部網路不能訪問內部網路伺服器的問題,而設立的一個非安全系統與安全系統之間的緩沖區,這個緩沖區位於企業內部網路和外部網路之間的小網路區域內,在這個小網路區域內可以放置一些必須公開的伺服器設施,如企業Web伺服器、FTP伺服器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網路,因為這種網路部署,比起一般的防火牆方案,對攻擊者來說又多了一道關卡。
網路設備開發商,利用這一技術,開發出了相應的防火牆解決方案。稱「非軍事區結構模式」。DMZ通常是一個過濾的子網,DMZ在內部網路和外部網路之間構造了一個安全地帶。
DMZ防火牆方案為要保護的內部網路增加了一道安全防線,通常認為是非常安全的。同時它提供了一個區域放置公共伺服器,從而又能有效地避免一些互聯應用需要公開,而與內部安全策略相矛盾的情況發生。在DMZ區域中通常包括堡壘主機、Modem池,以及所有的公共伺服器,但要注意的是電子商務伺服器只能用作用戶連接,真正的電子商務後台數據需要放在內部網路中。
在這個防火牆方案中,包括兩個防火牆,外部防火牆抵擋外部網路的攻擊,並管理所有外部網路對DMZ的訪問。內部防火牆管理DMZ對於內部網路的訪問。內部防火牆是內部網路的第三道安全防線(前面有了外部防火牆和堡壘主機),當外部防火牆失效的時候,它還可以起到保護內部網路的功能。而區域網內部,對於Internet的訪問由內部防火牆和位於DMZ的堡壘主機控制。在這樣的結構里,一個黑客必須通過三個獨立的區域(外部防火牆、內部防火牆和堡壘主機)才能夠到達區域網。攻擊難度大大加強,相應內部網路的安全性也就大大加強,但投資成本也是最高的。
如果你的機器不提供網站或其他的網路服務的話不要設置.DMZ是把你電腦的所有埠開放到網路 。
一:什麼是DMZ
DMZ(Demilitarized Zone)即俗稱的非軍事區,與軍事區和信任區相對應,作用是把WEB,e-mail,等允許外部訪問的伺服器單獨接在該區埠,使整個需要保護的內部網路接在信任區埠後,不允許任何訪問,實現內外網分離,達到用戶需求。DMZ可以理解為一個不同於外網或內網的特殊網路區域,DMZ內通常放置一些不含機密信息的公用伺服器,比如Web、Mail、FTP等。這樣來自外網的訪問者可以訪問DMZ中的服務,但不可能接觸到存放在內網中的公司機密或私人信息等,即使DMZ中伺服器受到破壞,也不會對內網中的機密信息造成影響。
二:為什麼需要DMZ
在實際的運用中,某些主機需要對外提供服務,為了更好地提供服務,同時又要有效地保護內部網路的安全,將這些需要對外開放的主機與內部的眾多網路設備分隔開來,根據不同的需要,有針對性地採取相應的隔離措施,這樣便能在對外提供友好的服務的同時最大限度地保護了內部網路。針對不同資源提供不同安全級別的保護,可以構建一個DMZ區域,DMZ可以為主機環境提供網路級的保護,能減少為不信任客戶提供服務而引發的危險,是放置公共信息的最佳位置。在一個非DMZ系統中,內部網路和主機的安全通常並不如人們想像的那樣堅固,提供給Internet的服務產生了許多漏洞,使其他主機極易受到攻擊。但是,通過配置DMZ,我們可以將需要保護的Web應用程序伺服器和資料庫系統放在內網中,把沒有包含敏感數據、擔當代理數據訪問職責的主機放置於DMZ中,這樣就為應用系統安全提供了保障。DMZ使包含重要數據的內部系統免於直接暴露給外部網路而受到攻擊,攻擊者即使初步入侵成功,還要面臨DMZ設置的新的障礙。
三:DMZ網路訪問控制策略
當規劃一個擁有DMZ的網路時候,我們可以明確各個網路之間的訪問關系,可以確定以下六條訪問控制策略。
1.內網可以訪問外網
內網的用戶顯然需要自由地訪問外網。在這一策略中,防火牆需要進行源地址轉換。
2.內網可以訪問DMZ
此策略是為了方便內網用戶使用和管理DMZ中的伺服器。
3.外網不能訪問內網
很顯然,內網中存放的是公司內部數據,這些數據不允許外網的用戶進行訪問。
4.外網可以訪問DMZ
DMZ中的伺服器本身就是要給外界提供服務的,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火牆完成對外地址到伺服器實際地址的轉換。
5.DMZ不能訪問內網
很明顯,如果違背此策略,則當入侵者攻陷DMZ時,就可以進一步進攻到內網的重要數據。
6.DMZ不能訪問外網
此條策略也有例外,比如DMZ中放置郵件伺服器時,就需要訪問外網,否則將不能正常工作。在網路中,非軍事區(DMZ)是指為不信任系統提供服務的孤立網段,其目的是把敏感的內部網路和其他提供訪問服務的網路分開,阻止內網和外網直接通信,以保證內網安全。
四:DMZ服務配置
DMZ提供的服務是經過了地址轉換(NAT)和受安全規則限制的,以達到隱蔽真實地址、控制訪問的功能。首先要根據將要提供的服務和安全策略建立一個清晰的網路拓撲,確定DMZ區應用伺服器的IP和埠號以及數據流向。通常網路通信流向為禁止外網區與內網區直接通信,DMZ區既可與外網區進行通信,也可以與內網區進行通信,受安全規則限制。
1 地址轉換
DMZ區伺服器與內網區、外網區的通信是經過網路地址轉換(NAT)實現的。網路地址轉換用於將一個地址域(如專用Intranet)映射到另一個地址域(如Internet),以達到隱藏專用網路的目的。DMZ區伺服器對內服務時映射成內網地址,對外服務時映射成外網地址。採用靜態映射配置網路地址轉換時,服務用IP和真實IP要一一映射,源地址轉換和目的地址轉換都必須要有。
2 DMZ安全規則制定
安全規則集是安全策略的技術實現,一個可靠、高效的安全規則集是實現一個成功、安全的防火牆的非常關鍵的一步。如果防火牆規則集配置錯誤,再好的防火牆也只是擺設。在建立規則集時必須注意規則次序,因為防火牆大多以順序方式檢查信息包,同樣的規則,以不同的次序放置,可能會完全改變防火牆的運轉情況。如果信息包經過每一條規則而沒有發現匹配,這個信息包便會被拒絕。一般來說,通常的順序是,較特殊的規則在前,較普通的規則在後,防止在找到一個特殊規則之前一個普通規則便被匹配,避免防火牆被配置錯誤。
DMZ安全規則指定了非軍事區內的某一主機(IP地址)對應的安全策略。由於DMZ區內放置的伺服器主機將提供公共服務,其地址是公開的,可以被外部網的用戶訪問,所以正確設置DMZ區安全規則對保證網路安全是十分重要的。
FireGate可以根據數據包的地址、協議和埠進行訪問控制。它將每個連接作為一個數據流,通過規則表與連接表共同配合,對網路連接和會話的當前狀態進行分析和監控。其用於過濾和監控的IP包信息主要有:源IP地址、目的IP地址、協議類型(IP、ICMP、TCP、UDP)、源TCP/UDP埠、目的TCP/UDP埠、ICMP報文類型域和代碼域、碎片包和其他標志位(如SYN、ACK位)等。
為了讓DMZ區的應用伺服器能與內網中DB伺服器(服務埠4004、使用TCP協議)通信,需增加DMZ區安全規則, 這樣一個基於DMZ的安全應用服務便配置好了。其他的應用服務可根據安全策略逐個配置。
DMZ無疑是網路安全防禦體系中重要組成部分,再加上入侵檢測和基於主機的其他安全措施,將極大地提高公共服務及整個系統的安全性。
『玖』 如何連接外部客戶端與內部Web站點
Win 2000 Web伺服器位於DMZ(非軍事區)中。通過Internet無法訪問這些Web頁面而在LAN內可以訪問它們。伺服器有多個網卡,一個連到內部LAN,一個連到DMZ,並且它們都有位於10.x.x.x到10.x.10.x之間的地址。如何使外部的客戶能夠訪問這些頁面呢? 答:要從Internet連接到IP地址在10.x網路上的DMZ Web伺服器,需要在Internet防火牆/路由器上的NAT規則中將防火牆/路由器的Internet一端有效的Internet地址映射為DMZ Web伺服器地址。10.x.x.x在Internet上是不可路由的,因為它們被保留為用於企業Intranet內的專用IP地址。