為什么您的網(wǎng)絡(luò)需要 DMZ 及其工作原理。在網(wǎng)絡(luò)安全中，DMZ 提供額外的安全性來保護(hù)自己免受LAN 中的外部攻擊。“DMZ”一詞起源于非軍事區(qū)，這是朝鮮戰(zhàn)爭末期在韓國和朝鮮之間設(shè)置的地理緩沖區(qū)。就像韓國邊界 DMZ 一樣，網(wǎng)絡(luò) DMZ 可防止流量進(jìn)入專用業(yè)務(wù)網(wǎng)絡(luò)。因此，無論網(wǎng)絡(luò)規(guī)模如何， DMZ 對于網(wǎng)絡(luò)安全都至關(guān)重要。它們通過最小化內(nèi)部服務(wù)器和數(shù)據(jù)訪問來提供額外的安全層。讓我們從為什么您的網(wǎng)絡(luò)中需要 DMZ 及其工作原理開始。

什么是隔離區(qū)？

隔離區(qū)(DMZ)配置是邏輯或物理子網(wǎng)，可將內(nèi)部 LAN 與公共互聯(lián)網(wǎng)等不受信任的流量隔離開來?；旧?，DMZ位于公共互聯(lián)網(wǎng)和專用網(wǎng)絡(luò)之間，以確保內(nèi)部網(wǎng)絡(luò)的安全。本質(zhì)上，公共互聯(lián)網(wǎng)上提供的所有服務(wù)都應(yīng)在DMZ網(wǎng)絡(luò)中啟動。這些包括郵件、Web、互聯(lián)網(wǎng)協(xié)議語音(VoIP)、域名系統(tǒng)(DNS)、代理服務(wù)器和文件傳輸協(xié)議(FTP)。

DMZ 網(wǎng)絡(luò)中的服務(wù)器和資源可從互聯(lián)網(wǎng)訪問，但內(nèi)部 LAN 的訪問受到嚴(yán)格限制。因此，內(nèi)部 LAN 具有額外的保護(hù)層，使黑客難以直接從 Internet訪問內(nèi)部服務(wù)器或數(shù)據(jù)。另一方面，網(wǎng)絡(luò)犯罪分子和黑客仍然有可能訪問在 DMZ 服務(wù)器上提供服務(wù)的系統(tǒng)。因此，應(yīng)加強這些服務(wù)器的安全性，使其能夠抵御不斷的攻擊。DMZ 網(wǎng)絡(luò)的主要目標(biāo)是使組織能夠訪問公共互聯(lián)網(wǎng)，同時確保其LAN或?qū)Ｓ镁W(wǎng)絡(luò)的安全。

DMZ 的目的是什么？

DMZ 的目的是保護(hù)漏洞最多的主機?？偠灾?，DMZ 主機通常涉及延伸至 LAN 外部用戶的服務(wù)。攻擊的可能性很高，因此將它們放入受監(jiān)控的子網(wǎng)中至關(guān)重要。反過來，這確保了網(wǎng)絡(luò)的其余部分即使最終受到威脅也是安全的。此外，DMZ 網(wǎng)絡(luò)中的主機具有訪問內(nèi)部網(wǎng)絡(luò)內(nèi)部服務(wù)的權(quán)限。但是，這種訪問受到嚴(yán)格控制，因為通過 DMZ 傳遞的數(shù)據(jù)不一定安全。

DMZ 示例

如果您實施了 DMZ，您應(yīng)該找到涉及外部網(wǎng)絡(luò)的所有服務(wù)。這些包括：

郵件服務(wù)器——包含登錄憑證和敏感消息的用戶數(shù)據(jù)庫和電子郵件通常存儲在無法直接訪問互聯(lián)網(wǎng)的服務(wù)器上。在這里，在 DMZ 內(nèi)創(chuàng)建了一個電子郵件服務(wù)器，用于訪問電子郵件數(shù)據(jù)庫并與之交互，同時保護(hù)它免受潛在有害流量的影響。
Web 服務(wù)器——用于與內(nèi)部數(shù)據(jù)庫服務(wù)器通信的 Web 服務(wù)器應(yīng)該放在DMZ內(nèi)以保護(hù)數(shù)據(jù)庫。通常，這些數(shù)據(jù)庫存儲敏感信息，有效保護(hù)它們至關(guān)重要?；旧希琖eb 然后直接與內(nèi)部數(shù)據(jù)庫服務(wù)器或通過應(yīng)用程序防火墻交互，同時仍然受到 DMZ 的保護(hù)。
FTP 服務(wù)器——基于FTP協(xié)議的數(shù)據(jù)傳輸服務(wù)器提供跨 Internet 和本地網(wǎng)絡(luò)的無縫文件傳輸。因此，您需要存儲與關(guān)鍵內(nèi)部系統(tǒng)隔離的FTP 服務(wù)器。

自防火墻問世以來，DMZ 網(wǎng)絡(luò)一直是企業(yè)網(wǎng)絡(luò)安全的重要組成部分。通過 DMZ 網(wǎng)絡(luò)，它們有助于保護(hù)敏感資源和資源。此外，DMZ 網(wǎng)絡(luò)還用于：

• 分離和隔離來自內(nèi)部網(wǎng)絡(luò)的所有潛在威脅。
• 控制和最小化外部用戶對系統(tǒng)的訪問。
• 通過托管公司資源向外部用戶授予對某些資源的授權(quán)訪問權(quán)限。

因此，DMZ對于大型組織和個人用戶的網(wǎng)絡(luò)安全都至關(guān)重要。額外的安全層通過限制對數(shù)據(jù)和內(nèi)部服務(wù)器的訪問來保護(hù)您的網(wǎng)絡(luò)。

DMZ 是如何工作的？

擁有公共網(wǎng)站的企業(yè)必須使其Web 服務(wù)器可從 Internet 訪問。這將整個內(nèi)部網(wǎng)絡(luò)置于高風(fēng)險之中。但是，如果組織在防火墻上托管其網(wǎng)站或公共服務(wù)器，則可以輕松避免這種風(fēng)險。但是，這可能會對性能產(chǎn)生負(fù)面影響。這就是 DMZ 的用武之地。

毫無疑問，DMZ 網(wǎng)絡(luò)充當(dāng)組織的專用網(wǎng)絡(luò)和 Internet 之間的緩沖區(qū)。由安全網(wǎng)關(guān)隔開，例如防火墻，它過濾 LAN 和 DMZ 之間的流量。同時，默認(rèn)的 DMZ 服務(wù)器由不同的網(wǎng)關(guān)保護(hù)，該網(wǎng)關(guān)過濾來自外部網(wǎng)絡(luò)的入站流量。它最好位于兩個防火墻之間。

同樣，DMZ 防火墻結(jié)構(gòu)確保入站數(shù)據(jù)包在訪問托管在 DMZ 中的服務(wù)器之前受到防火墻或任何其他安全工具的監(jiān)控。即使惡意攻擊者設(shè)法繞過第一道防火墻，DMZ 也能確保他們無法破壞內(nèi)部網(wǎng)絡(luò)。

如果攻擊者穿透外部防火墻并破壞 DMZ 內(nèi)的系統(tǒng)，攻擊者仍然需要繞過內(nèi)部防火墻才能訪問敏感的業(yè)務(wù)數(shù)據(jù)。萬一老練的黑客破壞了安全的 DMZ，您會收到來自內(nèi)置警報系統(tǒng)的持續(xù)攻擊警告。

必須遵守某些行業(yè)法規(guī)（如PCI DSS）的組織必須在 DMZ 中安裝代理服務(wù)器。這使得過濾網(wǎng)站內(nèi)容變得容易，并簡化了用戶活動的監(jiān)控和記錄。

DMZ 網(wǎng)絡(luò)的架構(gòu)和設(shè)計

有多種方法可以使用 DMZ 創(chuàng)建網(wǎng)絡(luò)。這些是單防火墻和雙防火墻。這兩個系統(tǒng)都可以擴展以設(shè)置滿足網(wǎng)絡(luò)要求的復(fù)雜 DMZ 架構(gòu)：

1. 單一防火墻——這是網(wǎng)絡(luò)架構(gòu)的首選方法。包括帶有至少 3 個網(wǎng)絡(luò)接口的單個??防火墻。DMZ 位于此防火墻內(nèi)?？偠灾?，它連接到外部網(wǎng)絡(luò)設(shè)備，這是由 ISP 完成的。第二個網(wǎng)絡(luò)設(shè)備連接內(nèi)部網(wǎng)絡(luò)，而第三個設(shè)備管理 DMZ 內(nèi)部的連接。

2. 雙防火墻——實施 DMZ 網(wǎng)絡(luò)最安全的方法是使用兩個防火墻。初始防火墻稱為前端防火墻，僅設(shè)計為允許流向 DMZ 的流量。第二個防火墻稱為后端防火墻，只負(fù)責(zé)從 DMZ 流向內(nèi)部網(wǎng)絡(luò)的流量。為進(jìn)一步增強網(wǎng)絡(luò)安全，最好使用多家提供商的防火墻，以減少出現(xiàn)類似安全漏洞的可能性。更不用說，為大型網(wǎng)絡(luò)設(shè)計 DMZ 是一種更高效但成本更高的方法。

有了 DMZ，組織可以微調(diào)不同的網(wǎng)絡(luò)部分?？偠灾?，您可以在 DMZ 內(nèi)配置入侵防御系統(tǒng) (IPS) 或入侵檢測系統(tǒng) ( IDS )，以阻止除對傳輸控制協(xié)議 (TCP) 端口 443 的超文本傳輸??協(xié)議安全 (HTTPS) 請求之外的所有流量。

DMZ 有什么好處？

使用 DMZ 的主要好處是它通過限制對服務(wù)器和敏感信息的訪問為內(nèi)部網(wǎng)絡(luò)提供額外的高級保護(hù)層。這可以實現(xiàn)安全瀏覽并保護(hù)網(wǎng)站和最終用戶。此外，DMZ 還提供安全優(yōu)勢，例如：

訪問控制

企業(yè)通過公共互聯(lián)網(wǎng)向客戶提供網(wǎng)絡(luò)外部服務(wù)的訪問權(quán)限。DMZ 網(wǎng)絡(luò)支持這種訪問，同時保證網(wǎng)絡(luò)分段，使未經(jīng)授權(quán)的用戶難以訪問專用網(wǎng)絡(luò)。代理服務(wù)器也包含在 DMZ 中，這簡化了它的監(jiān)控和日志記錄，并集中了內(nèi)部流量。

防止網(wǎng)絡(luò)偵察

對于DMZ，它在互聯(lián)網(wǎng)和專用網(wǎng)絡(luò)之間創(chuàng)建了一個緩沖區(qū)。因此，它有助于防止攻擊者執(zhí)行為尋找潛在目標(biāo)而進(jìn)行的偵察。位于 DMZ 內(nèi)的服務(wù)器不向公眾公開。相反，他們有一個額外的防火墻協(xié)議，限制任何人分析內(nèi)部網(wǎng)絡(luò)。

防止網(wǎng)絡(luò)欺騙

到目前為止，網(wǎng)絡(luò)攻擊者通常通過冒充已獲批準(zhǔn)的設(shè)備和偽造 Internet 協(xié)議地址來訪問 IT 系統(tǒng)。但是，DMZ 能夠追蹤并阻止這種嘗試，因為不同的服務(wù)會確認(rèn) Internet 協(xié)議地址的合法性。也就是說，DMZ 允許組織流量的網(wǎng)絡(luò)分段，并在不訪問專用內(nèi)部網(wǎng)絡(luò)的情況下提供對服務(wù)的訪問。

DMZ 的缺點是什么？

DMZ 的一些缺點包括：

無內(nèi)部保護(hù)

員工等授權(quán)用戶仍然可以訪問為您的企業(yè)存儲的敏感信息。可以肯定的是，您的業(yè)務(wù)網(wǎng)絡(luò)并不能完全抵御內(nèi)部威脅。

不提供全面保護(hù)

每天都有網(wǎng)絡(luò)攻擊者設(shè)計復(fù)雜的繞過安全系統(tǒng)的攻擊方法，DMZ 服務(wù)器無法保證 100% 的安全。即使您的 DMZ 設(shè)置已完成，請記住仍要監(jiān)控您的網(wǎng)絡(luò)環(huán)境。

耗時

配置 DMZ 網(wǎng)絡(luò)非常耗時。隨著智能云技術(shù)的出現(xiàn)，DMZ 變得不那么重要了。

DMZ 的應(yīng)用

以下是 DMZ 的一些實際應(yīng)用：

云端服務(wù)

各種云計算服務(wù)采用混合安全。這涉及在虛擬網(wǎng)絡(luò)和組織的本地網(wǎng)絡(luò)之間實施 DMZ 。當(dāng)業(yè)務(wù)應(yīng)用程序在虛擬網(wǎng)絡(luò)上運行且部分在本地運行時，這種安全方法至關(guān)重要。DMZ 在審計出站流量或在本地數(shù)據(jù)中心和虛擬網(wǎng)絡(luò)之間強制進(jìn)行精細(xì)流量控制時也很有用。

家庭網(wǎng)絡(luò)

您可以在家庭網(wǎng)絡(luò)中實施 DMZ，其中啟用互聯(lián)網(wǎng)的設(shè)備通過 LAN 配置或?qū)拵酚善鬟B接到互聯(lián)網(wǎng)。一些家用路由器帶有 DMZ 主機功能。

工業(yè)控制系統(tǒng) (ICS)

DMZ 為ICS 面臨的安全風(fēng)險提供了潛在的解決方案。智能工業(yè)機械在生產(chǎn)環(huán)境中效率更高。但是，這確實擴大了威脅面。大多數(shù)連接到互聯(lián)網(wǎng)的操作技術(shù) (OT) 機器并不是像 IT 設(shè)備設(shè)計的那樣用于處理攻擊。DMZ 可以增加網(wǎng)絡(luò)分段，使勒索軟件和其他威脅更難占據(jù) IT 系統(tǒng)和更易受攻擊的 OT 組件之間的空間。

結(jié)論

隔離區(qū)有助于維護(hù)高級別的企業(yè)安全性，同時使用戶能夠與外部連接進(jìn)行交互。目前，大多數(shù)組織都依賴Web 應(yīng)用程序或云服務(wù)來提供服務(wù)。因此，幾乎不可能完全限制對內(nèi)部網(wǎng)絡(luò)的訪問。因此，在 LAN 和 Internet 之間實施 DMZ 可以實現(xiàn)安全的外部訪問。如果您有面向公共互聯(lián)網(wǎng)的應(yīng)用程序或業(yè)務(wù)系統(tǒng)，則應(yīng)將其放在 DMZ 中。