安全區的定義在建立安全網路過程中起著至關重要的作用。DMZ (Demilitarized Zone)是網路安全中最重要的分割槽術語。因為DMZ包含裝置性質,所以將其同網路的其他部分分隔開來。這些裝置通常是需要從公共網路上訪問的伺服器,不允許在它們所在的區域實現太嚴格的安全策略,因而需要分離開來。
DMZ通常是駐留於專用網路和公共網路之間的一個子網,從公共網路的連線到DMZ裝置終止:這些伺服器也經常被相對安全的專用網路裝置訪問。
建立DMZ的方法有很多,怎樣建立DMZ有賴於網路的安全需求,建立DMZ的最常用的方法如下4種。
一、使用防火牆建立DMZ
這種方法使用一個有3個介面的防火牆去建立隔離區,每個隔離區成為這個防火牆介面的一員。防火牆提供區與區之間的隔離。這種機制提供了許多關於DMZ安全的控制。圖1顯示了怎樣使用一個防火牆建立DMZ一個防火牆也可以有多個介面,允許建立多個DMZ。此種方式是建立DMZ最常用的方法。
圖1使用防火牆建立DMZ
二、在防火牆之外的公共網路和防火牆之間建立DMZ
在這種配置中,DMZ暴露在防火牆的公共面一側。透過防火牆的流量,首先要透過DMZ。一般情況下不推薦這種配置,因為DMZ中能夠用來控制裝置安全的控制非常少。這些裝置實際上是公共區域的一部分,它們自身並沒有受到真正的保護。圖2顯示了建立DMZ的方法。
圖2 防火牆之夕隨公共網路和防火牆之間建立DMZ
三、在防火牆之外且不在公共網路和防火牆之間建立DMZ
這種型別的配置同第二種方法類似(如圖3所示),僅有的區別是:這裡的DMZ不是位於防火牆和公共網路之間,而是位於連線防火牆同公共網路的邊緣路由器的一個隔離介面。這種型別的配置向DMZ網路中的裝置提供了非常小的安全性,但是這種配置使防火牆有從未保護和易受攻擊的DMZ網路的隔離性。這種配置中的邊緣路由器能夠用於拒絕所有從DMZ子網到防火牆所在的子網的訪問。並且,隔離的VLAN能夠允許防火牆所在的子網和DMZ子網間有第二層的隔離。當位於DMZ子網的主機受到危害,並且攻擊者開始使用這個主機對防火牆和網路發動更進一步攻擊的情形下這型別的配置是有用的。
圖3 在防火牆之外且不在公共網路和防火牆之間的建立DMZ
四、在層疊防火牆之間建立DMZ
在這種機制(如圖4所示)下,兩個防火牆層疊放置,訪問專用網路時,所有的流量必須經過兩個層疊防火牆,兩個防火牆之間的網路用作DMZ。由於DMZ前面的防火牆使它獲得了大量的安全性,但是它的缺陷是所有專用網路到公共網路之間的資料流必須經過DMZ,一個被攻陷的DMZ裝置能夠使攻擊者以不同的方法阻截和攻擊這個流量。可以在防火牆之間設定專用VLAN減輕這種風險。
分割槽是安全設計中的一個重要概念,使用設計良好的DMZ隔離方法,在一個低安全區裝置受損時,包含在替他區域裝置受損的風險也很小。
圖4 在層疊防火牆之間建立DMZ