謅議基于網(wǎng)絡(luò)防火墻的DMZ設(shè)置教學(xué)

劉浩+賀文華+彭智朝+賀勁松

摘要：防火墻（FireWall）作為一種隔離控制技術(shù)，是目前保護(hù)計算機(jī)網(wǎng)絡(luò)安全的主要措施。DMZ是位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域，通過部署基于網(wǎng)絡(luò)防火墻的DMZ，更加有效地保護(hù)了可信內(nèi)部網(wǎng)絡(luò)和服務(wù)器，讓網(wǎng)絡(luò)工程專業(yè)學(xué)生進(jìn)一步掌握了學(xué)習(xí)防火墻的重要性。網(wǎng)絡(luò)安全防御體系的組成部分中的DMZ無疑是十分重要的，再結(jié)合基于主機(jī)的防護(hù)、入侵檢測系統(tǒng)及其他安全措施，極大地提高了公共服務(wù)及整個網(wǎng)絡(luò)系統(tǒng)的安全性能。

關(guān)鍵詞：防火墻；DMZ；訪問控制策略；服務(wù)器

1概述

防火墻（Fire Wall）作為一種隔離控制技術(shù)，是目前保護(hù)計算機(jī)網(wǎng)絡(luò)安全的主要措施。防火墻作為網(wǎng)絡(luò)防護(hù)的第一道防線，它由軟件或/和硬件設(shè)備組合而成，它位于企業(yè)或網(wǎng)絡(luò)群體計算機(jī)與外部通道（Internet）的邊界，限制外部用戶對內(nèi)部網(wǎng)絡(luò)的訪問，管理內(nèi)部網(wǎng)絡(luò)用戶訪問外部網(wǎng)絡(luò)的權(quán)限。防火墻在內(nèi)部網(wǎng)絡(luò)和不安全的外部網(wǎng)絡(luò)（如：Intemet）之間建立起一道屏障，有效阻止外部對內(nèi)網(wǎng)的非法訪問，同時，阻止重要信息從內(nèi)網(wǎng)非法流出。防火墻對兩個網(wǎng)絡(luò)間所有的連接進(jìn)行篩選，決定哪些連接是允許的哪些連接是禁止，這取決于網(wǎng)絡(luò)制定的安全策略。

設(shè)置防火墻是目前防范黑客最嚴(yán)、又比較安全的一種安全措施。特別是用戶一些關(guān)鍵性的服務(wù)器（如：0A服務(wù)器、WWW服務(wù)器等），都應(yīng)放在防火墻之后。

DMZ（demilitarized zone）又稱為”隔離區(qū)”，也稱”非軍事化區(qū)”。DMZ是為了解決有了防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題而設(shè)置的，它是位于非安全系統(tǒng)與安全系統(tǒng)或企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域，是一個緩沖區(qū)，是為內(nèi)部網(wǎng)絡(luò)放置一些必須對外公開的服務(wù)器（企業(yè)WWW服務(wù)器、FTP服務(wù)器和電子郵件服務(wù)器等）設(shè)施而劃分的。

通過部署這樣一個DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因為這種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說又多了一道關(guān)卡。

2基于單防火墻的單DMz設(shè)置

為保護(hù)內(nèi)部網(wǎng)絡(luò)，DMZ防火墻方案相當(dāng)于設(shè)置了一個過濾子網(wǎng)，增加了一道安全防線，構(gòu)造了一個安全地帶。基于單防火墻的單DMZ網(wǎng)絡(luò)結(jié)構(gòu)，如圖1所示。為了有效地避免應(yīng)用需要公開而與內(nèi)部安全策略相矛盾的情況，在安裝防火墻后，設(shè)置一個提供放置公共服務(wù)器或提供通信基礎(chǔ)服務(wù)的服務(wù)器及設(shè)備的區(qū)域DMZ，此區(qū)域常包括FTP服務(wù)器、堡壘主機(jī)、Modem池，Web服務(wù)器、E-mail（郵件）服務(wù)器、VPN網(wǎng)關(guān)、DNS服務(wù)器、其他公共服務(wù)器等，這些資源不能放置在內(nèi)部網(wǎng)絡(luò)，否則會因防火墻的訪問限制而無法正常工作。但在實際應(yīng)用中，要注意的是真正的電子商務(wù)后臺數(shù)據(jù)庫需要放在內(nèi)部網(wǎng)絡(luò)。

設(shè)置DMZ后，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（Internet）都能訪問DMZ中的服務(wù)器，但是外部網(wǎng)絡(luò)禁止訪問內(nèi)部網(wǎng)絡(luò)中的機(jī)密信息或私密信息等，并且DMZ中服務(wù)器受到攻擊或破壞時內(nèi)部網(wǎng)絡(luò)中的機(jī)密信息或私密信息等也不會受到任何影響。因此，我們說DMZ是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)能訪問的公共計算機(jī)系統(tǒng)和資源的連接中間點或中轉(zhuǎn)站。

為節(jié)省企業(yè)投資，邊界路由器也可以是一臺專門的硬件防火墻。DMZ區(qū)通常放置在帶包過濾功能的邊界路由器與防火墻之間，以達(dá)到內(nèi)外網(wǎng)絡(luò)用戶訪問到公共服務(wù)服務(wù)器的目的。主要是因為一方面作為網(wǎng)絡(luò)安全的第一道防線邊界路由器有安全過濾功能，另一方面作為網(wǎng)絡(luò)安全的第二道防線防火墻的安全級別設(shè)置又比邊界路由器上要強(qiáng)。

（1）服務(wù)配置

DMZ提供的服務(wù)通常要是經(jīng)過網(wǎng)絡(luò)地址翻譯NAT（Net-work Address Translation），ua并且受到安全規(guī)則控制，從而實現(xiàn)地址隱藏、節(jié)約IP資源和訪問控制功能。

通常內(nèi)部網(wǎng)絡(luò)是可信網(wǎng)絡(luò)，外部網(wǎng)絡(luò)是不可信網(wǎng)絡(luò)。設(shè)置DMZ后，不可信的外部網(wǎng)絡(luò)（Internet）禁止訪問可信的內(nèi)部網(wǎng)絡(luò)，DMZ允許訪問不可信的外部網(wǎng)絡(luò)和可信的內(nèi)部網(wǎng)絡(luò)，但受安全規(guī)則控制。我們常根據(jù)將要提供的服務(wù)和安全策略來制定網(wǎng)絡(luò)拓?fù)洌⒋_定DMZ公共服務(wù)器的IP地址、端口號和數(shù)據(jù)流動方向。

（2）網(wǎng)絡(luò)地址翻譯

網(wǎng)絡(luò)地址翻譯NAT用于將一個地址域映射到另一個地址域，以達(dá)到隱藏專用網(wǎng)絡(luò)和實現(xiàn)網(wǎng)絡(luò)負(fù)載均衡的目的。DMZ公共服務(wù)器與內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)的通信是經(jīng)過網(wǎng)絡(luò)地址翻譯NAT實現(xiàn)的。DMZ公共服務(wù)器對外提供服務(wù)時映射成外部網(wǎng)絡(luò)地址，對內(nèi)提供服務(wù)時映射成內(nèi)部網(wǎng)絡(luò)地址。

（3）DMZ安全規(guī)則制定

防火墻可根據(jù)數(shù)據(jù)包中的源地址、目的地址、封裝協(xié)議、源端口號和目的端口號等進(jìn)行訪問控制。防火墻把一個連接作為一個數(shù)據(jù)流，通過與過濾規(guī)則的匹配比較，查找連接表中的連接情況，來實現(xiàn)網(wǎng)絡(luò)連接會話的當(dāng)前狀態(tài)的分析和監(jiān)控。

從前述可知，DMZ中的公共服務(wù)器是向可信內(nèi)部網(wǎng)絡(luò)和不可信外部網(wǎng)絡(luò)提供服務(wù)的，公共服務(wù)器主機(jī)的地址也是對外公開的，所以，為確保網(wǎng)絡(luò)安全，我們必須正確配置DMZ區(qū)安全規(guī)則。DMZ安全規(guī)則就是要指定DMZ中服務(wù)器主機(jī)所對應(yīng)的安全策略，而安全規(guī)則集是安全策略的技術(shù)實現(xiàn)，因此建立可靠的、高效的安全規(guī)則集是防火墻的關(guān)鍵。通常的規(guī)則集順序是特殊的規(guī)則在前，普通的規(guī)則在后。

（4）訪問控制策略

我們將一個用路由器連接的局域網(wǎng)絡(luò)劃分為三個區(qū)域，可信內(nèi)部網(wǎng)絡(luò)、非軍事化區(qū)DMZ和不可信外部網(wǎng)絡(luò)，安全級別最高的是可信內(nèi)部網(wǎng)絡(luò)，安全級別中等的是非軍事化區(qū)DMZ，安全級別最低的是不可信外部網(wǎng)絡(luò)。三個區(qū)域因擔(dān)負(fù)不同的任務(wù)和提供不同的服務(wù)，也就擁有不同的訪問控制策略。

①內(nèi)部網(wǎng)絡(luò)允許訪問外部網(wǎng)絡(luò)。內(nèi)網(wǎng)的用戶需要自由地訪問外網(wǎng)，由防火墻完成網(wǎng)絡(luò)地址翻譯NAT。

②內(nèi)部網(wǎng)絡(luò)允許訪問DMZ。本策略讓內(nèi)部網(wǎng)絡(luò)用戶能管理DMz中公共服務(wù)器。

③外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)。內(nèi)部網(wǎng)絡(luò)中有大量的企業(yè)內(nèi)部機(jī)密數(shù)據(jù)信息，外部網(wǎng)絡(luò)用戶是不允許訪問的。如果要訪問，利用虛擬專用網(wǎng)VPN（virtual Private Network）建立一條穿過公共網(wǎng)絡(luò)的安全、穩(wěn)定的隧道來實現(xiàn)。

④外部網(wǎng)絡(luò)允許訪問DMZ。DMZ中的服務(wù)器是公共服務(wù)器，必須對外界提供服務(wù)，所以外部網(wǎng)絡(luò)允許訪問DMZ，同時由防火墻完成網(wǎng)絡(luò)地址翻譯NAT。

⑤DMZ不能訪問內(nèi)部網(wǎng)絡(luò)。非軍事區(qū)DMZ是指為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，設(shè)置DMZ的目的是為了保護(hù)內(nèi)部網(wǎng)絡(luò)，阻止內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)直接通信，如不執(zhí)行此策略，當(dāng)攻擊DMZ成功，則內(nèi)部網(wǎng)絡(luò)不會受到保護(hù)。

⑥D(zhuǎn)MZ不允訪問外部網(wǎng)絡(luò)。本條策略也有例外。如DMZ中有公共郵件服務(wù)器，就需要訪問外部網(wǎng)絡(luò)才能正常工作。

由于單DMZ防火墻中，全部對外提供服務(wù)的服務(wù)器位于同一DMZ內(nèi)，如果其中一臺服務(wù)器被攻破，攻擊者可能以它為跳板來繼續(xù)攻擊其他服務(wù)器。于是引入了多DMZ防火墻。

3基于單防火墻的多DMZ設(shè)置

基于單防火墻的多DMZ與基于單防火墻的單DMZ相似，但是要求防火墻有較多的接口，以建立多個DMZ?；趩畏阑饓Φ碾pDMz網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

多DMZ防火墻用于有較多服務(wù)器對外提供服務(wù)的情況，這樣服務(wù)器可以針對不同的安全需求而放置在不同的DMZ中，DMZ的訪問限制也可按需求進(jìn)行不同的設(shè)置，通常不同DMZ間是禁止數(shù)據(jù)流動的，從而克服了單DMZ防火墻中以一臺攻破的服務(wù)器為跳板來繼續(xù)攻擊其他服務(wù)器的不足，進(jìn)一步提高了網(wǎng)絡(luò)的安全性。

圖2中的多DMZ防火墻有內(nèi)部網(wǎng)絡(luò)（Intranet）、外部網(wǎng)絡(luò)（Intemet）、DMZ、DMZ區(qū)2共四個部分，配置一個擁有多DMz區(qū)的網(wǎng)絡(luò)的時候通常定義以下的訪問控制策略以實現(xiàn)DMZ區(qū)的屏障功能。

①內(nèi)部網(wǎng)絡(luò)允許訪問外部網(wǎng)絡(luò)。內(nèi)網(wǎng)的用戶需要自由地訪問外網(wǎng)，由防火墻完成網(wǎng)絡(luò)地址翻譯NAT。

②內(nèi)部網(wǎng)絡(luò)允許訪問DMZ、DMZ區(qū)2。本策略讓內(nèi)部網(wǎng)絡(luò)用戶能管NDMZ、DMZ區(qū)2中公共服務(wù)器。

③外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)。內(nèi)部網(wǎng)絡(luò)中有大量的企業(yè)內(nèi)部機(jī)密數(shù)據(jù)信息，外部網(wǎng)絡(luò)用戶是不允許訪問的。如果要訪問，利用虛擬專用網(wǎng)VPN（virtual Private Network）建立一條穿過公共網(wǎng)絡(luò)的安全、穩(wěn)定的隧道來實現(xiàn)。

④外部網(wǎng)絡(luò)允許訪問DMZ、DMZ區(qū)2。DMZ、DMZ區(qū)2中的服務(wù)器是公共服務(wù)器，必須對外界提供服務(wù)，所以外部網(wǎng)絡(luò)允許訪問DMZ、DMZ區(qū)2，同時由防火墻完成網(wǎng)絡(luò)地址翻譯NAT。

⑤DMZ、DMZ區(qū)2不能訪問內(nèi)部網(wǎng)絡(luò)。非軍事區(qū)是指為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，設(shè)置非軍事區(qū)的目的是為了保護(hù)內(nèi)部網(wǎng)絡(luò)，阻止內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)直接通信，如不執(zhí)行此策略，當(dāng)攻擊非軍事區(qū)成功，則內(nèi)部網(wǎng)絡(luò)不會受到保護(hù)。

⑥D(zhuǎn)MZ、DMZ區(qū)2不允訪問外部網(wǎng)絡(luò)。本條策略也有例外。如DMZ中有公共郵件服務(wù)器，就需要訪問外部網(wǎng)絡(luò)才能正常工作。

⑦DMZ、DMZ區(qū)2間禁止相互訪問。此策略使不同非軍事區(qū)中的服務(wù)器受到保護(hù)。

對于設(shè)置三個或三個以上的非軍事區(qū)的網(wǎng)絡(luò)，其訪問控制策略請同學(xué)們自己思考和研究。

4基于雙防火墻的多DMZ設(shè)置

雙防火墻結(jié)構(gòu)使用了兩臺防火墻，分別是內(nèi)部防火墻和外部防火墻，它們之間是DMZ?；陔p防火墻的單DMZ網(wǎng)絡(luò)結(jié)構(gòu)如圖3所示。

基于雙防火墻的單DMZ網(wǎng)絡(luò)結(jié)構(gòu)中有內(nèi)部網(wǎng)絡(luò)（In-tranet）、外部網(wǎng)絡(luò)（Internet）、DMZ共三個部分，因此，雙防火墻結(jié)構(gòu)與基于單防火墻的單DMZ相似，有相同的訪問控制策略。

基于雙防火墻的單DMZ網(wǎng)絡(luò)結(jié)構(gòu)中有內(nèi)部防火墻和外部防火墻，這種雙防火墻結(jié)構(gòu)進(jìn)一步保護(hù)了內(nèi)部網(wǎng)絡(luò)和DMZ，并且內(nèi)部防火墻和外部防火墻可以是不同廠商的產(chǎn)品，以增加攻擊者的攻擊難度，也進(jìn)一步提高了網(wǎng)絡(luò)的安全性。

雙防火墻結(jié)構(gòu)也可以設(shè)置多個DMZ，從而能夠?qū)?shù)據(jù)流進(jìn)行更精細(xì)的訪問控制策略，提高公共服務(wù)器的安全性，并且多個DMZ之間禁止相互訪問，對攻擊者來說設(shè)置了更多的關(guān)卡，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)和公共服務(wù)器，提高了網(wǎng)絡(luò)的安全性能。有關(guān)安全規(guī)則、訪問控制策略等請同學(xué)們自行探討與研究。

5結(jié)束語

防火墻作為一種隔離控制技術(shù)，是目前保護(hù)計算機(jī)網(wǎng)絡(luò)安全的主要措施，是網(wǎng)絡(luò)工程專業(yè)主修信息安全方向的“信息安全與理論技術(shù)”課程的重要教學(xué)內(nèi)容。DMZ位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域，通過部署基于網(wǎng)絡(luò)防火墻的DMZ設(shè)置教學(xué)，讓網(wǎng)絡(luò)工程專業(yè)學(xué)生進(jìn)一步掌握了防火墻的重要性；知曉了有了防火墻、有了DMZ，對攻擊者來說設(shè)置了更多的關(guān)卡，更有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，更加有效地保護(hù)了服務(wù)器，提高了網(wǎng)絡(luò)安全性能。

DMZ無疑是網(wǎng)絡(luò)安全防御體系中重要組成部分。事實上，單項安全技術(shù)的安全防御能力是有限的，只有將加密技術(shù)、認(rèn)證技術(shù)、訪問控制技術(shù)、安全審計技術(shù)、入侵檢測技術(shù)和基于主機(jī)的其他安全措施等有機(jī)結(jié)合，安全防御級別才能大大提高，也將極大地提高公共服務(wù)及整個系統(tǒng)的安全性。