DMZ定義

DMZ來源于“Demilitarized Zone(非軍事區(qū))”一詞。在計(jì)算機(jī)安全中，DMZ或非軍事區(qū)域（有時(shí)稱為外圍網(wǎng)絡(luò)）是一個(gè)物理或邏輯子網(wǎng)絡(luò)，它包含并將組織面向外部的服務(wù)暴露給不可信網(wǎng)絡(luò)，通常是一個(gè)更大的網(wǎng)絡(luò)，如Internet。 DMZ的目的是為組織的局域網(wǎng)（LAN）添加一個(gè)額外的安全層。 外部網(wǎng)絡(luò)節(jié)點(diǎn)只能訪問DMZ中暴露的內(nèi)容，而組織的其余部分則被防火墻限制。 DMZ是位于互聯(lián)網(wǎng)和專用網(wǎng)絡(luò)之間的小型隔離網(wǎng)絡(luò)。

從軍事意義上講，非軍事區(qū)并不屬于與之相鄰的任何一方。這個(gè)概念適用于隱喻的計(jì)算使用，因?yàn)槔缱鳛楣惨蛱鼐W(wǎng)的門戶的DMZ既不像內(nèi)部網(wǎng)絡(luò)那樣安全，也不像Internet那樣不安全。

在這種情況下，最容易受到攻擊的主機(jī)是為局域網(wǎng)以外的用戶提供服務(wù)的主機(jī)，如電子郵件、Web和DNS服務(wù)器等。由于這些主機(jī)受到攻擊的威脅越來越大，它們被放置在這個(gè)特定的子網(wǎng)絡(luò)中，以便保護(hù)網(wǎng)絡(luò)的其它部分。

由于DMZ并不像內(nèi)部網(wǎng)絡(luò)那樣安全，因此DMZ中的主機(jī)只能與內(nèi)部網(wǎng)絡(luò)中的特定主機(jī)建立有限的連接。DMZ中的主機(jī)與外部網(wǎng)絡(luò)之間的通信也會受到限制，使得DMZ比互聯(lián)網(wǎng)更安全，并且適合于容納這些特殊用途的服務(wù)。這允許DMZ中的主機(jī)與內(nèi)部和外部網(wǎng)絡(luò)通信，而中間防火墻控制DMZ服務(wù)器和內(nèi)部網(wǎng)絡(luò)客戶端之間的通信，而另一個(gè)防火墻將執(zhí)行一定級別的控制以保護(hù)DMZ免受外部網(wǎng)絡(luò)攻擊。

DMZ配置可以減少外部網(wǎng)絡(luò)攻擊威脅，但可能會受到內(nèi)部攻擊的影響，如通過數(shù)據(jù)包分析器嗅探通信或欺騙（如電子郵件欺騙）。

任何向外部網(wǎng)絡(luò)上的用戶提供的服務(wù)都可以放在DMZ中。這些最常見服務(wù)中包括：

• Web服務(wù)

• 郵件服務(wù)

• FTP服務(wù)

• VoIP服務(wù)

  
  

與內(nèi)部數(shù)據(jù)庫通信的Web服務(wù)器需要訪問數(shù)據(jù)庫服務(wù)器，該數(shù)據(jù)庫服務(wù)器可能無法公開訪問，并可能包含敏感信息。出于安全原因，Web服務(wù)器可以直接或通過應(yīng)用程序防火墻與數(shù)據(jù)庫服務(wù)器進(jìn)行通信。

電子郵件，特別是用戶數(shù)據(jù)庫是保密的，所以它們通常存儲在無法從互聯(lián)網(wǎng)訪問的服務(wù)器上（至少不是以不安全的方式），但是可以從暴露于互聯(lián)網(wǎng)的電子郵件服務(wù)器訪問。

DMZ內(nèi)部的郵件服務(wù)器將收到的郵件傳遞給內(nèi)部郵件服務(wù)器，同時(shí)它也可以處理發(fā)出的郵件。

在商業(yè)環(huán)境中，一些企業(yè)在DMZ內(nèi)部安裝代理服務(wù)器。這會有以下好處：

• 引導(dǎo)內(nèi)部用戶（通常是員工）使用代理服務(wù)器訪問Internet。

• 由于某些網(wǎng)頁內(nèi)容可能被代理服務(wù)器緩存，可以減少對互聯(lián)網(wǎng)訪問帶寬的要求。

• 簡化用戶活動(dòng)的記錄和監(jiān)控。

• 可以對部分網(wǎng)頁內(nèi)容進(jìn)行過濾。

  
  

反向代理服務(wù)器，就像代理服務(wù)器一樣，是一個(gè)中介，但它是反過來的。它不提供服務(wù)給想要訪問外部網(wǎng)絡(luò)的內(nèi)部用戶，而是為外部網(wǎng)絡(luò)（通常是因特網(wǎng)）提供對內(nèi)部資源的間接訪問。例如，可以向外部用戶提供諸如電子郵件系統(tǒng)的后臺應(yīng)用程序訪問（在公司外部網(wǎng)絡(luò)查看電子郵件），但遠(yuǎn)程用戶不能直接訪問他們的電子郵件服務(wù)器。只有反向代理服務(wù)器才能物理訪問內(nèi)部郵件服務(wù)器。這是一個(gè)額外的安全層，當(dāng)需要從外部訪問內(nèi)部資源時(shí)，可以這樣進(jìn)行操作。通常，這樣的反向代理機(jī)制是通過使用應(yīng)用層防火墻來提供的，因?yàn)樗鼈儗Ｗ⒂诹髁康奶囟ㄐ螤?#xff0c;而不是像包過濾防火墻那樣控制對特定TCP和UDP端口的訪問。

用DMZ設(shè)計(jì)網(wǎng)絡(luò)的方法有很多種。最基本的方法分兩種，一種是使用一個(gè)單一的防火墻，也被稱為三足式模式，另外一種為雙重防火墻。 這些體系結(jié)構(gòu)可以根據(jù)網(wǎng)絡(luò)需求進(jìn)行擴(kuò)展。

單一防火墻

使用單一防火墻的DMZ的典型網(wǎng)絡(luò)模型圖。

使用單一防火墻創(chuàng)建包含DMZ的網(wǎng)絡(luò)體系必須具有3個(gè)以上的網(wǎng)絡(luò)接口。 外部網(wǎng)絡(luò)ISP連接到防火墻第一網(wǎng)絡(luò)接口，內(nèi)部網(wǎng)絡(luò)接防火墻的第二網(wǎng)絡(luò)接口，DMZ則連接防火墻的第三網(wǎng)絡(luò)接口。 防火墻作為網(wǎng)絡(luò)的單點(diǎn)故障，必須能夠處理通往DMZ以及內(nèi)部網(wǎng)絡(luò)的所有通信。?不同區(qū)域使用不同的顏色進(jìn)行標(biāo)記，例如LAN用紫色，DMZ用綠色，Internet用紅色（無線區(qū)域使用另一種顏色）。

雙重防火墻

使用雙重防火墻的DMZ的典型網(wǎng)絡(luò)模型圖。

最安全的方法是使用兩個(gè)防火墻來創(chuàng)建一個(gè)DMZ。第一個(gè)防火墻（也稱為“前端”或“外圍”防火墻）配置為僅允許通往DMZ的通信。第二個(gè)防火墻（也稱為“后端”或“內(nèi)部”防火墻）配置為只允許從DMZ到內(nèi)部網(wǎng)絡(luò)的通信。

這個(gè)設(shè)置在安全性上更高，因?yàn)楣魞?nèi)部網(wǎng)絡(luò)需要突破兩個(gè)防火墻。如果這兩個(gè)防火墻是由兩個(gè)不同的供應(yīng)商提供的話，則會提供更多的保護(hù)，因?yàn)檫@樣兩個(gè)設(shè)備就不太可能遇到同樣的安全漏洞。這種配置的缺點(diǎn)是購買和管理成本更高。使用不同供應(yīng)商的不同防火墻的做法被認(rèn)為是“縱深防御”安全策略的一個(gè)組成部分。

在pfSense中配置DMZ，與一般LAN接口的設(shè)置一樣，但必須做好與LAN內(nèi)網(wǎng)的隔離，通過在交換機(jī)上劃分不同的VLAN來進(jìn)行隔離是最好的辦法。同時(shí)要嚴(yán)格設(shè)置防火墻規(guī)則，把允許的通信減少到最低，以保證內(nèi)部網(wǎng)絡(luò)安全。

下面在pfSense2.42-p1上進(jìn)行DMZ配置示例。

DMZ接口配置

使用本地IP地址打開Web GUI界面。導(dǎo)航到網(wǎng)絡(luò)接口>接口分配標(biāo)簽，然后在可用網(wǎng)絡(luò)端口一欄，單擊右側(cè)的添加，增加一個(gè)用于DMZ的可用接口，并點(diǎn)擊保存設(shè)置。

在本例中，保存后顯示為OPT4接口。

導(dǎo)航到網(wǎng)絡(luò)接口>OPT4，啟用接口并填寫其他信息。

描述：DMZ

IPv4配置類型：靜態(tài)IPv4

IPv4地址：輸入192.168.114.1，子網(wǎng)掩碼：24

網(wǎng)關(guān)：None

阻止專用網(wǎng)絡(luò)和未知網(wǎng)絡(luò)不選。

單擊保存，單擊應(yīng)用更改。

至此，DMZ接口的配置完成。

DMZ防火墻設(shè)置

為了保證安全應(yīng)用，還需要對防火墻進(jìn)行相關(guān)設(shè)置，防火墻的設(shè)置原則如下：

• 內(nèi)網(wǎng)可以訪問外網(wǎng)。內(nèi)網(wǎng)的用戶顯然需要自由地訪問外網(wǎng)。在這一策略中，防火墻需要進(jìn)行源地址轉(zhuǎn)換。

• 內(nèi)網(wǎng)可以訪問DMZ。此策略是為了方便內(nèi)網(wǎng)用戶使用和管理DMZ中的服務(wù)器。建議只對有限的主機(jī)進(jìn)行開放。

• 外網(wǎng)不能訪問內(nèi)網(wǎng)。很顯然，內(nèi)網(wǎng)中存放的是公司內(nèi)部數(shù)據(jù)，這些數(shù)據(jù)不允許外網(wǎng)的用戶進(jìn)行訪問。

• 外網(wǎng)可以訪問DMZ。DMZ中的服務(wù)器本身就是要給外界提供服務(wù)的，所以外網(wǎng)必須可以訪問DMZ。同時(shí)，外網(wǎng)訪問DMZ需要由防火墻完成對外地址到服務(wù)器實(shí)際地址的轉(zhuǎn)換。

• DMZ訪問內(nèi)網(wǎng)有限制。很明顯，如果違背此策略，則當(dāng)入侵者攻陷DMZ時(shí)，就可以進(jìn)一步進(jìn)攻到內(nèi)網(wǎng)的重要數(shù)據(jù)。

• DMZ不能訪問外網(wǎng)。此條策略也有例外，比如DMZ中放置郵件服務(wù)器時(shí)，就需要訪問外網(wǎng)，否則將不能正常工作。可以根據(jù)需要進(jìn)行設(shè)置。

例如，要允許LAN子網(wǎng)對DMZ子網(wǎng)的訪問，請按以下方法進(jìn)行操作。

導(dǎo)航到防火墻>規(guī)則策略，LAN1選項(xiàng)卡，添加如下防火墻規(guī)則：

動(dòng)作：通過

接口：LAN（本例為LAN1）

協(xié)議：any

源地址：LAN net (本例中為LAN1?net)

目的地址：DMZ?net?

輸入一個(gè)描述說明

保存設(shè)置并應(yīng)用更改。

完成后，在規(guī)則策略列表顯示如下：

DMZ網(wǎng)絡(luò)服務(wù)發(fā)布

DMZ網(wǎng)絡(luò)內(nèi)部服務(wù)的發(fā)布，可以采用端口轉(zhuǎn)發(fā)或1:1NAT，不在贅述。

本文轉(zhuǎn)自 鐵血男兒 51CTO博客，原文鏈接：http://blog.51cto.com/fxn2025/2068991，如需轉(zhuǎn)載請自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的pfSense DMZ配置的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。