【防火墙】DMZ

DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。

DMZ区的特点:
        1.内网可以访问外网 
        内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。  

   2.内网可以访问DMZ 
   此策略是为了方便内网用户使用和管理DMZ中的服务器。  
        3.外网不能访问内网 
        很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。  
        4.外网可以访问DMZ 
        DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。  
   5.DMZ不能访问内网 
   很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。  
   6.DMZ不能访问外网 
   此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。
   下面是防火墙的一个DMZ区接口的连接图

dmz开启之后,素有的流量都转到dmz的主机上。

其实简单的说。

DMZ可以当做一个中间缓冲地带,介于外网和内网之间。

内网可单向访问,反过来从DMZ访问内网则需要制定规则,外网可以和DMZ双向访问。

如果没有DMZ,我们通常所采取的办法是把电脑防火墙的某个端口打开,以达到外网可以访问内内网设备的作用。但是这么一来,安全就很值得担忧。黑客一旦攻陷这个电脑终端,那么内网所有设备将全部暴露无遗。

所以,在这种情况下,DMZ应运而生,被称作隔离区,就是这个意思。隔离于内外网,而做的安全最大化。

 

测试这个功能可借助网络调试助手工具进行测试。

A(192.168.23.40) <----> (192.168.23.37) Router (192.168.1.1) <----> B(192.168.1.100)

预期结果:主机地址可以收到外网地址发过来的数据包。

后台规则:

url过滤对应的规则查看

iptables -t filter -nvL

url防火墙配置文件

cat /etc/quagga/firewall_security.conf

 

    

转载于:https://www.cnblogs.com/chenxiaomeng/p/9337209.html

### USG 系列防火墙 DMZ 区域配置及作用 #### 配置概述 DMZ(Demilitarized Zone),即非军事化区,在网络安全架构中扮演着重要角色。通过将某些服务放置于DMZ区域内,可以在保护内部网络的同时提供对外部网络的服务访问[^1]。 #### 创建与配置DMZ区域 为了在USG系列防火墙设置DMZ区域并使其正常工作,需执行如下操作: - **定义安全区域** 定义不同的逻辑分区来区分内外网以及中间地带(DMZ),这可以通过命令行完成。例如: ```shell firewall zone name dmz ``` - **关联物理接口** 将实际的网络接口分配给对应的逻辑区域,比如ethernet0/2被指定为dmz区域的一部分。 ```shell interface ethernet0/2 port link-mode route ip address 192.168.3.1 255.255.255.0 zone dmz exit ``` - **设定访问控制规则** 制定从不同方向进入或离开该区域的数据流所遵循的安全策略。允许特定类型的流量进出DMZ而阻止其他不必要的通信尝试。 对于来自信任(Trust)区域到DMZ内的请求可采用较为宽松的态度;而对于试图由外部(untrust)向内发起连接的行为则应保持警惕,仅开放必要的端口和服务。 ```shell security-policy rule name trust_to_dmz source-zone trust destination-zone dmz action permit service http https exit security-policy rule name untrust_to_dmz source-zone untrust destination-zone dmz action deny except-service ssh exit ``` 以上步骤确保了只有经过授权的应用程序能够穿越边界到达敏感资源所在位置,从而提高了整体系统的安全性[^2]。 #### DMZ的作用 DMZ的主要功能在于隔离企业内部的核心业务系统与公共互联网之间的直接联系,它作为缓冲带容纳那些既需要面向公众又不希望完全暴露在外的风险较高的应用服务器,如Web Server、Mail Server等。这样即使这些公开服务遭受攻击也不会直接影响到更深层的企业资产[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值