DMZ主机策略
DMZ主機策略(隔離區)
DMZ通常是一個過濾的子網,DMZ在內部網絡和外部網絡之間構造了一個安全地帶。
控制策略
當規劃一個擁有DMZ的網絡時候,我們可以明確各個網絡之間的訪問關系,可以確定以下六條訪問控制策略。
1.內網可以訪問外網
內網的用戶顯然需要自由地訪問外網。在這一策略中,防火墻需要進行源地址轉換。
2.內網可以訪問DMZ
此策略是為了方便內網用戶使用和管理DMZ中的服務器。
3.外網不能訪問內網
很顯然,內網中存放的是公司內部數據,這些數據不允許外網的用戶進行訪問。
4.外網可以訪問DMZ
DMZ中的服務器本身就是要給外界提供服務的,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火墻完成對外地址到服務器實際地址的轉換。
5.DMZ不能訪問內網
很明顯,如果違背此策略,則當入侵者攻陷DMZ時,就可以進一步進攻到內網的重要數據。
6.DMZ不能訪問外網
此條策略也有例外,比如DMZ中放置郵件服務器時,就需要訪問外網,否則將不能正常工作。在網絡中,非軍事區(DMZ)是指為不信任系統提供服務的孤立網段,其目的是把敏感的內部網絡和其他提供訪問服務的網絡分開,阻止內網和外網直接通信,以保證內網安全。
地址轉換
內外與dmz做映射,外網與dmz做映射
DMZ區服務器與內網區、外網區的通信是經過網絡地址轉換(NAT)實現的。網絡地址轉換用于將一個地址域(如專用Intranet)映射到另一個地址域(如Internet),以達到隱藏專用網絡的目的。DMZ區服務器對內服務時映射成內網地址,對外服務時映射成外網地址。采用靜態映射配置網絡地址轉換時,服務用IP和真實IP要一一映射,源地址轉換和目的地址轉換都必須要有。
總結
- 上一篇: Oracle数据库账号被锁了怎么解锁
- 下一篇: python读取摄像头或者视频文件、并在