當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

pfSense DMZ配置

發布時間：2025/3/20 编程问答 50 豆豆

生活随笔收集整理的這篇文章主要介紹了 pfSense DMZ配置小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

DMZ定義

DMZ來源于“Demilitarized Zone(非軍事區)”一詞。在計算機安全中，DMZ或非軍事區域（有時稱為外圍網絡）是一個物理或邏輯子網絡，它包含并將組織面向外部的服務暴露給不可信網絡，通常是一個更大的網絡，如Internet。 DMZ的目的是為組織的局域網（LAN）添加一個額外的安全層。外部網絡節點只能訪問DMZ中暴露的內容，而組織的其余部分則被防火墻限制。 DMZ是位于互聯網和專用網絡之間的小型隔離網絡。

從軍事意義上講，非軍事區并不屬于與之相鄰的任何一方。這個概念適用于隱喻的計算使用，因為例如作為公共因特網的門戶的DMZ既不像內部網絡那樣安全，也不像Internet那樣不安全。

在這種情況下，最容易受到攻擊的主機是為局域網以外的用戶提供服務的主機，如電子郵件、Web和DNS服務器等。由于這些主機受到攻擊的威脅越來越大，它們被放置在這個特定的子網絡中，以便保護網絡的其它部分。

由于DMZ并不像內部網絡那樣安全，因此DMZ中的主機只能與內部網絡中的特定主機建立有限的連接。DMZ中的主機與外部網絡之間的通信也會受到限制，使得DMZ比互聯網更安全，并且適合于容納這些特殊用途的服務。這允許DMZ中的主機與內部和外部網絡通信，而中間防火墻控制DMZ服務器和內部網絡客戶端之間的通信，而另一個防火墻將執行一定級別的控制以保護DMZ免受外部網絡攻擊。

DMZ配置可以減少外部網絡攻擊威脅，但可能會受到內部攻擊的影響，如通過數據包分析器嗅探通信或欺騙（如電子郵件欺騙）。

任何向外部網絡上的用戶提供的服務都可以放在DMZ中。這些最常見服務中包括：

Web服務
郵件服務
FTP服務
VoIP服務

與內部數據庫通信的Web服務器需要訪問數據庫服務器，該數據庫服務器可能無法公開訪問，并可能包含敏感信息。出于安全原因，Web服務器可以直接或通過應用程序防火墻與數據庫服務器進行通信。

電子郵件，特別是用戶數據庫是保密的，所以它們通常存儲在無法從互聯網訪問的服務器上（至少不是以不安全的方式），但是可以從暴露于互聯網的電子郵件服務器訪問。

DMZ內部的郵件服務器將收到的郵件傳遞給內部郵件服務器，同時它也可以處理發出的郵件。

在商業環境中，一些企業在DMZ內部安裝代理服務器。這會有以下好處：

引導內部用戶（通常是員工）使用代理服務器訪問Internet。
由于某些網頁內容可能被代理服務器緩存，可以減少對互聯網訪問帶寬的要求。
簡化用戶活動的記錄和監控。
可以對部分網頁內容進行過濾。

反向代理服務器，就像代理服務器一樣，是一個中介，但它是反過來的。它不提供服務給想要訪問外部網絡的內部用戶，而是為外部網絡（通常是因特網）提供對內部資源的間接訪問。例如，可以向外部用戶提供諸如電子郵件系統的后臺應用程序訪問（在公司外部網絡查看電子郵件），但遠程用戶不能直接訪問他們的電子郵件服務器。只有反向代理服務器才能物理訪問內部郵件服務器。這是一個額外的安全層，當需要從外部訪問內部資源時，可以這樣進行操作。通常，這樣的反向代理機制是通過使用應用層防火墻來提供的，因為它們專注于流量的特定形狀，而不是像包過濾防火墻那樣控制對特定TCP和UDP端口的訪問。

用DMZ設計網絡的方法有很多種。最基本的方法分兩種，一種是使用一個單一的防火墻，也被稱為三足式模式，另外一種為雙重防火墻。這些體系結構可以根據網絡需求進行擴展。

單一防火墻

使用單一防火墻的DMZ的典型網絡模型圖。

使用單一防火墻創建包含DMZ的網絡體系必須具有3個以上的網絡接口。外部網絡ISP連接到防火墻第一網絡接口，內部網絡接防火墻的第二網絡接口，DMZ則連接防火墻的第三網絡接口。防火墻作為網絡的單點故障，必須能夠處理通往DMZ以及內部網絡的所有通信。?不同區域使用不同的顏色進行標記，例如LAN用紫色，DMZ用綠色，Internet用紅色（無線區域使用另一種顏色）。

雙重防火墻

使用雙重防火墻的DMZ的典型網絡模型圖。

最安全的方法是使用兩個防火墻來創建一個DMZ。第一個防火墻（也稱為“前端”或“外圍”防火墻）配置為僅允許通往DMZ的通信。第二個防火墻（也稱為“后端”或“內部”防火墻）配置為只允許從DMZ到內部網絡的通信。

這個設置在安全性上更高，因為攻擊內部網絡需要突破兩個防火墻。如果這兩個防火墻是由兩個不同的供應商提供的話，則會提供更多的保護，因為這樣兩個設備就不太可能遇到同樣的安全漏洞。這種配置的缺點是購買和管理成本更高。使用不同供應商的不同防火墻的做法被認為是“縱深防御”安全策略的一個組成部分。

在pfSense中配置DMZ，與一般LAN接口的設置一樣，但必須做好與LAN內網的隔離，通過在交換機上劃分不同的VLAN來進行隔離是最好的辦法。同時要嚴格設置防火墻規則，把允許的通信減少到最低，以保證內部網絡安全。

下面在pfSense2.42-p1上進行DMZ配置示例。

DMZ接口配置

使用本地IP地址打開Web GUI界面。導航到網絡接口>接口分配標簽，然后在可用網絡端口一欄，單擊右側的添加，增加一個用于DMZ的可用接口，并點擊保存設置。

在本例中，保存后顯示為OPT4接口。

導航到網絡接口>OPT4，啟用接口并填寫其他信息。

描述：DMZ

IPv4配置類型：靜態IPv4

IPv4地址：輸入192.168.114.1，子網掩碼：24

網關：None

阻止專用網絡和未知網絡不選。

單擊保存，單擊應用更改。

至此，DMZ接口的配置完成。

DMZ防火墻設置

為了保證安全應用，還需要對防火墻進行相關設置，防火墻的設置原則如下：

內網可以訪問外網。內網的用戶顯然需要自由地訪問外網。在這一策略中，防火墻需要進行源地址轉換。
內網可以訪問DMZ。此策略是為了方便內網用戶使用和管理DMZ中的服務器。建議只對有限的主機進行開放。
外網不能訪問內網。很顯然，內網中存放的是公司內部數據，這些數據不允許外網的用戶進行訪問。
外網可以訪問DMZ。DMZ中的服務器本身就是要給外界提供服務的，所以外網必須可以訪問DMZ。同時，外網訪問DMZ需要由防火墻完成對外地址到服務器實際地址的轉換。
DMZ訪問內網有限制。很明顯，如果違背此策略，則當入侵者攻陷DMZ時，就可以進一步進攻到內網的重要數據。
DMZ不能訪問外網。此條策略也有例外，比如DMZ中放置郵件服務器時，就需要訪問外網，否則將不能正常工作。可以根據需要進行設置。