【51CTO.com 独家翻译】谈到DMZ(非军事区)时,我们已经走过了漫长的DMZ设计之路,如果你的组织需要DMZ,它不再是一个麻烦的问题,现在的问题是你应该如何设计一个安全的DMZ。
在计算机安全领域,DMZ是一个物理或逻辑的子网,它里面驻留着组织提供给外部用户的服务,并负责暴露给更大,不可信的网络 – 通常指的是互联网,最初的DMZ设计就是从内部网络独立出一个简单的子网,凡是要开放给互联网的服务全部扔到这个子网中。
现在许多DMZ设计就象设计公路上行驶的交通工具一样,例如,设计运输货物的卡车时最重要的就是要尽可能降低货物运输成本,设计经济型汽车时就是要省钱,设计精致型汽车时,就是要让买车人的朋友嫉妒,DMZ设计和设计汽车的道理一样,尽管存在各种可能的变化,但它们目的都是相同的。
我们今天使用的网络名称有千千种,但基本上都离不开内部网络,外部网络和DMZ,它们可能被叫做合作伙伴网络,供应商网络,内部DMZ或安全区,实际上它们都是混合了各种设备,连接和风险的DMZ。51CTO编者按:如果你看过盗梦空间这部电影,你会发现网络设计者的工作和造梦师差不多。
DMZ设计的目标
如果你问10个网络架构师如何设计DMZ,你可能会得到10个完全不同的答案,虽然变化会增加生活的乐趣,但作为一个特殊的行业,我们应该遵循DMZ设计领域一些公认的做法。
DMZ设计的核心原则是根据风险隔离设备、系统、服务和应用程序,最终目标是隔离风险,当一个设备或系统被黑时,可以有效保护其它设备或系统不受牵连,除了按风险隔离外,其它四种常见的DMZ设计方法分别是:按操作系统隔离,按数据分类方案隔离,按信任级别隔离和按业务部门隔离。
如果你了解审计和法规遵从要求,你会发现对技术设计的要求越来越多,在某些新需求中,我们发现需要将Web和应用程序与数据库隔离,这是一个非常好的主意,此外,我们也发现许多组织希望服务器的用途单一化,例如,Web服务器不能同时用作DNS服务器,这些都是很好的想法。
DMZ设计的四个级别
我们将DMZ设计分为四个级别,一级是最简单的设计,后面的级别可以提供更细粒度的安全控制。当我们想建立一个基本的DMZ时,通常会从单个网段的防火墙开始着手,在我们的DMZ设计书籍中我们将其称为一级设计,如果需要开放给互联网访问的服务器数量较少,这种设计方法可以应付得过来,但如果你要做电子商务交易,必须用更高级的设计方法。
许多设计师都容易犯同样的错误,他们将Web服务器和应用程序服务器放在DMZ中,将数据库放在内部网络中,这种设计其实是最不安全的,因为数据库攻击变得更有针对性,如果将其部署在内部网络中,需要更复杂的设计,来自内部的攻击更加危险。
共4页: 1 [2] [3] [4] 下一页 【内容导航】 第 1 页:DMZ设计的目标和第一级设计 第 2 页:二级DMZ设计 第 3 页:三级DMZ设计 第 4 页:四级DMZ设计和小结
相关阅读