为什么您的网络需要 DMZ 及其工作原理。在网络安全中,DMZ 提供额外的安全性来保护自己免受LAN 中的外部攻击。“DMZ”一词起源于非军事区,这是朝鲜战争末期在韩国和朝鲜之间设置的地理缓冲区。就像韩国边界 DMZ 一样,网络 DMZ 可防止流量进入专用业务网络。因此,无论网络规模如何, DMZ 对于网络安全都至关重要。它们通过最小化内部服务器和数据访问来提供额外的安全层。让我们从为什么您的网络中需要 DMZ 及其工作原理开始。
什么是隔离区?
隔离区(DMZ)配置是逻辑或物理子网,可将内部 LAN 与公共互联网等不受信任的流量隔离开来。基本上,DMZ位于公共互联网和专用网络之间,以确保内部网络的安全。本质上,公共互联网上提供的所有服务都应在DMZ网络中启动。这些包括邮件、Web、互联网协议语音(VoIP)、域名系统(DNS)、代理服务器和文件传输协议(FTP)。
DMZ 网络中的服务器和资源可从互联网访问,但内部 LAN 的访问受到严格限制。因此,内部 LAN 具有额外的保护层,使黑客难以直接从 Internet访问内部服务器或数据。另一方面,网络犯罪分子和黑客仍然有可能访问在 DMZ 服务器上提供服务的系统。因此,应加强这些服务器的安全性,使其能够抵御不断的攻击。DMZ 网络的主要目标是使组织能够访问公共互联网,同时确保其LAN或专用网络的安全。
DMZ 的目的是什么?
DMZ 的目的是保护漏洞最多的主机。总而言之,DMZ 主机通常涉及延伸至 LAN 外部用户的服务。攻击的可能性很高,因此将它们放入受监控的子网中至关重要。反过来,这确保了网络的其余部分即使最终受到威胁也是安全的。此外,DMZ 网络中的主机具有访问内部网络内部服务的权限。但是,这种访问受到严格控制,因为通过 DMZ 传递的数据不一定安全。
DMZ 示例
如果您实施了 DMZ,您应该找到涉及外部网络的所有服务。这些包括:
邮件服务器——包含登录凭证和敏感消息的用户数据库和电子邮件通常存储在无法直接访问互联网的服务器上。在这里,在 DMZ 内创建了一个电子邮件服务器,用于访问电子邮件数据库并与之交互,同时保护它免受潜在有害流量的影响。
Web 服务器——用于与内部数据库服务器通信的 Web 服务器应该放在DMZ内以保护数据库。通常,这些数据库存储敏感信息,有效保护它们至关重要。基本上,Web 然后直接与内部数据库服务器或通过应用程序防火墙交互,同时仍然受到 DMZ 的保护。
FTP 服务器——基于FTP协议的数据传输服务器提供跨 Internet 和本地网络的无缝文件传输。因此,您需要存储与关键内部系统隔离的FTP 服务器。
自防火墙问世以来,DMZ 网络一直是企业网络安全的重要组成部分。通过 DMZ 网络,它们有助于保护敏感资源和资源。此外,DMZ 网络还用于:
- 分离和隔离来自内部网络的所有潜在威胁。
- 控制和最小化外部用户对系统的访问。
- 通过托管公司资源向外部用户授予对某些资源的授权访问权限。
因此,DMZ对于大型组织和个人用户的网络安全都至关重要。额外的安全层通过限制对数据和内部服务器的访问来保护您的网络。
DMZ 是如何工作的?
拥有公共网站的企业必须使其Web 服务器可从 Internet 访问。这将整个内部网络置于高风险之中。但是,如果组织在防火墙上托管其网站或公共服务器,则可以轻松避免这种风险。但是,这可能会对性能产生负面影响。这就是 DMZ 的用武之地。
毫无疑问,DMZ 网络充当组织的专用网络和 Internet 之间的缓冲区。由安全网关隔开,例如防火墙,它过滤 LAN 和 DMZ 之间的流量。同时,默认的 DMZ 服务器由不同的网关保护,该网关过滤来自外部网络的入站流量。它最好位于两个防火墙之间。
同样,DMZ 防火墙结构确保入站数据包在访问托管在 DMZ 中的服务器之前受到防火墙或任何其他安全工具的监控。即使恶意攻击者设法绕过第一道防火墙,DMZ 也能确保他们无法破坏内部网络。
如果攻击者穿透外部防火墙并破坏 DMZ 内的系统,攻击者仍然需要绕过内部防火墙才能访问敏感的业务数据。万一老练的黑客破坏了安全的 DMZ,您会收到来自内置警报系统的持续攻击警告。
必须遵守某些行业法规(如PCI DSS)的组织必须在 DMZ 中安装代理服务器。这使得过滤网站内容变得容易,并简化了用户活动的监控和记录。
DMZ 网络的架构和设计
有多种方法可以使用 DMZ 创建网络。这些是单防火墙和双防火墙。这两个系统都可以扩展以设置满足网络要求的复杂 DMZ 架构:
1. 单一防火墙——这是网络架构的首选方法。包括带有至少 3 个网络接口的单个??防火墙。DMZ 位于此防火墙内。总而言之,它连接到外部网络设备,这是由 ISP 完成的。第二个网络设备连接内部网络,而第三个设备管理 DMZ 内部的连接。
2. 双防火墙——实施 DMZ 网络最安全的方法是使用两个防火墙。初始防火墙称为前端防火墙,仅设计为允许流向 DMZ 的流量。第二个防火墙称为后端防火墙,只负责从 DMZ 流向内部网络的流量。为进一步增强网络安全,最好使用多家提供商的防火墙,以减少出现类似安全漏洞的可能性。更不用说,为大型网络设计 DMZ 是一种更高效但成本更高的方法。
有了 DMZ,组织可以微调不同的网络部分。总而言之,您可以在 DMZ 内配置入侵防御系统 (IPS) 或入侵检测系统 ( IDS ),以阻止除对传输控制协议 (TCP) 端口 443 的超文本传输??协议安全 (HTTPS) 请求之外的所有流量。
DMZ 有什么好处?
使用 DMZ 的主要好处是它通过限制对服务器和敏感信息的访问为内部网络提供额外的高级保护层。这可以实现安全浏览并保护网站和最终用户。此外,DMZ 还提供安全优势,例如:
访问控制
企业通过公共互联网向客户提供网络外部服务的访问权限。DMZ 网络支持这种访问,同时保证网络分段,使未经授权的用户难以访问专用网络。代理服务器也包含在 DMZ 中,这简化了它的监控和日志记录,并集中了内部流量。
防止网络侦察
对于DMZ,它在互联网和专用网络之间创建了一个缓冲区。因此,它有助于防止攻击者执行为寻找潜在目标而进行的侦察。位于 DMZ 内的服务器不向公众公开。相反,他们有一个额外的防火墙协议,限制任何人分析内部网络。
防止网络欺骗
到目前为止,网络攻击者通常通过冒充已获批准的设备和伪造 Internet 协议地址来访问 IT 系统。但是,DMZ 能够追踪并阻止这种尝试,因为不同的服务会确认 Internet 协议地址的合法性。也就是说,DMZ 允许组织流量的网络分段,并在不访问专用内部网络的情况下提供对服务的访问。
DMZ 的缺点是什么?
DMZ 的一些缺点包括:
无内部保护
员工等授权用户仍然可以访问为您的企业存储的敏感信息。可以肯定的是,您的业务网络并不能完全抵御内部威胁。
不提供全面保护
每天都有网络攻击者设计复杂的绕过安全系统的攻击方法,DMZ 服务器无法保证 100% 的安全。即使您的 DMZ 设置已完成,请记住仍要监控您的网络环境。
耗时
配置 DMZ 网络非常耗时。随着智能云技术的出现,DMZ 变得不那么重要了。
DMZ 的应用
以下是 DMZ 的一些实际应用:
云端服务
各种云计算服务采用混合安全。这涉及在虚拟网络和组织的本地网络之间实施 DMZ 。当业务应用程序在虚拟网络上运行且部分在本地运行时,这种安全方法至关重要。DMZ 在审计出站流量或在本地数据中心和虚拟网络之间强制进行精细流量控制时也很有用。
家庭网络
您可以在家庭网络中实施 DMZ,其中启用互联网的设备通过 LAN 配置或宽带路由器连接到互联网。一些家用路由器带有 DMZ 主机功能。
工业控制系统 (ICS)
DMZ 为ICS 面临的安全风险提供了潜在的解决方案。智能工业机械在生产环境中效率更高。但是,这确实扩大了威胁面。大多数连接到互联网的操作技术 (OT) 机器并不是像 IT 设备设计的那样用于处理攻击。DMZ 可以增加网络分段,使勒索软件和其他威胁更难占据 IT 系统和更易受攻击的 OT 组件之间的空间。
结论
隔离区有助于维护高级别的企业安全性,同时使用户能够与外部连接进行交互。目前,大多数组织都依赖Web 应用程序或云服务来提供服务。因此,几乎不可能完全限制对内部网络的访问。因此,在 LAN 和 Internet 之间实施 DMZ 可以实现安全的外部访问。如果您有面向公共互联网的应用程序或业务系统,则应将其放在 DMZ 中。