DMZ

DMZ是為了解決數據跨網交換的傳輸問題而設立在非安全系統和安全系統之間的緩衝區。 ^[7]  作用是把單位的 FTP服務器、E-Mail服務器等允許外部訪問的服務器單獨部署在此區域，使整個需要保護的內部網絡接在信任區後，不允許任何外部網絡的直接訪問，實現內外網分離，滿足用户的安全需求。

DMZ 區可以理解為一個不同於外網或內網的特殊網絡區域，DMZ 內通常放置一些不含機密信息的公用服務器，比如 WEB 服務器、E-Mail 服務器、FTP 服務器等。這樣來自外網的訪問者只可以訪問 DMZ 中的服務，但不可能接觸到存放在內網中的信息等，即使 DMZ 中服務器受到破壞，也不會對內網中的信息造成影響。DMZ 區是信息安全縱深防護體系的第一道屏障，在企事業單位整體信息安全防護體系中具有舉足輕重的作用。

針對不同資源提供不同安全級別的保護，就可以考慮 構建一個 DMZ 區域。如圖1所示，可以看到網絡被劃分為三個區域：安全級別最高的 LAN Area（內網），安全級別中等的 DMZ 區域和安全級別最低的 Internet 區域（外網）。圖1是一個典型的 DMZ 區的構建圖，用户將核心的、重要的，只為內部網絡用户提供服務的服務器部署在內網，將 WEB 服務器、E-Mail 服務器、FTP 服務器等需要為內部和外部網絡同時提供服務的服務器放置到防火牆後的 DMZ 區內。通過合理的策略規劃，使 DMZ 中服務器既免受到來自外網絡的入侵和破壞，也不會對內網中的機密信息造成影響。DMZ 服務區好比一道屏障，在其中放置外網服務器，在為外網用户提供服務的同時也有效地保障了內部網絡的安全。 ^[1] 

將部分用於提供對外服務的服務器主機劃分到一個特定的子網——DMZ內，在DMZ的主機能與同處DMZ內的主機和外部網絡的主機通信，而同內部網絡主機的通信會被受到限制。這使DMZ的主機能被內部網絡和外部網絡所訪問，而內部網絡又能避免外部網絡所得知。

DMZ能提供對外部入侵的防護，但不能提供內部破壞的防護，如內部通信數據包分析和欺騙。

UniERM具備內網訪問DMZ區服務器的分析和控制。外網訪問DMZ區服務器的分析和控制。 ^[2] 

在實際的運用中，某些主機需要對外提供服務，為了更好地提供服務，同時又要有效地保護內部網絡的安全，將這些需要對外開放的主機與內部的眾多網絡設備分隔開來，根據不同的需要，有針對性地採取相應的隔離措施，這樣便能在對外提供友好的服務的同時最大限度地保護了內部網絡。針對不同資源提供不同安全級別的保護，可以構建一個DMZ區域，DMZ可以為主機環境提供網絡級的保護，能減少為不信任客户提供服務而引發的危險，是放置公共信息的最佳位置。在一個非DMZ系統中，內部網絡和主機的安全通常並不如人們想象的那樣堅固，提供給Internet的服務產生了許多漏洞，使其他主機極易受到攻擊。但是，通過配置DMZ，可以將需要保護的Web應用程序服務器和數據庫系統放在內網中，把沒有包含敏感數據、擔當代理數據訪問職責的主機放置於DMZ中，這樣就為應用系統安全提供了保障。DMZ使包含重要數據的內部系統免於直接暴露給外部網絡而受到攻擊，攻擊者即使初步入侵成功，還要面臨DMZ設置的新的障礙。 ^[3] 

在一個用路由器連接的局域網中，可以將網絡劃分為三個區域：安全級別最高的LAN Area（內網）,安全級別中等的DMZ區域和安全級別最低的Internet區域（外網）。三個區域因擔負不同的任務而擁有不同的訪問策略。在配置一個擁有DMZ區的網絡的時候通常定義以下的訪問控制策略以實現DMZ區的屏障功能。 ^[4] 

內網的用户顯然需要自由地訪問外網。在這一策略中，防火牆需要進行源地址轉換。

此策略是為了方便內網用户使用和管理DMZ中的服務器。

很顯然，內網中存放的是公司內部數據，這些數據不允許外網的用户進行訪問。

DMZ中的服務器本身就是要給外界提供服務的，所以外網必須可以訪問DMZ。同時，外網訪問DMZ需要由防火牆完成對外地址到服務器實際地址的轉換。

很明顯，如果違背此策略，則當入侵者攻陷DMZ時，就可以進一步進攻到內網的重要數據。

此條策略也有例外，比如DMZ中放置郵件服務器時，就需要訪問外網，否則將不能正常工作。在網絡中，非軍事區(DMZ)是指為不信任系統提供服務的孤立網段，其目的是把敏感的內部網絡和其他提供訪問服務的網絡分開，阻止內網和外網直接通信，以保證內網安全。

在沒有DMZ的技術之前，需要使用外網服務器的用户必須在其防火牆上面開放端口（就是Port Forwarding技術）使互聯網的用户訪問其外網服務器，顯然，這種做法會因為防火牆對互聯網開放了一些必要的端口降低了需要受嚴密保護的內網區域的安全性，黑客們只需要攻陷外網服務器，那麼整個內部網絡就完全崩潰了。DMZ區的誕生恰恰為需用架設外網服務器的用户解決了內部網絡的安全性問題。

DMZ提供的服務是經過了網絡地址轉換（NAT）和受安全規則限制的，以達到隱蔽真實地址、控制訪問的功能。首先要根據將要提供的服務和安全策略建立一個清晰的網絡拓撲，確定DMZ區應用服務器的IP和端口號以及數據流向。通常網絡通信流向為禁止外網區與內網區直接通信，DMZ區既可與外網區進行通信，也可以與內網區進行通信，受安全規則限制。

DMZ區服務器與內網區、外網區的通信是經過網絡地址轉換（NAT）實現的。網絡地址轉換用於將一個地址域（如專用Internet）映射到另一個地址域（如Internet），以達到隱藏專用網絡的目的。DMZ區服務器對內服務時映射成內網地址，對外服務時映射成外網地址。採用靜態映射配置網絡地址轉換時，服務用IP和真實IP要一一映射，源地址轉換和目的地址轉換都必須要有。 ^[5] 

安全規則集是安全策略的技術實現，一個可靠、高效的安全規則集是實現一個成功、安全的防火牆的非常關鍵的一步。如果防火牆規則集配置錯誤，再好的防火牆也只是擺設。在建立規則集時必須注意規則次序，因為防火牆大多以順序方式檢查信息包，同樣的規則，以不同的次序放置，可能會完全改變防火牆的運轉情況。如果信息包經過每一條規則而沒有發現匹配，這個信息包便會被拒絕。一般來説，通常的順序是，較特殊的規則在前，較普通的規則在後，防止在找到一個特殊規則之前一個普通規則便被匹配，避免防火牆被配置錯誤。

DMZ安全規則指定了非軍事區內的某一主機（IP地址）對應的安全策略。由於DMZ區內放置的服務器主機將提供公共服務，其地址是公開的，可以被外部網的用户訪問，所以正確設置DMZ區安全規則對保證網絡安全是十分重要的。

FireWall可以根據數據包的地址、協議和端口進行訪問控制。它將每個連接作為一個數據流，通過規則表與連接表共同配合，對網絡連接和會話的當前狀態進行分析和監控。其用於過濾和監控的IP包信息主要有：源IP地址、目的IP地址、協議類型（IP、ICMP、TCP、UDP）、源TCP/UDP端口、目的TCP/UDP端口、ICMP報文類型域和代碼域、碎片包和其他標誌位（如SYN、ACK位）等。

為了讓DMZ區的應用服務器能與內網中DB服務器（服務端口4004、使用TCP協議）通信，需增加DMZ區安全規則， 這樣一個基於DMZ的安全應用服務便配置好了。其他的應用服務可根據安全策略逐個配置。

DMZ無疑是網絡安全防禦體系中重要組成部分，再加上入侵檢測和基於主機的其他安全措施，將極大地提高公共服務及整個系統的安全性。 ^[2] 

VMware的《在VMware基礎架構中實現DMZ虛擬化》白皮書指出，一個虛擬化的DMZ提供了與物理DMZ同樣程度的安全性，從而生成一個同樣安全的虛擬DMZ網絡。在過去幾年中，虛擬化技術的使用有着長足的增長；虛擬機（VM）已經可以代替物理服務器。同樣的趨勢也發生在DMZ領域上，為了讓網絡保持正確的隔離及安全性，物理DMZ正在不斷被虛擬DMZ替代着。 ^[6]