本节书摘来自异步社区《网络安全原理与实践》一书中的第2章,第2.2节,作者 【美】Saadat Malik, CCIE #4955,更多章节内容可以访问云栖社区“异步社区”公众号查看
2.2 设计一个DMZ
网络安全原理与实践
DMZ是网络安全中使用的最重要的分区术语之一。一个DMZ是网络中的这样一个区:因为它所包含的设备性质而将其同网络的其他部分分隔开来的区。这些设备(通常是需要从公共网络上访问的服务器)不允许在它们所在的区域部署一个太严格的安全策略。因而,需要把这个区同网络的其他部分分离开来。
DMZ通常是驻留于私有网络和公共网络之间的一个子网。来自外网的连接通常终止于DMZ区域的设备。这些服务器可以相对安全的被私有网络内的设备访问。
创建DMZ的方法有很多。怎样创建DMZ依赖于网络的安全需求,同时也取决于对它的预算。创建DMZ的最常用方法如下。
使用一个三脚(three-legged)防火墙创建DMZ。
将DMZ置于防火墙之外,公共网络和防火墙之间。
将DMZ置于防火墙之外,但不在公共网络和防火墙之间的通道上(也叫做“脏DMZ[dirty DMZ]”)。
在层叠的防火墙之间创建DMZ。
2.2.1 使用一个三脚防火墙创建DMZ
这可能是创建DMZ最常用的方法。这种方法是使用一个有三个接口的防火墙去创建隔离区,每个隔离区成为这个防火墙接口的一员。防火墙提供区之间的隔离。这种机制提供了许多关于DMZ安全的控制。这一点是重要的,因为一个被攻陷的DMZ可能是精心设计的攻击的第一步。图2-1展示了怎样使用一个三脚防火墙创建DMZ。注意一个防火墙可以有多于三个的接口,允许创建许多DMZ。每个DMZ可以具有自己独特的安全需求。
2.2.2 DMZ置于防火墙之外,公共网络和防火墙之间
在这种配置中,DMZ暴露在防火墙的公共面一侧。需要通过防火墙的流量首先通过DMZ。一般情况下不推荐这种配置,因为在这种配置中针对DMZ区域内设备可用的安全控制非常少。这些设备实际上是公共区域的一部分,它们自身并没有真正地被保护。图2-2显示了一个在防火墙之外,公共网络和防火墙之间的DMZ是怎样创建的。
显然,这是相当不安全的建立DMZ的方法,因为在这种配置中防火墙的安全特性根本没有用到。但是,在网络边缘路由器的公网方向可以部署一些安全策略,从而向DMZ的成员设备提供一些基本的安全保障。这种安全可能使用访问控制列表的形式,只允许以特定的端口访问DMZ中的成员设备并拒绝其他所有的访问。
2.2.3 DMZ置于防火墙之外,但不在公共网络和防火墙之间的通道上
“脏DMZ”同前面描述的DMZ非常相似。它们仅有的区别是:这里的DMZ不是位于防火墙和公共网络之间,而是位于边缘路由器用于连接防火墙的接口以外的一个隔离接口(如图2-3所示)。这种类型的配置只为DMZ网络中的设备提供了非常少的安全保障。但是同前面部分描述的配置相比,这种配置为DMZ提供了稍多的隔离性。这种配置中的边缘路由器能够用于拒绝从DMZ子网到防火墙所在的子网的所有访问。并且,单独的VLAN能够提供防火墙所在的子网和DMZ子网间更进一步第二层的隔离。这在当一个位于DMZ子网的主机被攻陷,并且攻击者开始使用这个主机对防火墙和网络发动更进一步攻击的情形下是非常有用的。在这些情形下,增加的隔离层能够帮助延缓对防火墙的攻击进度。
因为防火墙通常要处理所有通往内网和通往普通DMZ服务器的数据,因此当防火墙的性能不足以处理额外的流量的时候,可以通过创建脏DMZ的方式来解决。因为在DMZ上服务器(通常是公共服务器)的流量是相当可观的,所以网络管理员通常被迫将这些设备置于防火墙之外的一个DMZ上,这样防火墙就不必处理通往这些服务器的流量。
网络管理员经常竭尽全力,以确保位于脏DMZ上的主机在面对大部分通常的网络攻击时特别牢固。一个暴露在公共网络中并且得到加强以面对网络攻击的主机称为堡垒主机(bastion host)。这些主机通常关掉所有不需要的服务,以防止攻击者利用这些服务入侵主机。同样,任何不需要的端口和网络协议也都被移除或禁用以增强主机的安全。同时这些主机的操作系统也需要安装所有必要的更新和补丁。大部分能够用于操纵这个主机的工具和配置程序都要从该主机上删除。另外,主机有大量开启的日志记录,以捕获任何入侵的企图。这很可能是一个在将来提升主机安全性的重要工具。甚至在设置了所有这些安全措施之后,还要部署额外措施以确保即使是主机被攻陷了,攻击者也无法通过从堡垒主机获得的访问权限访问内网。通常这也意味着堡垒主机和内部私有网络不共享相同的认证系统。
2.2.4 在层叠的防火墙之间创建DMZ
在这种形成DMZ的机制中,两个防火墙层叠放置,因而需要访问离公共网络最远的防火墙后面的私有网络时,所有流量必须要通过这两个防火墙。在这种方案中,两个防火墙中间的网络用作DMZ。在这种方案中,由于DMZ前面的防火墙而使它获得了相当高的安全性。但是,它的一个缺点是所有从内部网络流向公共网络的流量必须经过DMZ网络。在这种方案中,一个被攻陷的DMZ设备能够使攻击者以不同的方法阻截或者侦听这个流量。为抵御这种风险,可以在两个防火墙之间的设备上使用私有VLAN。这种配置的主要缺点之一是要用两个防火墙。图2-4显示了层叠在两个防火墙之间的DMZ是怎样建立的。
