隨著網(wǎng)絡攻擊數(shù)量的不斷增加，組織需要采取措施保護其資產(chǎn)。他們使用的工具之一是 DMZ 或非軍事區(qū)網(wǎng)絡。

什么是非軍事區(qū)網(wǎng)絡？

在計算機安全方面，用于中小型網(wǎng)絡的常見設置包括處理從內部網(wǎng)絡 (LAN) 到 Internet 以及從 Internet 到 LAN 的 所有請求的防火墻。此防火墻是內部網(wǎng)絡在這些設置中的唯一保護；它通過轉發(fā)和過濾它認為合適的請求來處理任何 NAT（網(wǎng)絡地址轉換）。

對于小公司來說，這通常是一個很好的設置。但是對于大公司來說，將所有服務器都放在防火墻后面并不是那么有效。這就是為什么使用外圍安全網(wǎng)絡（也稱為非軍事區(qū)網(wǎng)絡或 DMZ）將內部網(wǎng)絡與外部世界隔離開來的原因。這樣，外部人員可以訪問 DMZ 中的公共信息，而私有的專有信息則安全地保存在 DMZ 后面，進入內部網(wǎng)絡。

這樣，在發(fā)生安全漏洞的情況下，攻擊者將只能訪問 DMZ 網(wǎng)絡中的服務器。這可能很煩人并可能導致停機，但至少敏感信息是安全的。以下是您可以保留在非軍事區(qū)網(wǎng)絡中的一些服務示例：

• 具有公共信息的網(wǎng)絡服務器；
• 應用程序的前端（后端應安全地保存在 DMZ 后面）；
• 郵件服務器；
• 認證服務；
• 諸如用于一般公共用途的 HTTP、安全 SMTP、安全 FTP 和安全 Telnet 等服務；
• VoIP 服務器；
• VPN端點；
• 應用網(wǎng)關；
• 測試和登臺服務器。

為什么要使用非軍事區(qū)網(wǎng)絡？

DMZ 服務器將保護您的內部網(wǎng)絡免受外部訪問。它通過將公共服務（要求 Internet 上的任何實體連接到您的服務器）與您網(wǎng)絡中的本地私有 LAN 機器隔離開來。實現(xiàn)這種分隔器的最常用方法是設置安裝了3 個網(wǎng)絡接口的防火墻。第一個用于 Internet 連接，第二個用于 DMZ 網(wǎng)絡，第三個用于專用 LAN。任何入站連接都會自動轉發(fā)到 DMZ 服務器，因為專用 LAN 不運行任何服務且不可連接。這就是配置非軍事區(qū)域網(wǎng)絡有助于將 LAN 與任何 Internet 攻擊隔離開來的方式。

如何配置非軍事區(qū)網(wǎng)絡？

首先，您需要決定每臺機器上將運行哪些服務。DMZ 服務器通常在物理和邏輯上位于不同的網(wǎng)段。這意味著您需要使用單獨的機器來托管您想要公開的服務（例如 DNS、Web、郵件等）。

從連接的角度來看，DMZ 將位于與 LAN 不同的子網(wǎng)上。要構建隔離區(qū)網(wǎng)絡，您需要具有三個網(wǎng)絡接口的防火墻：一個用于不可信網(wǎng)絡（Internet），一個用于 DMZ，一個用于內部網(wǎng)絡。您要連接到外部網(wǎng)絡的所有服務器都將放在 DMZ 網(wǎng)絡中，所有包含關鍵數(shù)據(jù)的服務器都將放在防火墻后面。在配置防火墻時，您應該嚴格限制流向內部網(wǎng)絡的流量，但您可以減少對 DMZ 中的流量的限制。接下來，您應該為 LAN 上的計算機提供 NAT，以便為客戶端主機啟用 Internet 訪問。您還應該允許客戶端連接到 DMZ 中的服務器。這是最終 DMZ 網(wǎng)絡架構設置的示意圖：

這種配置也稱為三足模型。為了提高網(wǎng)絡安全性，您還可以使用兩個防火墻（背靠背模型）。在此設置中，其中一個防火墻將只允許發(fā)往 DMZ 的流量，而另一個只允許從內部網(wǎng)絡發(fā)往 DMZ 的流量。這提供了額外的安全層，因為攻擊者需要破壞兩臺設備才能訪問您的內部網(wǎng)絡。這是帶有兩個防火墻的 DMZ 網(wǎng)絡圖：

強化 DMZ 服務器

非軍事區(qū)網(wǎng)絡中的計算機顯然需要盡可能地加固，因為它們將位于第一線，就在防火墻后面。他們的位置將防止對 LAN 的攻擊，但也可能增加被入侵的風險。

以下是提高 DMZ 系統(tǒng)安全性的 6 種方法：

1. 禁用所有不必要的服務和守護進程；
2. 盡可能運行 chrooted 服務；
3. 盡可能使用非特權 UID 和 GID 運行服務；
4. 刪除或禁用不必要的用戶帳戶；
5. 配置日志記錄并定期檢查日志；
6. 使用防火墻的安全策略和反 IP 欺騙功能。

您可以通過添加多個具有不同安全級別的隔離區(qū)來改進您的 DMZ 基礎設施，具體取決于部署的系統(tǒng)和服務的數(shù)量。這些區(qū)域可以組合成一個層狀結構，以便信息從一個 DMZ 服務器傳遞到另一個。這種類型的網(wǎng)絡基礎設施可能不是保護私有邊界的最安全方式，但有時是必需的。

這種情況的一個例子是，放置在非軍事區(qū)網(wǎng)絡中的 Web 服務器需要通過放置在第二個非軍事區(qū)網(wǎng)絡中的安全端口（并且僅限該端口）訪問數(shù)據(jù)庫服務器。 如果有這樣的要求，這個數(shù)據(jù)庫服務器最終可以訪問在私有 LAN 系統(tǒng)上找到的一些數(shù)據(jù)。通過這種方式，可以保護數(shù)據(jù)庫免于公開暴露，同時保持網(wǎng)絡服務器可訪問且私有 LAN 處于隔離狀態(tài)。注意：上面列出的方法僅適用于 Linux / *NIX 類型的系統(tǒng)。

關于 DMZ 服務器的注意事項

非軍事區(qū)網(wǎng)絡概念的簡單性使其非常強大。這就是為什么我們建議您在那里部署Axigen 電子郵件服務器而不是您的內部網(wǎng)絡 - 以確保您的電子郵件通信以及其他敏感數(shù)據(jù)的安全。但是，請記住，DMZ 服務器可以被視為一種安全措施，但它本身并不是一種安全措施。 盡管如此，憑借緊密且經(jīng)過深思熟慮的網(wǎng)絡基礎設施、IDS（入侵檢測系統(tǒng)）和 IPS（入侵預防系統(tǒng)），它可以成為抵御攻擊者和不需要或不需要的流量的障礙。