怎样在不同网络安全需求下创建DMZ区

  安全区的定义在建立安全网络过程中起着至关重要的作用。DMZ (Demilitarized Zone)是网络安全中最重要的分区术语。因为DMZ包含设备性质,所以将其同网络的其他部分分隔开来。这些设备通常是需要从公共网络上访问的服务器,不允许在它们所在的区域实现太严格的安全策略,因而需要分离开来。

  DMZ通常是驻留于专用网络和公共网络之间的一个子网,从公共网络的连接到DMZ设备终止:这些服务器也经常被相对安全的专用网络设备访问。

  创建DMZ的方法有很多,怎样创建DMZ有赖于网络的安全需求,创建DMZ的最常用的方法如下4种。

  一、使用防火墙创建DMZ

  这种方法使用一个有3个接口的防火墙去创建隔离区,每个隔离区成为这个防火墙接口的一员。防火墙提供区与区之间的隔离。这种机制提供了许多关于DMZ安全的控制。图1显示了怎样使用一个防火墙创建DMZ一个防火墙也可以有多个接口,允许创建多个DMZ。此种方式是创建DMZ最常用的方法。


  图1使用防火墙创建DMZ

  二、在防火墙之外的公共网络和防火墙之间创建DMZ

  在这种配置中,DMZ暴露在防火墙的公共面一侧。通过防火墙的流量,首先要通过DMZ。一般情况下不推荐这种配置,因为DMZ中能够用来控制设备安全的控制非常少。这些设备实际上是公共区域的一部分,它们自身并没有受到真正的保护。图2显示了创建DMZ的方法。


  图2 防火墙之夕随公共网络和防火墙之间创建DMZ

  三、在防火墙之外且不在公共网络和防火墙之间创建DMZ

  这种类型的配置同第二种方法类似(如图3所示),仅有的区别是:这里的DMZ不是位于防火墙和公共网络之间,而是位于连接防火墙同公共网络的边缘路由器的一个隔离接口。这种类型的配置向DMZ网络中的设备提供了非常小的安全性,但是这种配置使防火墙有从未保护和易受攻击的DMZ网络的隔离性。这种配置中的边缘路由器能够用于拒绝所有从DMZ子网到防火墙所在的子网的访问。并且,隔离的VLAN能够允许防火墙所在的子网和DMZ子网间有第二层的隔离。当位于DMZ子网的主机受到危害,并且攻击者开始使用这个主机对防火墙和网络发动更进一步攻击的情形下这类型的配置是有用的。


  图3 在防火墙之外且不在公共网络和防火墙之间的创建DMZ

  四、在层叠防火墙之间创建DMZ

  在这种机制(如图4所示)下,两个防火墙层叠放置,访问专用网络时,所有的流量必须经过两个层叠防火墙,两个防火墙之间的网络用作DMZ。由于DMZ前面的防火墙使它获得了大量的安全性,但是它的缺陷是所有专用网络到公共网络之间的数据流必须经过DMZ,一个被攻陷的DMZ设备能够使攻击者以不同的方法阻截和攻击这个流量。可以在防火墙之间设置专用VLAN减轻这种风险。

  分区是安全设计中的一个重要概念,使用设计良好的DMZ隔离方法,在一个低安全区设备受损时,包含在替他区域设备受损的风险也很小。


  图4 在层叠防火墙之间创建DMZ

时间: 2024-10-30 11:48:22

怎样在不同网络安全需求下创建DMZ区的相关文章

在VS.NET下创建文件上载控件

创建|控件 在VS.NET下创建文件上载控件 前言:还记得在asp3.0里,我们为了上载文件可真是煞费苦心,写了一大堆的代码,可执行起来还是那么慢.但在asp.net里这个问题可以轻松搞定,这篇文章我们就探讨如何建立一个用户自定义的文件上载控件,并在我们的.ASPX程序中使用它.正文第一步:开发自定义文件上载控件打开VS.NET,建立一个工程:WebApp,我们使用WebApp项目来做我们的工作.在项目WebApp上点右健选择Add下的Add Web User Control-,这时我们就可以建

asp.net在项目目录下创建txt

问题描述 1.在页面1内添加文本框和按钮,点击按钮后,在项目目录下创建test.txt文件,并将文本框内容写入的文本文件内2.在页面2内添加按钮,点击按钮后,将文本文件test.txt复制到电脑桌面主体代码谢谢!!! 解决方案 解决方案二:你是要操作客户端,还是操作服务器端:如果是客户端那这种需求恐怕web实现不了哦:如果是服务器端你可以参考下System.IO命名空间下的文件处理:很简单的几个方法就可以搞定:解决方案三:文件操作看看msdn就行了,挺简单的至于复制到电脑桌面就不大可行了,不知道

linux下创建线程内存泄漏,php的json

  这次还是把遇到的几个问题整理一下,希望再遇到的同学能轻松解决.另外最近博客的feeds延迟更新的原因也会一起说明一下. 1.linux下创建线程导致内存泄漏 今天在外网发布了一个server之后,用top发现virt的使用量一直在涨,而且一次涨8m.于是可以断定有内存泄漏了,经过排查,最终确定原因出在多线程的问题上: 代码如下: 1 2 3 4 5 6 pthread_t thread_id; int ret=pthread_create(&thread_id, NULL, flush_th

mysql下创建数据库的两种方式

mysql|创建|数据|数据库 1.命令创建 首先以root用户登录 sql>create database databasename; 2.如何你想在没登录mysql情况下创建mysql数据库,那在mysql的data目录下创建一个userbase目录即可.在连上mysql后,show databases;就可以看见你所创建的userbase库了 注:删除数据库 sql>drop database databasename;

如何在ubuntu下创建桌面快捷方式

习惯使用windows的朋友来说创建桌面快捷方式简直就是so easy, 鼠标右键点击文件-->选择发送桌面快捷方式,就OK了.对于ubuntu下该怎样创建桌面快捷方式呢?下面以创建eclipse的快捷方式为例,简单介绍一下. 环境: 1)系统版本:Ubuntu 14.04 2)桌面环境:Unity 3)已经下载并解压eclipse(免安装)到/opt目录下 详细步骤: 1)新建文件eclipse.desktop,命令如下: sudo vim  /usr/share/applications/e

python在windows下创建隐藏窗口子进程的方法

  本文实例讲述了python在windows下创建隐藏窗口子进程的方法.分享给大家供大家参考.具体实现方法如下: ? 1 2 3 4 5 6 7 8 9 10 11 12 13 import subprocess IS_WIN32 = 'win32' in str(sys.platform).lower() def subprocess_call(*args, **kwargs): #also works for Popen. #It creates a new *hidden* window

Win8下创建虚拟磁盘安装Win7

  很多朋友都喜欢给自己的电脑安装双系统,硬盘大的当然是给硬盘多分几个区,然后实机安装.但是也有很多朋友和我一样,硬盘只有可怜的320G,分区多了硬盘的使用率也就跟着降低了,着实不划算.硬盘小有硬盘小的办法,那就是创建一个虚拟磁盘,然后在虚拟磁盘里装一个系统.鉴于本人目前使用的是Win8,我就给各位演示一遍如何在Win8下创建一个虚拟磁盘,并且在这个虚拟磁盘中安装一个Win7系统.最后声明以下一切操作都使用相关软件. 步骤一.使用系统自带磁盘管理器创建一个虚拟磁盘文件 自己设置虚拟磁盘文件的存放

教你在Win7系统下创建别人删除不了的文件夹

文件夹是存放文件的容器,有了文件夹我们才能更好的管理系统中的很多文件,不至于杂乱无章,多数的用户都会选择创建一个文件夹来放置自己重要的文件,不过如果电脑还有别人在使用也是很危险的,如果误删除怎么办?文件就都没有了,下面小编就讲讲在win7系统中怎么创建一个别人无法删除的文件夹,这样才能更好的保护你的重要文件不被误删. Win7系统下创建一个别人删除不了的文件夹 1.点击win7左下角开始菜单,然后选择"运行"选项,输入"CMD",再点确定按钮; 2.打开CMD命令提

WinXP系统下创建一键静音快捷方式的操作

  小编经常使用电脑时发现,电脑右下角的喇叭按钮(音量图标)会无缘无关自己消失,有很多情况,可能会面临突发安静情况,我们都着急着静音,可是这时发现喇叭按钮不见了,那是的尴尬情况可想而知.或许有时,我们明明已经关掉了声音,但是当打开一个网站,可能还是会有声音发出,在那种安静的情况下,我们可能会惊慌失措,但如果有一个一键静音的方法,不管何时,都能讲杂音扼杀在摇篮里. WinXP系统下创建一键静音快捷方式的操作教程 1.首先,还是需要返回到winXP电脑的桌面位置,之后,找一个空白处,点击鼠标右键,在