深入探討ＤＭＺ

1 DMZ區的位置和意義

在現實的大型網絡中經常會遇到這樣的問題，在局域網內有一部分服務器是必須通過網絡直接訪問的，但其余網絡又不想直接暴露在路由器下面。在這種情況下，外部防火墻和內部防火墻中間出現了一個新的區域，就是DMZ區。

DMZ(Demilitarized Zone)即俗稱的非軍事區，作用是把Web、Mail、FTP等一些不含機密信息的允許外部訪問的服務器單獨接在該區端口，使整個需要保護的內部網絡接在信任區端口后，不允許任何訪問，實現內外網分離，達到用戶需求。這樣來自外網的訪問者可以訪問DMZ區中的服務，而攻擊者即使初步入侵成功，還要面臨DMZ設置的新的障礙，因此也不會對內網中的機密信息造成影響。所以數據庫服務器不能放在DMZ區。DMZ區的位置如圖所示。

2 DMZ區訪問策略

當規劃一個擁有DMZ區的網絡時候，我們可以明確各個網絡之間的訪問關系，可以確定以下三條訪問控制策略。

2.1 內網可以訪問外網、可以訪問DMZ

內網的用戶顯然需要自由地訪問外網。在這一策略中，防火墻需要進行源地址轉換。而內網訪問DMZ是為了方便內網用戶使用和管理DMZ中的服務器。

2.2 外網不能訪問內網但可以訪問DMZ區

內網中存放的是公司內部數據，這些數據不允許外網的用戶進行訪問。而DMZ區中的服務器本身就是要給外界提供服務的，所以外網必須可以訪問DMZ。同時，外網訪問DMZ區需要由防火墻完成對外地址到服務器實際地址的轉換。

2.3 DMZ不能訪問外網也不能訪問內網

DMZ雖然不能訪問外網，但有例外，比如DMZ區中放置郵件服務器時，就需要訪問外網，否則將不能正常工作。而DMZ原則上也是不能訪問內網的，如果違背此策略，則當入侵者攻陷DMZ區時，就可以進一步進攻到內網的重要數據，也就違反了DMZ區設立的初衷。非軍事區(DMZ)是指為不信任系統提供服務的孤立網段，其目的是把敏感的內部網絡和其他提供訪問服務的網絡分開，阻止內網和外網直接通信，以保證內網安全。

3 DMZ區服務配置

DMZ區提供的服務是經過了地址轉換（NAT）和受安全規則限制的，以達到隱蔽真實地址、控制訪問的功能。首先要根據將要提供的服務和安全策略建立一個清晰的網絡拓撲，確定DMZ區應用服務器的IP和端口號以及數據流向。通常網絡通信流向為禁止外網區與內網區直接通信，DMZ區既可與外網區進行通信，也可以與內網區進行通信，受安全規則限制。

3.1 地址轉換

DMZ區服務器與內網區、外網區的通信是經過網絡地址轉換（NAT）實現的。網絡地址轉換用于將一個地址域（如專用Intranet）映射到另一個地址域（如Internet），以達到隱藏專用網絡的目的。DMZ區服務器對內服務時映射成內網地址，對外服務時映射成外網地址。采用靜態映射配置網絡地址轉換時，服務用IP和真實IP要一一映射，源地址轉換和目的地址轉換都必須要有。

3.2 在ISA下配置DMZ

以下介紹兩種DMZ的網絡部署：

第一種是只有一臺ISA Server的布局，稱為Three-Pronged DMZ，這種部署必須在ISA Server上插入三塊網卡，一張接上對外線路的Router裝置，另一張網卡接上內部網絡區段的Switcher；

另一種是有兩臺ISA Server的布局，稱為Mid-Ground DMZ，每一臺ISA Server上插入兩個網卡。

參考文獻

[1]Jeff Doyle，Matt Kolon.Juniper路由器參考大全.人民郵電出版社.

[2]Alvaro Retana.網絡核心技術內幕——專業IP網絡規劃與設計.北京希望電腦公司.

[3]段水福.計算機網絡規劃與設計.浙江大學出版社.