欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

一：什么是DMZ

   

DMZ(Demilitarized Zone)即俗稱(chēng)的非軍事區，與軍事區和信任區相對應,作用是把WEB,e-mail,等允許外部訪(fǎng)問(wèn)的服務(wù)器單獨接在該區端口，使整個(gè)需要保護的內部網(wǎng)絡(luò )接在信任區端口后，不允許任何訪(fǎng)問(wèn)，實(shí)現內外網(wǎng)分離，達到用戶(hù)需求。DMZ可以理解為一個(gè)不同于外網(wǎng)或內網(wǎng)的特殊網(wǎng)絡(luò )區域，DMZ內通常放置一些不含機密信息的公用服務(wù)器，比如Web、Mail、FTP等。這樣來(lái)自外網(wǎng)的訪(fǎng)問(wèn)者可以訪(fǎng)問(wèn)DMZ中的服務(wù)，但不可能接觸到存放在內網(wǎng)中的公司機密或私人信息等，即使DMZ中服務(wù)器受到破壞，也不會(huì )對內網(wǎng)中的機密信息造成影響。

二：為什么需要DMZ

在實(shí)際的運用中，某些主機需要對外提供服務(wù)，為了更好地提供服務(wù)，同時(shí)又要有效地保護內部網(wǎng)絡(luò )的安全，將這些需要對外開(kāi)放的主機與內部的眾多網(wǎng)絡(luò )設備分隔開(kāi)來(lái)，根據不同的需要，有針對性地采取相應的隔離措施，這樣便能在對外提供友好的服務(wù)的同時(shí)最大限度地保護了內部網(wǎng)絡(luò )。針對不同資源提供不同安全級別的保護，可以構建一個(gè)DMZ區域，DMZ可以為主機環(huán)境提供網(wǎng)絡(luò )級的保護，能減少為不信任客戶(hù)提供服務(wù)而引發(fā)的危險，是放置公共信息的最佳位置。在一個(gè)非DMZ系統中，內部網(wǎng)絡(luò )和主機的安全通常并不如人們想象的那樣堅固，提供給Internet的服務(wù)產(chǎn)生了許多漏洞，使其他主機極易受到攻擊。但是，通過(guò)配置DMZ，我們可以將需要保護的Web應用程序服務(wù)器和數據庫系統放在內網(wǎng)中，把沒(méi)有包含敏感數據、擔當代理數據訪(fǎng)問(wèn)職責的主機放置于DMZ中，這樣就為應用系統安全提供了保障。DMZ使包含重要數據的內部系統免于直接暴露給外部網(wǎng)絡(luò )而受到攻擊，攻擊者即使初步入侵成功，還要面臨DMZ設置的新的障礙。

三：DMZ網(wǎng)絡(luò )訪(fǎng)問(wèn)控制策略



當規劃一個(gè)擁有DMZ的網(wǎng)絡(luò )時(shí)候,我們可以明確各個(gè)網(wǎng)絡(luò )之間的訪(fǎng)問(wèn)關(guān)系,可以確定以下六條訪(fǎng)問(wèn)控制策略。

1.內網(wǎng)可以訪(fǎng)問(wèn)外網(wǎng)

內網(wǎng)的用戶(hù)顯然需要自由地訪(fǎng)問(wèn)外網(wǎng)。在這一策略中，防火墻需要進(jìn)行源地址轉換。

2.內網(wǎng)可以訪(fǎng)問(wèn)DMZ

此策略是為了方便內網(wǎng)用戶(hù)使用和管理DMZ中的服務(wù)器。

3.外網(wǎng)不能訪(fǎng)問(wèn)內網(wǎng)

很顯然，內網(wǎng)中存放的是公司內部數據，這些數據不允許外網(wǎng)的用戶(hù)進(jìn)行訪(fǎng)問(wèn)。

4.外網(wǎng)可以訪(fǎng)問(wèn)DMZ

DMZ中的服務(wù)器本身就是要給外界提供服務(wù)的，所以外網(wǎng)必須可以訪(fǎng)問(wèn)DMZ。同時(shí)，外網(wǎng)訪(fǎng)問(wèn)DMZ需要由防火墻完成對外地址到服務(wù)器實(shí)際地址的轉換。

5.DMZ不能訪(fǎng)問(wèn)內網(wǎng)

很明顯，如果違背此策略，則當入侵者攻陷DMZ時(shí)，就可以進(jìn)一步進(jìn)攻到內網(wǎng)的重要數據。

6.DMZ不能訪(fǎng)問(wèn)外網(wǎng)

此條策略也有例外，比如DMZ中放置郵件服務(wù)器時(shí)，就需要訪(fǎng)問(wèn)外網(wǎng)，否則將不能正常工作。在網(wǎng)絡(luò )中，非軍事區(DMZ)是指為不信任系統提供服務(wù)的孤立網(wǎng)段，其目的是把敏感的內部網(wǎng)絡(luò )和其他提供訪(fǎng)問(wèn)服務(wù)的網(wǎng)絡(luò )分開(kāi)，阻止內網(wǎng)和外網(wǎng)直接通信，以保證內網(wǎng)安全。

    四：DMZ服務(wù)配置

DMZ提供的服務(wù)是經(jīng)過(guò)了地址轉換（NAT）和受安全規則限制的，以達到隱蔽真實(shí)地址、控制訪(fǎng)問(wèn)的功能。首先要根據將要提供的服務(wù)和安全策略建立一個(gè)清晰的網(wǎng)絡(luò )拓撲，確定DMZ區應用服務(wù)器的IP和端口號以及數據流向。通常網(wǎng)絡(luò )通信流向為禁止外網(wǎng)區與內網(wǎng)區直接通信，DMZ區既可與外網(wǎng)區進(jìn)行通信，也可以與內網(wǎng)區進(jìn)行通信，受安全規則限制。

1 地址轉換

DMZ區服務(wù)器與內網(wǎng)區、外網(wǎng)區的通信是經(jīng)過(guò)網(wǎng)絡(luò )地址轉換（NAT）實(shí)現的。網(wǎng)絡(luò )地址轉換用于將一個(gè)地址域（如專(zhuān)用Intranet）映射到另一個(gè)地址域（如Internet），以達到隱藏專(zhuān)用網(wǎng)絡(luò )的目的。DMZ區服務(wù)器對內服務(wù)時(shí)映射成內網(wǎng)地址，對外服務(wù)時(shí)映射成外網(wǎng)地址。采用靜態(tài)映射配置網(wǎng)絡(luò )地址轉換時(shí)，服務(wù)用IP和真實(shí)IP要一一映射，源地址轉換和目的地址轉換都必須要有。

2 DMZ安全規則制定

安全規則集是安全策略的技術(shù)實(shí)現，一個(gè)可靠、高效的安全規則集是實(shí)現一個(gè)成功、安全的防火墻的非常關(guān)鍵的一步。如果防火墻規則集配置錯誤，再好的防火墻也只是擺設。在建立規則集時(shí)必須注意規則次序，因為防火墻大多以順序方式檢查信息包，同樣的規則，以不同的次序放置，可能會(huì )完全改變防火墻的運轉情況。如果信息包經(jīng)過(guò)每一條規則而沒(méi)有發(fā)現匹配，這個(gè)信息包便會(huì )被拒絕。一般來(lái)說(shuō)，通常的順序是，較特殊的規則在前，較普通的規則在后，防止在找到一個(gè)特殊規則之前一個(gè)普通規則便被匹配，避免防火墻被配置錯誤。

DMZ安全規則指定了非軍事區內的某一主機（IP地址）對應的安全策略。由于DMZ區內放置的服務(wù)器主機將提供公共服務(wù)，其地址是公開(kāi)的，可以被外部網(wǎng)的用戶(hù)訪(fǎng)問(wèn)，所以正確設置DMZ區安全規則對保證網(wǎng)絡(luò )安全是十分重要的。

FireGate可以根據數據包的地址、協(xié)議和端口進(jìn)行訪(fǎng)問(wèn)控制。它將每個(gè)連接作為一個(gè)數據流，通過(guò)規則表與連接表共同配合，對網(wǎng)絡(luò )連接和會(huì )話(huà)的當前狀態(tài)進(jìn)行分析和監控。其用于過(guò)濾和監控的IP包信息主要有：源IP地址、目的IP地址、協(xié)議類(lèi)型（IP、ICMP、TCP、UDP）、源TCP/UDP端口、目的TCP/UDP端口、ICMP報文類(lèi)型域和代碼域、碎片包和其他標志位（如SYN、ACK位）等。

為了讓DMZ區的應用服務(wù)器能與內網(wǎng)中DB服務(wù)器（服務(wù)端口4004、使用TCP協(xié)議）通信，需增加DMZ區安全規則， 這樣一個(gè)基于DMZ的安全應用服務(wù)便配置好了。其他的應用服務(wù)可根據安全策略逐個(gè)配置。

DMZ無(wú)疑是網(wǎng)絡(luò )安全防御體系中重要組成部分，再加上入侵檢測和基于主機的其他安全措施，將極大地提高公共服務(wù)及整個(gè)系統的安全性。