【51CTO.com 獨(dú)家翻譯】談到DMZ（非軍事區(qū)）時(shí)，我們已經(jīng)走過了漫長的DMZ設(shè)計(jì)之路，如果你的組織需要DMZ，它不再是一個(gè)麻煩的問題，現(xiàn)在的問題是你應(yīng)該如何設(shè)計(jì)一個(gè)安全的DMZ。

在計(jì)算機(jī)安全領(lǐng)域，DMZ是一個(gè)物理或邏輯的子網(wǎng)，它里面駐留著組織提供給外部用戶的服務(wù)，并負(fù)責(zé)暴露給更大，不可信的網(wǎng)絡(luò) – 通常指的是互聯(lián)網(wǎng)，最初的DMZ設(shè)計(jì)就是從內(nèi)部網(wǎng)絡(luò)獨(dú)立出一個(gè)簡單的子網(wǎng)，凡是要開放給互聯(lián)網(wǎng)的服務(wù)全部扔到這個(gè)子網(wǎng)中。

現(xiàn)在許多DMZ設(shè)計(jì)就象設(shè)計(jì)公路上行駛的交通工具一樣，例如，設(shè)計(jì)運(yùn)輸貨物的卡車時(shí)最重要的就是要盡可能降低貨物運(yùn)輸成本，設(shè)計(jì)經(jīng)濟(jì)型汽車時(shí)就是要省錢，設(shè)計(jì)精致型汽車時(shí)，就是要讓買車人的朋友嫉妒，DMZ設(shè)計(jì)和設(shè)計(jì)汽車的道理一樣，盡管存在各種可能的變化，但它們目的都是相同的。

我們今天使用的網(wǎng)絡(luò)名稱有千千種，但基本上都離不開內(nèi)部網(wǎng)絡(luò)，外部網(wǎng)絡(luò)和DMZ，它們可能被叫做合作伙伴網(wǎng)絡(luò)，供應(yīng)商網(wǎng)絡(luò)，內(nèi)部DMZ或安全區(qū)，實(shí)際上它們都是混合了各種設(shè)備，連接和風(fēng)險(xiǎn)的DMZ。51CTO編者按：如果你看過盜夢空間這部電影，你會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)計(jì)者的工作和造夢師差不多。

DMZ設(shè)計(jì)的目標(biāo)

如果你問10個(gè)網(wǎng)絡(luò)架構(gòu)師如何設(shè)計(jì)DMZ，你可能會(huì)得到10個(gè)完全不同的答案，雖然變化會(huì)增加生活的樂趣，但作為一個(gè)特殊的行業(yè)，我們應(yīng)該遵循DMZ設(shè)計(jì)領(lǐng)域一些公認(rèn)的做法。

DMZ設(shè)計(jì)的核心原則是根據(jù)風(fēng)險(xiǎn)隔離設(shè)備、系統(tǒng)、服務(wù)和應(yīng)用程序，最終目標(biāo)是隔離風(fēng)險(xiǎn)，當(dāng)一個(gè)設(shè)備或系統(tǒng)被黑時(shí)，可以有效保護(hù)其它設(shè)備或系統(tǒng)不受牽連，除了按風(fēng)險(xiǎn)隔離外，其它四種常見的DMZ設(shè)計(jì)方法分別是：按操作系統(tǒng)隔離，按數(shù)據(jù)分類方案隔離，按信任級(jí)別隔離和按業(yè)務(wù)部門隔離。

如果你了解審計(jì)和法規(guī)遵從要求，你會(huì)發(fā)現(xiàn)對(duì)技術(shù)設(shè)計(jì)的要求越來越多，在某些新需求中，我們發(fā)現(xiàn)需要將Web和應(yīng)用程序與數(shù)據(jù)庫隔離，這是一個(gè)非常好的主意，此外，我們也發(fā)現(xiàn)許多組織希望服務(wù)器的用途單一化，例如，Web服務(wù)器不能同時(shí)用作DNS服務(wù)器，這些都是很好的想法。

DMZ設(shè)計(jì)的四個(gè)級(jí)別

我們將DMZ設(shè)計(jì)分為四個(gè)級(jí)別，一級(jí)是最簡單的設(shè)計(jì)，后面的級(jí)別可以提供更細(xì)粒度的安全控制。當(dāng)我們想建立一個(gè)基本的DMZ時(shí)，通常會(huì)從單個(gè)網(wǎng)段的防火墻開始著手，在我們的DMZ設(shè)計(jì)書籍中我們將其稱為一級(jí)設(shè)計(jì)，如果需要開放給互聯(lián)網(wǎng)訪問的服務(wù)器數(shù)量較少，這種設(shè)計(jì)方法可以應(yīng)付得過來，但如果你要做電子商務(wù)交易，必須用更高級(jí)的設(shè)計(jì)方法。

許多設(shè)計(jì)師都容易犯同樣的錯(cuò)誤，他們將Web服務(wù)器和應(yīng)用程序服務(wù)器放在DMZ中，將數(shù)據(jù)庫放在內(nèi)部網(wǎng)絡(luò)中，這種設(shè)計(jì)其實(shí)是最不安全的，因?yàn)閿?shù)據(jù)庫攻擊變得更有針對(duì)性，如果將其部署在內(nèi)部網(wǎng)絡(luò)中，需要更復(fù)雜的設(shè)計(jì)，來自內(nèi)部的攻擊更加危險(xiǎn)。

#p#

二級(jí)DMZ設(shè)計(jì)

二級(jí)DMZ設(shè)計(jì)可能包括多個(gè)DMZ網(wǎng)絡(luò)，相對(duì)于一級(jí)設(shè)計(jì)，它在許多方面都進(jìn)行了改良，它允許在每個(gè)DMZ之間寫入通信規(guī)則實(shí)施控制和隔離，首先需要將Web和應(yīng)用程序服務(wù)，數(shù)據(jù)庫，身份認(rèn)證服務(wù)，VPN，合作伙伴連接，電子郵件和移動(dòng)服務(wù)放在獨(dú)立的DMZ中，在如今的網(wǎng)絡(luò)環(huán)境下這種做法是可行的，大多數(shù)防火墻可以輕松處理數(shù)十個(gè)接口，每個(gè)接口可以支持多個(gè)VLAN。

#p#

三級(jí)DMZ設(shè)計(jì)

在二級(jí)DMZ設(shè)計(jì)中經(jīng)常遇到的一個(gè)問題是，防火墻規(guī)則過度寬容，本不該開放給互聯(lián)網(wǎng)訪問的設(shè)備被開放了，糾正辦法是使用兩個(gè)防火墻，一個(gè)內(nèi)部防火墻，一個(gè)外部防火墻，我們稱這種設(shè)計(jì)為三級(jí)設(shè)計(jì)，DMZ根據(jù)訪問限制放在防火墻之間，入站互聯(lián)網(wǎng)訪問允許通過外部防火墻進(jìn)入外部DMZ，不會(huì)直接路由到由內(nèi)部防火墻保護(hù)的內(nèi)部DMZ中的設(shè)備上，內(nèi)部網(wǎng)絡(luò)可以和內(nèi)部DMZ通信，但不能和外部DMZ通信。

三級(jí)DMZ設(shè)計(jì)使用兩個(gè)防火墻，用它們自己的策略有效隔離了互聯(lián)網(wǎng)連接設(shè)備和它們需要的服務(wù)，大多數(shù)安全團(tuán)隊(duì)都可以快速了解外部DMZ和內(nèi)部DMZ之間的訪問規(guī)則，最有誘惑力的是可以創(chuàng)建允許互聯(lián)網(wǎng)入站訪問從DMZ到內(nèi)部網(wǎng)絡(luò)的規(guī)則，當(dāng)然這應(yīng)該是永遠(yuǎn)禁止的，所有需要的服務(wù)都應(yīng)該全部放進(jìn)DMZ，永遠(yuǎn)不要暴露內(nèi)部網(wǎng)絡(luò)。

但遺憾的是，這個(gè)限制卻常常被打破，因?yàn)镮T小組之間通常缺乏協(xié)調(diào)或有效的溝通，部署新應(yīng)用程序時(shí)往往很匆忙，未考慮安全因素，網(wǎng)絡(luò)復(fù)雜性和其它因素導(dǎo)致組織在他們的內(nèi)部網(wǎng)絡(luò)上創(chuàng)建了關(guān)鍵服務(wù)，這樣做是非常危險(xiǎn)的。

#p#

四級(jí)DMZ設(shè)計(jì)

四級(jí)DMZ設(shè)計(jì)就更復(fù)雜了，四級(jí)設(shè)計(jì)通常需要在各種網(wǎng)絡(luò)邊界位置結(jié)對(duì)部署防火墻，將DMZ分散在這些防火墻之間，根據(jù)你選擇的指標(biāo)進(jìn)行隔離，大多數(shù)設(shè)計(jì)師喜歡根據(jù)業(yè)務(wù)或功能組進(jìn)行隔離，還有一些設(shè)計(jì)師喜歡根據(jù)信任等級(jí)進(jìn)行隔離。

最佳實(shí)踐要求根據(jù)服務(wù)水平協(xié)議（SLA）和數(shù)據(jù)分類構(gòu)建獨(dú)立的防火墻堆棧，可以為PCI安全標(biāo)準(zhǔn)創(chuàng)建完全獨(dú)立的防火墻堆棧，為用戶服務(wù)隔離防火墻（如Web瀏覽，F(xiàn)TP，電子郵件，打補(bǔ)丁等等），為商業(yè)服務(wù)獨(dú)立防火墻，通過SLA考慮將商業(yè)服務(wù)放入DMZ時(shí)，90%，98%和99.9%是三個(gè)最好的目標(biāo)，根據(jù)SLA設(shè)計(jì)DMZ可以使DMZ管理變得更簡單，并可以減少業(yè)務(wù)中斷。

小結(jié)

最后，在規(guī)劃和設(shè)計(jì)階段應(yīng)盡可能嚴(yán)格一點(diǎn)，一旦DMZ上線，要修復(fù)設(shè)計(jì)上存在的大漏洞可就麻煩了，在組織內(nèi)置執(zhí)行嚴(yán)格的調(diào)查將有助于加強(qiáng)和其它利益相關(guān)者的溝通，無論他們是其他IT人員，還是企業(yè)主，合作伙伴或管理人員，他們都會(huì)認(rèn)為你是考慮周全的風(fēng)險(xiǎn)管理人員和戰(zhàn)略思想家，你在公司的形象一下子就上升了，同時(shí)，也許最重要的是，你將會(huì)獲得更多有價(jià)值的反饋和建議，如果一次談話會(huì)對(duì)你的DMZ設(shè)計(jì)產(chǎn)生重大影響，你還會(huì)害怕嘗試找個(gè)人聊聊嗎？

 【51CTO.COM 獨(dú)家翻譯，轉(zhuǎn)載請注明出處及譯者！】

【編輯推薦】

1. 步步為營解決DMZ堡壘主機(jī)缺陷 提升安全與速度
2. 何時(shí)我們應(yīng)把數(shù)據(jù)庫應(yīng)用放置在DMZ區(qū)域？
3. 用Linux防火墻構(gòu)建DMZ