黄永兵 翻译 51CTO.com
标签:设计DMZ 安全网络 盗梦空间
谈到DMZ(非军事区)时,我们已经走过了漫长的DMZ设计之路,如果你的组织需要DMZ,它不再是一个麻烦的问题,现在的问题是你应该如何设计一个安全的DMZ。
在计算机安全领域,DMZ是一个物理或逻辑的子网,它里面驻留着组织提供给外部用户的服务,并负责暴露给更大,不可信的网络 – 通常指的是互联网,最初的DMZ设计就是从内部网络独立出一个简单的子网,凡是要开放给互联网的服务全部扔到这个子网中。
现在许多DMZ设计就象设计公路上行驶的交通工具一样,例如,设计运输货物的卡车时最重要的就是要尽可能降低货物运输成本,设计经济型汽车时就是要省钱,设计精致型汽车时,就是要让买车人的朋友嫉妒,DMZ设计和设计汽车的道理一样,尽管存在各种可能的变化,但它们目的都是相同的。
我们今天使用的网络名称有千千种,但基本上都离不开内部网络,外部网络和DMZ,它们可能被叫做合作伙伴网络,供应商网络,内部DMZ或安全区,实际上它们都是混合了各种设备,连接和风险的DMZ。51CTO编者按:如果你看过盗梦空间这部电影,你会发现网络设计者的工作和造梦师差不多。
DMZ设计的目标
如果你问10个网络架构师如何设计DMZ,你可能会得到10个完全不同的答案,虽然变化会增加生活的乐趣,但作为一个特殊的行业,我们应该遵循DMZ设计领域一些公认的做法。
DMZ设计的核心原则是根据风险隔离设备、系统、服务和应用程序,最终目标是隔离风险,当一个设备或系统被黑时,可以有效保护其它设备或系统不受牵连,除了按风险隔离外,其它四种常见的DMZ设计方法分别是:按操作系统隔离,按数据分类方案隔离,按信任级别隔离和按业务部门隔离。
如果你了解审计和法规遵从要求,你会发现对技术设计的要求越来越多,在某些新需求中,我们发现需要将Web和应用程序与数据库隔离,这是一个非常好的主意,此外,我们也发现许多组织希望服务器的用途单一化,例如,Web服务器不能同时用作DNS服务器,这些都是很好的想法。
DMZ设计的四个级别
我们将DMZ设计分为四个级别,一级是最简单的设计,后面的级别可以提供更细粒度的安全控制。当我们想建立一个基本的DMZ时,通常会从单个网段的防火墙开始着手,在我们的DMZ设计书籍中我们将其称为一级设计,如果需要开放给互联网访问的服务器数量较少,这种设计方法可以应付得过来,但如果你要做电子商务交易,必须用更高级的设计方法。
许多设计师都容易犯同样的错误,他们将Web服务器和应用程序服务器放在DMZ中,将数据库放在内部网络中,这种设计其实是最不安全的,因为数据库攻击变得更有针对性,如果将其部署在内部网络中,需要更复杂的设计,来自内部的攻击更加危险。
二级DMZ设计
二级DMZ设计可能包括多个DMZ网络,相对于一级设计,它在许多方面都进行了改良,它允许在每个DMZ之间写入通信规则实施控制和隔离,首先需要将Web和应用程序服务,数据库,身份认证服务,VPN,合作伙伴连接,电子邮件和移动服务放在独立的DMZ中,在如今的网络环境下这种做法是可行的,大多数防火墙可以轻松处理数十个接口,每个接口可以支持多个VLAN。
三级DMZ设计
在二级DMZ设计中经常遇到的一个问题是,防火墙规则过度宽容,本不该开放给互联网访问的设备被开放了,纠正办法是使用两个防火墙,一个内部防火墙,一个外部防火墙,我们称这种设计为三级设计,DMZ根据访问限制放在防火墙之间,入站互联网访问允许通过外部防火墙进入外部DMZ,不会直接路由到由内部防火墙保护的内部DMZ中的设备上,内部网络可以和内部DMZ通信,但不能和外部DMZ通信。
三级DMZ设计使用两个防火墙,用它们自己的策略有效隔离了互联网连接设备和它们需要的服务,大多数安全团队都可以快速了解外部DMZ和内部DMZ之间的访问规则,最有诱惑力的是可以创建允许互联网入站访问从DMZ到内部网络的规则,当然这应该是永远禁止的,所有需要的服务都应该全部放进DMZ,永远不要暴露内部网络。
但遗憾的是,这个限制却常常被打破,因为IT小组之间通常缺乏协调或有效的沟通,部署新应用程序时往往很匆忙,未考虑安全因素,网络复杂性和其它因素导致组织在他们的内部网络上创建了关键服务,这样做是非常危险的。
四级DMZ设计
四级DMZ设计就更复杂了,四级设计通常需要在各种网络边界位置结对部署防火墙,将DMZ分散在这些防火墙之间,根据你选择的指标进行隔离,大多数设计师喜欢根据业务或功能组进行隔离,还有一些设计师喜欢根据信任等级进行隔离。
最佳实践要求根据服务水平协议(SLA)和数据分类构建独立的防火墙堆栈,可以为PCI安全标准创建完全独立的防火墙堆栈,为用户服务隔离防火墙(如Web浏览,FTP,电子邮件,打补丁等等),为商业服务独立防火墙,通过SLA考虑将商业服务放入DMZ时,90%,98%和99.9%是三个最好的目标,根据SLA设计DMZ可以使DMZ管理变得更简单,并可以减少业务中断。
小结
最后,在规划和设计阶段应尽可能严格一点,一旦DMZ上线,要修复设计上存在的大漏洞可就麻烦了,在组织内置执行严格的调查将有助于加强和其它利益相关者的沟通,无论他们是其他IT人员,还是企业主,合作伙伴或管理人员,他们都会认为你是考虑周全的风险管理人员和战略思想家,你在公司的形象一下子就上升了,同时,也许最重要的是,你将会获得更多有价值的反馈和建议,如果一次谈话会对你的DMZ设计产生重大影响,你还会害怕尝试找个人聊聊吗?