【51CTO.com 獨家翻譯】談到DMZ（非軍事區(qū)）時，我們已經(jīng)走過了漫長的DMZ設(shè)計之路，如果你的組織需要DMZ，它不再是一個麻煩的問題，現(xiàn)在的問題是你應(yīng)該如何設(shè)計一個安全的DMZ。

在計算機(jī)安全領(lǐng)域，DMZ是一個物理或邏輯的子網(wǎng)，它里面駐留著組織提供給外部用戶的服務(wù)，并負(fù)責(zé)暴露給更大，不可信的網(wǎng)絡(luò) – 通常指的是互聯(lián)網(wǎng)，最初的DMZ設(shè)計就是從內(nèi)部網(wǎng)絡(luò)獨立出一個簡單的子網(wǎng)，凡是要開放給互聯(lián)網(wǎng)的服務(wù)全部扔到這個子網(wǎng)中。

現(xiàn)在許多DMZ設(shè)計就象設(shè)計公路上行駛的交通工具一樣，例如，設(shè)計運輸貨物的卡車時最重要的就是要盡可能降低貨物運輸成本，設(shè)計經(jīng)濟(jì)型汽車時就是要省錢，設(shè)計精致型汽車時，就是要讓買車人的朋友嫉妒，DMZ設(shè)計和設(shè)計汽車的道理一樣，盡管存在各種可能的變化，但它們目的都是相同的。

我們今天使用的網(wǎng)絡(luò)名稱有千千種，但基本上都離不開內(nèi)部網(wǎng)絡(luò)，外部網(wǎng)絡(luò)和DMZ，它們可能被叫做合作伙伴網(wǎng)絡(luò)，供應(yīng)商網(wǎng)絡(luò)，內(nèi)部DMZ或安全區(qū)，實際上它們都是混合了各種設(shè)備，連接和風(fēng)險的DMZ。51CTO編者按：如果你看過盜夢空間這部電影，你會發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)計者的工作和造夢師差不多。

DMZ設(shè)計的目標(biāo)

如果你問10個網(wǎng)絡(luò)架構(gòu)師如何設(shè)計DMZ，你可能會得到10個完全不同的答案，雖然變化會增加生活的樂趣，但作為一個特殊的行業(yè)，我們應(yīng)該遵循DMZ設(shè)計領(lǐng)域一些公認(rèn)的做法。

DMZ設(shè)計的核心原則是根據(jù)風(fēng)險隔離設(shè)備、系統(tǒng)、服務(wù)和應(yīng)用程序，最終目標(biāo)是隔離風(fēng)險，當(dāng)一個設(shè)備或系統(tǒng)被黑時，可以有效保護(hù)其它設(shè)備或系統(tǒng)不受牽連，除了按風(fēng)險隔離外，其它四種常見的DMZ設(shè)計方法分別是：按操作系統(tǒng)隔離，按數(shù)據(jù)分類方案隔離，按信任級別隔離和按業(yè)務(wù)部門隔離。

如果你了解審計和法規(guī)遵從要求，你會發(fā)現(xiàn)對技術(shù)設(shè)計的要求越來越多，在某些新需求中，我們發(fā)現(xiàn)需要將Web和應(yīng)用程序與數(shù)據(jù)庫隔離，這是一個非常好的主意，此外，我們也發(fā)現(xiàn)許多組織希望服務(wù)器的用途單一化，例如，Web服務(wù)器不能同時用作DNS服務(wù)器，這些都是很好的想法。

DMZ設(shè)計的四個級別

我們將DMZ設(shè)計分為四個級別，一級是最簡單的設(shè)計，后面的級別可以提供更細(xì)粒度的安全控制。當(dāng)我們想建立一個基本的DMZ時，通常會從單個網(wǎng)段的防火墻開始著手，在我們的DMZ設(shè)計書籍中我們將其稱為一級設(shè)計，如果需要開放給互聯(lián)網(wǎng)訪問的服務(wù)器數(shù)量較少，這種設(shè)計方法可以應(yīng)付得過來，但如果你要做電子商務(wù)交易，必須用更高級的設(shè)計方法。

許多設(shè)計師都容易犯同樣的錯誤，他們將Web服務(wù)器和應(yīng)用程序服務(wù)器放在DMZ中，將數(shù)據(jù)庫放在內(nèi)部網(wǎng)絡(luò)中，這種設(shè)計其實是最不安全的，因為數(shù)據(jù)庫攻擊變得更有針對性，如果將其部署在內(nèi)部網(wǎng)絡(luò)中，需要更復(fù)雜的設(shè)計，來自內(nèi)部的攻擊更加危險。

共4頁: 1 [2] [3] [4] 下一頁 【內(nèi)容導(dǎo)航】 第 1 頁：DMZ設(shè)計的目標(biāo)和第一級設(shè)計 第 2 頁：二級DMZ設(shè)計 第 3 頁：三級DMZ設(shè)計 第 4 頁：四級DMZ設(shè)計和小結(jié)