【51CTO.com 獨(dú)家翻譯】談到DMZ（非軍事區(qū)）時(shí)，我們已經(jīng)走過了漫長的DMZ設(shè)計(jì)之路，如果你的組織需要DMZ，它不再是一個(gè)麻煩的問題，現(xiàn)在的問題是你應(yīng)該如何設(shè)計(jì)一個(gè)安全的DMZ。

在計(jì)算機(jī)安全領(lǐng)域，DMZ是一個(gè)物理或邏輯的子網(wǎng)，它里面駐留著組織提供給外部用戶的服務(wù)，并負(fù)責(zé)暴露給更大，不可信的網(wǎng)絡(luò) – 通常指的是互聯(lián)網(wǎng)，最初的DMZ設(shè)計(jì)就是從內(nèi)部網(wǎng)絡(luò)獨(dú)立出一個(gè)簡單的子網(wǎng)，凡是要開放給互聯(lián)網(wǎng)的服務(wù)全部扔到這個(gè)子網(wǎng)中。

現(xiàn)在許多DMZ設(shè)計(jì)就象設(shè)計(jì)公路上行駛的交通工具一樣，例如，設(shè)計(jì)運(yùn)輸貨物的卡車時(shí)最重要的就是要盡可能降低貨物運(yùn)輸成本，設(shè)計(jì)經(jīng)濟(jì)型汽車時(shí)就是要省錢，設(shè)計(jì)精致型汽車時(shí)，就是要讓買車人的朋友嫉妒，DMZ設(shè)計(jì)和設(shè)計(jì)汽車的道理一樣，盡管存在各種可能的變化，但它們目的都是相同的。

我們今天使用的網(wǎng)絡(luò)名稱有千千種，但基本上都離不開內(nèi)部網(wǎng)絡(luò)，外部網(wǎng)絡(luò)和DMZ，它們可能被叫做合作伙伴網(wǎng)絡(luò)，供應(yīng)商網(wǎng)絡(luò)，內(nèi)部DMZ或安全區(qū)，實(shí)際上它們都是混合了各種設(shè)備，連接和風(fēng)險(xiǎn)的DMZ。51CTO編者按：如果你看過盜夢空間這部電影，你會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)計(jì)者的工作和造夢師差不多。

DMZ設(shè)計(jì)的目標(biāo)

如果你問10個(gè)網(wǎng)絡(luò)架構(gòu)師如何設(shè)計(jì)DMZ，你可能會(huì)得到10個(gè)完全不同的答案，雖然變化會(huì)增加生活的樂趣，但作為一個(gè)特殊的行業(yè)，我們應(yīng)該遵循DMZ設(shè)計(jì)領(lǐng)域一些公認(rèn)的做法。

DMZ設(shè)計(jì)的核心原則是根據(jù)風(fēng)險(xiǎn)隔離設(shè)備、系統(tǒng)、服務(wù)和應(yīng)用程序，最終目標(biāo)是隔離風(fēng)險(xiǎn)，當(dāng)一個(gè)設(shè)備或系統(tǒng)被黑時(shí)，可以有效保護(hù)其它設(shè)備或系統(tǒng)不受牽連，除了按風(fēng)險(xiǎn)隔離外，其它四種常見的DMZ設(shè)計(jì)方法分別是：按操作系統(tǒng)隔離，按數(shù)據(jù)分類方案隔離，按信任級(jí)別隔離和按業(yè)務(wù)部門隔離。

如果你了解審計(jì)和法規(guī)遵從要求，你會(huì)發(fā)現(xiàn)對(duì)技術(shù)設(shè)計(jì)的要求越來越多，在某些新需求中，我們發(fā)現(xiàn)需要將Web和應(yīng)用程序與數(shù)據(jù)庫隔離，這是一個(gè)非常好的主意，此外，我們也發(fā)現(xiàn)許多組織希望服務(wù)器的用途單一化，例如，Web服務(wù)器不能同時(shí)用作DNS服務(wù)器，這些都是很好的想法。

DMZ設(shè)計(jì)的四個(gè)級(jí)別

我們將DMZ設(shè)計(jì)分為四個(gè)級(jí)別，一級(jí)是最簡單的設(shè)計(jì)，后面的級(jí)別可以提供更細(xì)粒度的安全控制。當(dāng)我們想建立一個(gè)基本的DMZ時(shí)，通常會(huì)從單個(gè)網(wǎng)段的防火墻開始著手，在我們的DMZ設(shè)計(jì)書籍中我們將其稱為一級(jí)設(shè)計(jì)，如果需要開放給互聯(lián)網(wǎng)訪問的服務(wù)器數(shù)量較少，這種設(shè)計(jì)方法可以應(yīng)付得過來，但如果你要做電子商務(wù)交易，必須用更高級(jí)的設(shè)計(jì)方法。

許多設(shè)計(jì)師都容易犯同樣的錯(cuò)誤，他們將Web服務(wù)器和應(yīng)用程序服務(wù)器放在DMZ中，將數(shù)據(jù)庫放在內(nèi)部網(wǎng)絡(luò)中，這種設(shè)計(jì)其實(shí)是最不安全的，因?yàn)閿?shù)據(jù)庫攻擊變得更有針對(duì)性，如果將其部署在內(nèi)部網(wǎng)絡(luò)中，需要更復(fù)雜的設(shè)計(jì)，來自內(nèi)部的攻擊更加危險(xiǎn)。

共4頁: 1 [2] [3] [4] 下一頁 【內(nèi)容導(dǎo)航】 第 1 頁：DMZ設(shè)計(jì)的目標(biāo)和第一級(jí)設(shè)計(jì) 第 2 頁：二級(jí)DMZ設(shè)計(jì) 第 3 頁：三級(jí)DMZ設(shè)計(jì) 第 4 頁：四級(jí)DMZ設(shè)計(jì)和小結(jié)