建立DMZ 有效保护网络安全

当你的公司不断增长，而公司的网络变得越来越大，越来越复杂的情况下，看起来在本地提供服务将会给本地网络带来黑客攻击和安全方面的风险。此时，小公司通常会指望他们的ISP，或者自行租用电子邮件主机服务，网页主机服务，等等。但是当公司壮大后，你有了专门的部门，有了处理这些需求的专业知识，你可能会考虑自行提供这些功能，部署自己的电子邮件服务器和网页服务器。这会给予你更多的控制权，并可以节省你的费用——不过，它同样会带来新的安全风险。

服务器，正如其名，是用于接受来自其他电脑的连接，并允许其他电脑存取机器上资源的。当这些“其他电脑”位于互联网上时——比如你有一台公共网页服务器，或者从本地网之外的用户那里接收电子邮件时——你对它们的控制就会少得多，因此相对就更容易被攻击。通过攻击面向互联网的服务器而进入网络的攻击者，会对整个网络造成一场浩劫，除非你事先采取了措施以阻止这种后果的发生。

为了保护内部电脑，通常采取的一个机制是将那些需要和外部交互的电脑们统一放入一个完全不同的子网之中，然后装上一台防火墙，这台防火墙不仅仅将该子网同外部互联网隔离开，从而保护其免受外部的攻击，同时也将该子网同内部其他网络隔离开来，以保证当该子网遭受攻击时，攻击者将无法因此进入其他内部网络之中。以这种方式建立的子网被叫做“边界网络”，“遮蔽子网”，或者以一个流行的说法来称呼它——一个DMZ（停火区）。

DMZ概念
在军事术语中，DMZ是交战双方在战争期间存在的一个区域，该区域作为缓冲区或者作为边界线。在电脑网络中，该术语同样描述了“战争双方”之间的一个边界区域——这战争双方其实就是你的内部网络和外部互联网。DMZ既可以通过两台单独的防火墙建立，也可以通过一台“三腿”防火墙建立，这台防火墙一个端口连接局域网，而另一个端口连接DMZ。

有很多方式来部署DMZ。最基本的DMZ只有一个简单的堡垒主机——一台服务器（通常是一台网页服务器），加上一个简单的防火墙组成，而对该服务器，内部局域网的电脑们将其认定为“未信任的”服务器。这是一个成本极低的部署方法，当然，比起更保险的DMZ设计来说，它的安全性自然要差些，也不具备可伸缩性。堡垒主机本身是容易被攻击的，但是内部网络却得到了保护。

要获得更好的安全性，可以通过一个简单的防火墙加上一个遮蔽子网以及一台堡垒主机。这可以对局域网以及堡垒主机同时提供防护。你会需要使用一个分割的DNS配置，这意味着在同一个域上，存在着完全独立的不同DNS区域，对应着不同的DNS纪录，分别对应内部存取和外部存取的服务器。

最具可靠性和弹性的DMZ设计依赖于一个多重防火墙。这种设计让你可以为外部网络（Internet）以及内部网络（LAN）提供多重服务。

让你的DMZ具有弹性
让你的DMZ更具弹性的一个办法是聪明的选择防火墙。通过选择一台可以检查VLAN标签的防火墙，你将不必拥有单独的物理防火墙，却可以配置你的防火墙根据不同的VLAN标签执行不同的策略。

当你的网络膨胀时，你极可能将更多面向Internet的服务器加入DMZ之中。通过扩张子网来满足这些需要直接和Internet交互机器的要求是件很容易的事情，并且你可以创建前端/后端配置（比如，在DMZ中有一个前端email服务器，而局域网中有一个后端邮件服务器。）

如果你为自己的域建立了自己的DNS服务器，并且它们将会被外部用户存取，那么你应当将它们放到DMZ中。同样，由你提供的，用于和客户以及商业合作伙伴们交换文件的FTP服务器，也应当被放入DMZ中。

当然，有一些特定类型的服务器，是你不应该放入DMZ的。域控制器首当其冲，其理由再明显不过了。如果你的域控制器的安全受到威胁，整个内部网将陷入危险之中。远程存取认证服务器，比如RADIUS服务器，基于最佳安全的理由，也应当被放置于内部网络之中。如果外部用户需要进行认证，你可以通过使用VPN的方案，或者使用代理服务器（Proxy）。

多个DMZ
为了网络需求的增长而进行相应伸缩的另一个方法是，部署多个DMZ，为了不同的目的放入不同的服务器。高级防火墙，例如微软的ISA Server 2004，可以让你很容易的使用多重网络功能建立多个DMZ。

比方说，你可以建立一个DMZ，对其中资源的存取访问必须进行身份认证，而另一个DMZ则允许匿名存取。这样可以提供更好的防护性。匿名存取的DMZ中提供了诸如公共DNS服务器、匿名SMTP服务器这样的资源。连接该网络无需认证。

而必须通过认证的DMZ中，则提供了那些虽然面向Internet，但是同时需要认证以及加密的服务器。因为它有直接面向Internet的电脑，所以它是一个DMZ，但是它又比匿名访问的DMZ更加安全。你可以在这个DMZ之中放入一个前端email服务器，或者一个需要认证的SMTP中继服务器。

另一个可能的方法是建立一个“蜜网”DMZ，其中专门包含了特别设计以吸引黑客进行攻击的服务器。目的有2个；蜜网可以将黑客的注意力从你真正重要的资源上引开，同时你可以通过研究黑客在特定服务器上实施的攻击行为，从而更好的对自己的网络安全性加以保护。

使用多重DMZ是一个具备高度弹性（以及高度安全性）的部署方式，但是它对硬件，软件以及管理费用方面的花销，同样也是相当高的。

总结
当计划实施一个DMZ部署，以便为网络基础增添保护时，要留意某些DMZ设计比其他设计更具有弹性。当你的网络不断扩张时，你的DMZ同样也会需要进行扩张的。

查看本文的国际来源