DMZ定義

DMZ來源于“Demilitarized Zone(非軍事區)”一詞。在計算機安全中，DMZ或非軍事區域（有時稱為外圍網絡）是一個物理或邏輯子網絡，它包含并將組織面向外部的服務暴露給不可信網絡，通常是一個更大的網絡，如Internet。 DMZ的目的是為組織的局域網（LAN）添加一個額外的安全層。 外部網絡節點只能訪問DMZ中暴露的內容，而組織的其余部分則被防火墻限制。 DMZ是位于互聯網和專用網絡之間的小型隔離網絡。

從軍事意義上講，非軍事區并不屬于與之相鄰的任何一方。這個概念適用于隱喻的計算使用，因為例如作為公共因特網的門戶的DMZ既不像內部網絡那樣安全，也不像Internet那樣不安全。

在這種情況下，最容易受到攻擊的主機是為局域網以外的用戶提供服務的主機，如電子郵件、Web和DNS服務器等。由于這些主機受到攻擊的威脅越來越大，它們被放置在這個特定的子網絡中，以便保護網絡的其它部分。

由于DMZ并不像內部網絡那樣安全，因此DMZ中的主機只能與內部網絡中的特定主機建立有限的連接。DMZ中的主機與外部網絡之間的通信也會受到限制，使得DMZ比互聯網更安全，并且適合于容納這些特殊用途的服務。這允許DMZ中的主機與內部和外部網絡通信，而中間防火墻控制DMZ服務器和內部網絡客戶端之間的通信，而另一個防火墻將執行一定級別的控制以保護DMZ免受外部網絡攻擊。

DMZ配置可以減少外部網絡攻擊威脅，但可能會受到內部攻擊的影響，如通過數據包分析器嗅探通信或欺騙（如電子郵件欺騙）。

任何向外部網絡上的用戶提供的服務都可以放在DMZ中。這些最常見服務中包括：

• Web服務

• 郵件服務

• FTP服務

• VoIP服務

  
  

與內部數據庫通信的Web服務器需要訪問數據庫服務器，該數據庫服務器可能無法公開訪問，并可能包含敏感信息。出于安全原因，Web服務器可以直接或通過應用程序防火墻與數據庫服務器進行通信。

電子郵件，特別是用戶數據庫是保密的，所以它們通常存儲在無法從互聯網訪問的服務器上（至少不是以不安全的方式），但是可以從暴露于互聯網的電子郵件服務器訪問。

DMZ內部的郵件服務器將收到的郵件傳遞給內部郵件服務器，同時它也可以處理發出的郵件。

在商業環境中，一些企業在DMZ內部安裝代理服務器。這會有以下好處：

• 引導內部用戶（通常是員工）使用代理服務器訪問Internet。

• 由于某些網頁內容可能被代理服務器緩存，可以減少對互聯網訪問帶寬的要求。

• 簡化用戶活動的記錄和監控。

• 可以對部分網頁內容進行過濾。

  
  

反向代理服務器，就像代理服務器一樣，是一個中介，但它是反過來的。它不提供服務給想要訪問外部網絡的內部用戶，而是為外部網絡（通常是因特網）提供對內部資源的間接訪問。例如，可以向外部用戶提供諸如電子郵件系統的后臺應用程序訪問（在公司外部網絡查看電子郵件），但遠程用戶不能直接訪問他們的電子郵件服務器。只有反向代理服務器才能物理訪問內部郵件服務器。這是一個額外的安全層，當需要從外部訪問內部資源時，可以這樣進行操作。通常，這樣的反向代理機制是通過使用應用層防火墻來提供的，因為它們專注于流量的特定形狀，而不是像包過濾防火墻那樣控制對特定TCP和UDP端口的訪問。

用DMZ設計網絡的方法有很多種。最基本的方法分兩種，一種是使用一個單一的防火墻，也被稱為三足式模式，另外一種為雙重防火墻。 這些體系結構可以根據網絡需求進行擴展。

單一防火墻

使用單一防火墻的DMZ的典型網絡模型圖。

使用單一防火墻創建包含DMZ的網絡體系必須具有3個以上的網絡接口。 外部網絡ISP連接到防火墻第一網絡接口，內部網絡接防火墻的第二網絡接口，DMZ則連接防火墻的第三網絡接口。 防火墻作為網絡的單點故障，必須能夠處理通往DMZ以及內部網絡的所有通信。?不同區域使用不同的顏色進行標記，例如LAN用紫色，DMZ用綠色，Internet用紅色（無線區域使用另一種顏色）。

雙重防火墻

使用雙重防火墻的DMZ的典型網絡模型圖。

最安全的方法是使用兩個防火墻來創建一個DMZ。第一個防火墻（也稱為“前端”或“外圍”防火墻）配置為僅允許通往DMZ的通信。第二個防火墻（也稱為“后端”或“內部”防火墻）配置為只允許從DMZ到內部網絡的通信。

這個設置在安全性上更高，因為攻擊內部網絡需要突破兩個防火墻。如果這兩個防火墻是由兩個不同的供應商提供的話，則會提供更多的保護，因為這樣兩個設備就不太可能遇到同樣的安全漏洞。這種配置的缺點是購買和管理成本更高。使用不同供應商的不同防火墻的做法被認為是“縱深防御”安全策略的一個組成部分。

在pfSense中配置DMZ，與一般LAN接口的設置一樣，但必須做好與LAN內網的隔離，通過在交換機上劃分不同的VLAN來進行隔離是最好的辦法。同時要嚴格設置防火墻規則，把允許的通信減少到最低，以保證內部網絡安全。

下面在pfSense2.42-p1上進行DMZ配置示例。

DMZ接口配置

使用本地IP地址打開Web GUI界面。導航到網絡接口>接口分配標簽，然后在可用網絡端口一欄，單擊右側的添加，增加一個用于DMZ的可用接口，并點擊保存設置。

在本例中，保存后顯示為OPT4接口。

導航到網絡接口>OPT4，啟用接口并填寫其他信息。

描述：DMZ

IPv4配置類型：靜態IPv4

IPv4地址：輸入192.168.114.1，子網掩碼：24

網關：None

阻止專用網絡和未知網絡不選。

單擊保存，單擊應用更改。

至此，DMZ接口的配置完成。

DMZ防火墻設置

為了保證安全應用，還需要對防火墻進行相關設置，防火墻的設置原則如下：

• 內網可以訪問外網。內網的用戶顯然需要自由地訪問外網。在這一策略中，防火墻需要進行源地址轉換。

• 內網可以訪問DMZ。此策略是為了方便內網用戶使用和管理DMZ中的服務器。建議只對有限的主機進行開放。

• 外網不能訪問內網。很顯然，內網中存放的是公司內部數據，這些數據不允許外網的用戶進行訪問。

• 外網可以訪問DMZ。DMZ中的服務器本身就是要給外界提供服務的，所以外網必須可以訪問DMZ。同時，外網訪問DMZ需要由防火墻完成對外地址到服務器實際地址的轉換。

• DMZ訪問內網有限制。很明顯，如果違背此策略，則當入侵者攻陷DMZ時，就可以進一步進攻到內網的重要數據。

• DMZ不能訪問外網。此條策略也有例外，比如DMZ中放置郵件服務器時，就需要訪問外網，否則將不能正常工作?？梢愿鶕枰M行設置。

例如，要允許LAN子網對DMZ子網的訪問，請按以下方法進行操作。

導航到防火墻>規則策略，LAN1選項卡，添加如下防火墻規則：

動作：通過

接口：LAN（本例為LAN1）

協議：any

源地址：LAN net (本例中為LAN1?net)

目的地址：DMZ?net?

輸入一個描述說明

保存設置并應用更改。

完成后，在規則策略列表顯示如下：

DMZ網絡服務發布

DMZ網絡內部服務的發布，可以采用端口轉發或1:1NAT，不在贅述。

本文轉自 鐵血男兒 51CTO博客，原文鏈接：http://blog.51cto.com/fxn2025/2068991，如需轉載請自行聯系原作者

總結

以上是生活随笔為你收集整理的pfSense DMZ配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。