將黑客帶入四層夢境之如何設計安全的四級DMZ
原創【51CTO.com 獨家翻譯】談到DMZ(非軍事區)時,我們已經走過了漫長的DMZ設計之路,如果你的組織需要DMZ,它不再是一個麻煩的問題,現在的問題是你應該如何設計一個安全的DMZ。
在計算機安全領域,DMZ是一個物理或邏輯的子網,它里面駐留著組織提供給外部用戶的服務,并負責暴露給更大,不可信的網絡 – 通常指的是互聯網,最初的DMZ設計就是從內部網絡獨立出一個簡單的子網,凡是要開放給互聯網的服務全部扔到這個子網中。
現在許多DMZ設計就象設計公路上行駛的交通工具一樣,例如,設計運輸貨物的卡車時最重要的就是要盡可能降低貨物運輸成本,設計經濟型汽車時就是要省錢,設計精致型汽車時,就是要讓買車人的朋友嫉妒,DMZ設計和設計汽車的道理一樣,盡管存在各種可能的變化,但它們目的都是相同的。
我們今天使用的網絡名稱有千千種,但基本上都離不開內部網絡,外部網絡和DMZ,它們可能被叫做合作伙伴網絡,供應商網絡,內部DMZ或安全區,實際上它們都是混合了各種設備,連接和風險的DMZ。51CTO編者按:如果你看過盜夢空間這部電影,你會發現網絡設計者的工作和造夢師差不多。
DMZ設計的目標
如果你問10個網絡架構師如何設計DMZ,你可能會得到10個完全不同的答案,雖然變化會增加生活的樂趣,但作為一個特殊的行業,我們應該遵循DMZ設計領域一些公認的做法。
DMZ設計的核心原則是根據風險隔離設備、系統、服務和應用程序,最終目標是隔離風險,當一個設備或系統被黑時,可以有效保護其它設備或系統不受牽連,除了按風險隔離外,其它四種常見的DMZ設計方法分別是:按操作系統隔離,按數據分類方案隔離,按信任級別隔離和按業務部門隔離。
如果你了解審計和法規遵從要求,你會發現對技術設計的要求越來越多,在某些新需求中,我們發現需要將Web和應用程序與數據庫隔離,這是一個非常好的主意,此外,我們也發現許多組織希望服務器的用途單一化,例如,Web服務器不能同時用作DNS服務器,這些都是很好的想法。
DMZ設計的四個級別
我們將DMZ設計分為四個級別,一級是最簡單的設計,后面的級別可以提供更細粒度的安全控制。當我們想建立一個基本的DMZ時,通常會從單個網段的防火墻開始著手,在我們的DMZ設計書籍中我們將其稱為一級設計,如果需要開放給互聯網訪問的服務器數量較少,這種設計方法可以應付得過來,但如果你要做電子商務交易,必須用更高級的設計方法。
許多設計師都容易犯同樣的錯誤,他們將Web服務器和應用程序服務器放在DMZ中,將數據庫放在內部網絡中,這種設計其實是最不安全的,因為數據庫攻擊變得更有針對性,如果將其部署在內部網絡中,需要更復雜的設計,來自內部的攻擊更加危險。
#p#
二級DMZ設計
二級DMZ設計可能包括多個DMZ網絡,相對于一級設計,它在許多方面都進行了改良,它允許在每個DMZ之間寫入通信規則實施控制和隔離,首先需要將Web和應用程序服務,數據庫,身份認證服務,VPN,合作伙伴連接,電子郵件和移動服務放在獨立的DMZ中,在如今的網絡環境下這種做法是可行的,大多數防火墻可以輕松處理數十個接口,每個接口可以支持多個VLAN。
#p#
三級DMZ設計
在二級DMZ設計中經常遇到的一個問題是,防火墻規則過度寬容,本不該開放給互聯網訪問的設備被開放了,糾正辦法是使用兩個防火墻,一個內部防火墻,一個外部防火墻,我們稱這種設計為三級設計,DMZ根據訪問限制放在防火墻之間,入站互聯網訪問允許通過外部防火墻進入外部DMZ,不會直接路由到由內部防火墻保護的內部DMZ中的設備上,內部網絡可以和內部DMZ通信,但不能和外部DMZ通信。
三級DMZ設計使用兩個防火墻,用它們自己的策略有效隔離了互聯網連接設備和它們需要的服務,大多數安全團隊都可以快速了解外部DMZ和內部DMZ之間的訪問規則,最有誘惑力的是可以創建允許互聯網入站訪問從DMZ到內部網絡的規則,當然這應該是永遠禁止的,所有需要的服務都應該全部放進DMZ,永遠不要暴露內部網絡。
但遺憾的是,這個限制卻常常被打破,因為IT小組之間通常缺乏協調或有效的溝通,部署新應用程序時往往很匆忙,未考慮安全因素,網絡復雜性和其它因素導致組織在他們的內部網絡上創建了關鍵服務,這樣做是非常危險的。
#p#
四級DMZ設計
四級DMZ設計就更復雜了,四級設計通常需要在各種網絡邊界位置結對部署防火墻,將DMZ分散在這些防火墻之間,根據你選擇的指標進行隔離,大多數設計師喜歡根據業務或功能組進行隔離,還有一些設計師喜歡根據信任等級進行隔離。
最佳實踐要求根據服務水平協議(SLA)和數據分類構建獨立的防火墻堆棧,可以為PCI安全標準創建完全獨立的防火墻堆棧,為用戶服務隔離防火墻(如Web瀏覽,FTP,電子郵件,打補丁等等),為商業服務獨立防火墻,通過SLA考慮將商業服務放入DMZ時,90%,98%和99.9%是三個最好的目標,根據SLA設計DMZ可以使DMZ管理變得更簡單,并可以減少業務中斷。
小結
最后,在規劃和設計階段應盡可能嚴格一點,一旦DMZ上線,要修復設計上存在的大漏洞可就麻煩了,在組織內置執行嚴格的調查將有助于加強和其它利益相關者的溝通,無論他們是其他IT人員,還是企業主,合作伙伴或管理人員,他們都會認為你是考慮周全的風險管理人員和戰略思想家,你在公司的形象一下子就上升了,同時,也許最重要的是,你將會獲得更多有價值的反饋和建議,如果一次談話會對你的DMZ設計產生重大影響,你還會害怕嘗試找個人聊聊嗎?
【51CTO.COM 獨家翻譯,轉載請注明出處及譯者!】
【編輯推薦】
