內外網的交流安全 DMZ,網閘,防火牆

2021-10-08 20:25:18 字數 1806 閱讀 4231

彙總與修改自以下參考資料

防火牆/52767?fr=aladdin

七層協議:

dmz隔離區(demilitarized zone)內通常放置一些不含機密資訊的公用伺服器,比如 web 伺服器、e-mail 伺服器、ftp 伺服器等

1.內網可以訪問外網:防火牆進行源位址轉換,即指定對外的ip位址使得內網的多部主機可以通過乙個有效的公網ip位址訪問外部網路。

2.內網可以訪問dmz:使得內網使用者使用和管理dmz中的伺服器。

3.外網不能訪問內網

4.外網可以訪問dmz:dmz中的伺服器本身就是要給外界提供服務的,外網訪問dmz需要由防火牆完成對外位址到伺服器實際位址的轉換。

5.dmz不能訪問內網:防止入侵dmz後獲取內網資料

6.dmz不能訪問外網:特別的,dmz中放置郵件伺服器時,就需要訪問外網。

網閘(gap)在兩個不同安全域之間,通過協議轉換的手段,以資訊擺渡的方式實現資料交換,且只有被系統明確要求傳輸的資訊才可以通過。採用雙主機+隔離硬體實現,內外網無直接的物理連線。

網閘工作在鏈路層上斷開,通過對硬體上的儲存晶元的讀寫,完成資料的交換。所以其具備資料庫、檔案同步、定製開發介面功能,且不存在內外網之間的會話。

安全隔離網閘使用私有協議,不支援傳統網路結構的所有協議如tcpudp、icmp等從而規避協議本身的漏洞。

物理隔離卡並不等於網閘,其只能提供一台計算機在兩個網之間切換,並且需要手動操作。

防火牆用於單主機系統,大多數防火牆工作在網路層,也可以在傳輸與應用層工作,保證網路層安全的邊界安全工具如dmz。其直接進行資料報**,基本上只支援瀏覽、郵件功能。具有加密與病毒預防機制。

過濾型防火牆:在網路層與傳輸層中,可以基於資料源頭的位址以及協議型別等標誌特徵進行分析,確定是否可以通過。

應用**防火牆:位於應用層之上,完全隔離網路通訊流,通過特定的**程式就可以實現對應用層的監督與控制。

切斷終端計算機對網路和伺服器資源的直接訪問,而採用協議**的方式,接管了終端計算機對網路和伺服器的訪問。

主要實現了身份認證,賬號管理,訪問控制,操作審計的功能。

入侵檢測系統(intrusion detection system)是乙個監聽裝置,無須網路流量流經它便可以工作。因此ids應當掛接在所有所關注流量都必須流經的鏈路上。"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。

異常行為檢測:要建立乙個系統訪問正常行為的模型,凡是訪問者不符合這個模型的行為將被斷定為入侵。

誤用行為檢測:將所有可能發生的不利的不可接受的行為歸納建立乙個模型,凡是訪問者符合這個模型的行為將被斷定為入侵。

基於標誌的檢測技術:定義違背安全策略的事件的特徵,如網路資料報的某些頭資訊。檢測主要判別這類特徵是否在所收集到的資料**現。

基於異常的檢測技術:cpu利用率、記憶體利用率、檔案校驗和等系統執行時的數值與所定義的「正常」情況比較。

入侵防禦系統(ips: intrusion prevention system)能夠監視網路或網路裝置的網路資料傳輸行為的計算機網路安全裝置,能夠及時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。

入侵響應系統(intrusion response systems) 位於防火牆和網路的裝置之間,依靠對資料報的檢測進行防禦,能夠監視網路或網路裝置的網路資料傳輸行為的計算機網路安全裝置,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。

對於雙主機的內外網,使用網閘保證安全隔離+防火牆連通安全

對於單主機的內外網,使用隔離卡切換網路+dmz隔離內外網+防火牆內外網防護

對於網路管理審計,使用ids網路檢測+ips危險預防+irs響應不良狀態+堡壘機使用者管理

內外網的安全隔離技術實現

server 內部交換機 外部交換機 電信接入 routeos 1 2 3 4 1 2 3 4 1 2 3 4 網段1 只能上內網 網段2 能上內外網 網段3 只能上外網 解決方案1 上述網路結構的優點 1 網段1只對網段2的主機開放,並且網段2的主機在訪問網段1中的資源時,不能夠與外網通訊,從而確...

內網DMZ外網之間的訪問規則

內網dmz外網之間的訪問規則 當規劃乙個擁有dmz的網路時候,我們可以明確各個網路之間的訪問關係,可以確定以下六條訪問控制策略。1.內網可以訪問外網 內網的使用者顯然需要自由地訪問外網。在這一策略中,防火牆需要進行源位址轉換。2.內網可以訪問dmz 此策略是為了方便內網使用者使用和管理dmz中的伺服...

內外網同時連的設定

網上有很多帖子,其實都對,只是有的寫的比較複雜,有些又比較簡單,以我為例總結如下 1 有線網連內網,上內網位址,需要設定ip位址等,如下 3 bat 如下 以後的內容自己刪掉 route delete 0.0.0.0 刪掉預設的設定 route add 0.0.0.0 mask 0.0.0.0 19...