日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

【.com 獨(dú)家翻譯】談到DMZ（非軍事區(qū)）時(shí)，我們已經(jīng)走過了漫長(zhǎng)的DMZ設(shè)計(jì)之路，如果你的組織需要DMZ，它不再是一個(gè)麻煩的問題，現(xiàn)在的問題是你應(yīng)該如何設(shè)計(jì)一個(gè)安全的DMZ。

成都創(chuàng)新互聯(lián)公司是一家集網(wǎng)站建設(shè),崇禮企業(yè)網(wǎng)站建設(shè),崇禮品牌網(wǎng)站建設(shè),網(wǎng)站定制,崇禮網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營(yíng)銷,網(wǎng)絡(luò)優(yōu)化,崇禮網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競(jìng)爭(zhēng)力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶成長(zhǎng)自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

在計(jì)算機(jī)安全領(lǐng)域，DMZ是一個(gè)物理或邏輯的子網(wǎng)，它里面駐留著組織提供給外部用戶的服務(wù)，并負(fù)責(zé)暴露給更大，不可信的網(wǎng)絡(luò) – 通常指的是互聯(lián)網(wǎng)，最初的DMZ設(shè)計(jì)就是從內(nèi)部網(wǎng)絡(luò)獨(dú)立出一個(gè)簡(jiǎn)單的子網(wǎng)，凡是要開放給互聯(lián)網(wǎng)的服務(wù)全部扔到這個(gè)子網(wǎng)中。

現(xiàn)在許多DMZ設(shè)計(jì)就象設(shè)計(jì)公路上行駛的交通工具一樣，例如，設(shè)計(jì)運(yùn)輸貨物的卡車時(shí)最重要的就是要盡可能降低貨物運(yùn)輸成本，設(shè)計(jì)經(jīng)濟(jì)型汽車時(shí)就是要省錢，設(shè)計(jì)精致型汽車時(shí)，就是要讓買車人的朋友嫉妒，DMZ設(shè)計(jì)和設(shè)計(jì)汽車的道理一樣，盡管存在各種可能的變化，但它們目的都是相同的。

我們今天使用的網(wǎng)絡(luò)名稱有千千種，但基本上都離不開內(nèi)部網(wǎng)絡(luò)，外部網(wǎng)絡(luò)和DMZ，它們可能被叫做合作伙伴網(wǎng)絡(luò)，供應(yīng)商網(wǎng)絡(luò)，內(nèi)部DMZ或安全區(qū)，實(shí)際上它們都是混合了各種設(shè)備，連接和風(fēng)險(xiǎn)的DMZ。編者按：如果你看過盜夢(mèng)空間這部電影，你會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)計(jì)者的工作和造夢(mèng)師差不多。

DMZ設(shè)計(jì)的目標(biāo)

如果你問10個(gè)網(wǎng)絡(luò)架構(gòu)師如何設(shè)計(jì)DMZ，你可能會(huì)得到10個(gè)完全不同的答案，雖然變化會(huì)增加生活的樂趣，但作為一個(gè)特殊的行業(yè)，我們應(yīng)該遵循DMZ設(shè)計(jì)領(lǐng)域一些公認(rèn)的做法。

DMZ設(shè)計(jì)的核心原則是根據(jù)風(fēng)險(xiǎn)隔離設(shè)備、系統(tǒng)、服務(wù)和應(yīng)用程序，最終目標(biāo)是隔離風(fēng)險(xiǎn)，當(dāng)一個(gè)設(shè)備或系統(tǒng)被黑時(shí)，可以有效保護(hù)其它設(shè)備或系統(tǒng)不受牽連，除了按風(fēng)險(xiǎn)隔離外，其它四種常見的DMZ設(shè)計(jì)方法分別是：按操作系統(tǒng)隔離，按數(shù)據(jù)分類方案隔離，按信任級(jí)別隔離和按業(yè)務(wù)部門隔離。

如果你了解審計(jì)和法規(guī)遵從要求，你會(huì)發(fā)現(xiàn)對(duì)技術(shù)設(shè)計(jì)的要求越來越多，在某些新需求中，我們發(fā)現(xiàn)需要將Web和應(yīng)用程序與數(shù)據(jù)庫(kù)隔離，這是一個(gè)非常好的主意，此外，我們也發(fā)現(xiàn)許多組織希望服務(wù)器的用途單一化，例如，Web服務(wù)器不能同時(shí)用作DNS服務(wù)器，這些都是很好的想法。

DMZ設(shè)計(jì)的四個(gè)級(jí)別

我們將DMZ設(shè)計(jì)分為四個(gè)級(jí)別，一級(jí)是最簡(jiǎn)單的設(shè)計(jì)，后面的級(jí)別可以提供更細(xì)粒度的安全控制。當(dāng)我們想建立一個(gè)基本的DMZ時(shí)，通常會(huì)從單個(gè)網(wǎng)段的防火墻開始著手，在我們的DMZ設(shè)計(jì)書籍中我們將其稱為一級(jí)設(shè)計(jì)，如果需要開放給互聯(lián)網(wǎng)訪問的服務(wù)器數(shù)量較少，這種設(shè)計(jì)方法可以應(yīng)付得過來，但如果你要做電子商務(wù)交易，必須用更高級(jí)的設(shè)計(jì)方法。

許多設(shè)計(jì)師都容易犯同樣的錯(cuò)誤，他們將Web服務(wù)器和應(yīng)用程序服務(wù)器放在DMZ中，將數(shù)據(jù)庫(kù)放在內(nèi)部網(wǎng)絡(luò)中，這種設(shè)計(jì)其實(shí)是最不安全的，因?yàn)閿?shù)據(jù)庫(kù)攻擊變得更有針對(duì)性，如果將其部署在內(nèi)部網(wǎng)絡(luò)中，需要更復(fù)雜的設(shè)計(jì)，來自內(nèi)部的攻擊更加危險(xiǎn)。

#p#

二級(jí)DMZ設(shè)計(jì)

二級(jí)DMZ設(shè)計(jì)可能包括多個(gè)DMZ網(wǎng)絡(luò)，相對(duì)于一級(jí)設(shè)計(jì)，它在許多方面都進(jìn)行了改良，它允許在每個(gè)DMZ之間寫入通信規(guī)則實(shí)施控制和隔離，首先需要將Web和應(yīng)用程序服務(wù)，數(shù)據(jù)庫(kù)，身份認(rèn)證服務(wù)，VPN，合作伙伴連接，電子郵件和移動(dòng)服務(wù)放在獨(dú)立的DMZ中，在如今的網(wǎng)絡(luò)環(huán)境下這種做法是可行的，大多數(shù)防火墻可以輕松處理數(shù)十個(gè)接口，每個(gè)接口可以支持多個(gè)VLAN。

#p#

三級(jí)DMZ設(shè)計(jì)

在二級(jí)DMZ設(shè)計(jì)中經(jīng)常遇到的一個(gè)問題是，防火墻規(guī)則過度寬容，本不該開放給互聯(lián)網(wǎng)訪問的設(shè)備被開放了，糾正辦法是使用兩個(gè)防火墻，一個(gè)內(nèi)部防火墻，一個(gè)外部防火墻，我們稱這種設(shè)計(jì)為三級(jí)設(shè)計(jì)，DMZ根據(jù)訪問限制放在防火墻之間，入站互聯(lián)網(wǎng)訪問允許通過外部防火墻進(jìn)入外部DMZ，不會(huì)直接路由到由內(nèi)部防火墻保護(hù)的內(nèi)部DMZ中的設(shè)備上，內(nèi)部網(wǎng)絡(luò)可以和內(nèi)部DMZ通信，但不能和外部DMZ通信。

三級(jí)DMZ設(shè)計(jì)使用兩個(gè)防火墻，用它們自己的策略有效隔離了互聯(lián)網(wǎng)連接設(shè)備和它們需要的服務(wù)，大多數(shù)安全團(tuán)隊(duì)都可以快速了解外部DMZ和內(nèi)部DMZ之間的訪問規(guī)則，最有誘惑力的是可以創(chuàng)建允許互聯(lián)網(wǎng)入站訪問從DMZ到內(nèi)部網(wǎng)絡(luò)的規(guī)則，當(dāng)然這應(yīng)該是永遠(yuǎn)禁止的，所有需要的服務(wù)都應(yīng)該全部放進(jìn)DMZ，永遠(yuǎn)不要暴露內(nèi)部網(wǎng)絡(luò)。

但遺憾的是，這個(gè)限制卻常常被打破，因?yàn)镮T小組之間通常缺乏協(xié)調(diào)或有效的溝通，部署新應(yīng)用程序時(shí)往往很匆忙，未考慮安全因素，網(wǎng)絡(luò)復(fù)雜性和其它因素導(dǎo)致組織在他們的內(nèi)部網(wǎng)絡(luò)上創(chuàng)建了關(guān)鍵服務(wù)，這樣做是非常危險(xiǎn)的。

#p#

四級(jí)DMZ設(shè)計(jì)

四級(jí)DMZ設(shè)計(jì)就更復(fù)雜了，四級(jí)設(shè)計(jì)通常需要在各種網(wǎng)絡(luò)邊界位置結(jié)對(duì)部署防火墻，將DMZ分散在這些防火墻之間，根據(jù)你選擇的指標(biāo)進(jìn)行隔離，大多數(shù)設(shè)計(jì)師喜歡根據(jù)業(yè)務(wù)或功能組進(jìn)行隔離，還有一些設(shè)計(jì)師喜歡根據(jù)信任等級(jí)進(jìn)行隔離。

最佳實(shí)踐要求根據(jù)服務(wù)水平協(xié)議（SLA）和數(shù)據(jù)分類構(gòu)建獨(dú)立的防火墻堆棧，可以為PCI安全標(biāo)準(zhǔn)創(chuàng)建完全獨(dú)立的防火墻堆棧，為用戶服務(wù)隔離防火墻（如Web瀏覽，F(xiàn)TP，電子郵件，打補(bǔ)丁等等），為商業(yè)服務(wù)獨(dú)立防火墻，通過SLA考慮將商業(yè)服務(wù)放入DMZ時(shí)，90%，98%和99.9%是三個(gè)最好的目標(biāo)，根據(jù)SLA設(shè)計(jì)DMZ可以使DMZ管理變得更簡(jiǎn)單，并可以減少業(yè)務(wù)中斷。

小結(jié)

最后，在規(guī)劃和設(shè)計(jì)階段應(yīng)盡可能嚴(yán)格一點(diǎn)，一旦DMZ上線，要修復(fù)設(shè)計(jì)上存在的大漏洞可就麻煩了，在組織內(nèi)置執(zhí)行嚴(yán)格的調(diào)查將有助于加強(qiáng)和其它利益相關(guān)者的溝通，無論他們是其他IT人員，還是企業(yè)主，合作伙伴或管理人員，他們都會(huì)認(rèn)為你是考慮周全的風(fēng)險(xiǎn)管理人員和戰(zhàn)略思想家，你在公司的形象一下子就上升了，同時(shí)，也許最重要的是，你將會(huì)獲得更多有價(jià)值的反饋和建議，如果一次談話會(huì)對(duì)你的DMZ設(shè)計(jì)產(chǎn)生重大影響，你還會(huì)害怕嘗試找個(gè)人聊聊嗎？

 【.COM 獨(dú)家翻譯，轉(zhuǎn)載請(qǐng)注明出處及譯者！】

【編輯推薦】

1. 步步為營(yíng)解決DMZ堡壘主機(jī)缺陷 提升安全與速度
2. 何時(shí)我們應(yīng)把數(shù)據(jù)庫(kù)應(yīng)用放置在DMZ區(qū)域？
3. 用Linux防火墻構(gòu)建DMZ
    

分享題目：將黑客帶入四層夢(mèng)境之如何設(shè)計(jì)安全的四級(jí)DMZ
網(wǎng)頁(yè)地址：http://m.5511xx.com/article/dhpcgee.html