dmz主机怎么设置危险吗?

来源:蜘蛛抓取(WebSpider) 时间:2018-02-27 01:18 标签: dmz主机
22被浏览10,924分享邀请回答4添加评论分享收藏感谢收起1添加评论分享收藏感谢收起写回答您所在位置: &
&nbsp&&nbsp&nbsp&&nbsp
浅谈DMZ主机及其安全.doc 5页
本文档一共被下载:
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性,不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值,立即自动返金币,充值渠道很便利
浅谈DMZ主机及其安全.doc
你可能关注的文档:
··········
··········
浅谈DMZ主机及其安全
  摘要:DMZ主机是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。本文简单介绍了DMZ主机、DMZ主机作用和DMZ主机设置方法、DMZ主机的安全缺陷及其安全缺陷的解决方案。
  Abstract: DMZ host machine is a buffer zone between non-safety system and safety system installed to solve the problem of the outer network could not access the internal network server after the installation of firewall. The paper briefly introduces the DMZ host machine, DMZ main machine function and DMZ host machine setting methods, DMZ host machine safety flaws and the related solutions.
  关键词:DMZ主机;作用;安全;解决方案
  Key words: DMZ; solution
  中图分类号:TP39 文献标识码:A文章编号:(5-01
  1DMZ主机简介
  DMZ(Demilitarized Zone)即俗称的非军事区,与军事区和信任区相对应,作用是把WEB,e-mail等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的机密或私人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。DMZ可以为主机环境提供网络级的保护,能减少为不信任客户提供服务而引发的危险,是放置公共信息的最佳位置。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击,攻击者即使初步入侵成功,还要面临DMZ设置的新的障碍。
  2DMZ主机运作机理
  DMZ提供的服务是经过了地址转换(NAT)和受安全规则限制的,以达到隐蔽真实地址、控制访问的功能。
  2.1 地址转换DMZ区服务器与内网区、外网区的通信是经过网络地址转换(NAT)实现的。网络地址转换用于将一个地址域(如专用Intranet)映射到另一个地址域(如Internet),以达到隐藏专用网络的目的。DMZ区服务器对内服务时映射成内网地址,对外服务时映射成外网地址。采用静态映射配置网络地址转换时,服务用IP和真实IP要一一映射,源地址转换和目的地址转换都必须要有。
  2.2 DMZ安全规则制定安全规则集是安全策略的技术实现,一个可靠、高效的安全规则集是实现一个成功、安全的防火墙的非常关键的一步。如果防火墙规则集配置错误,再好的防火墙也只是摆设。在建立规则集时必须注意规则次序,因为防火墙大多以顺序方式检查信息包,同样的规则,以不同的次序放置,可能会完全改变防火墙的运转情况。如果信息包经过每一条规则而没有发现匹配,这个信息包便会被拒绝。一般来说,通常的顺序是,较特殊的规则在前,较普通的规则在后,防止在找到一个特殊规则之前一个普通规则便被匹配,避免防火墙被配置错误。
  DMZ安全规则指定了非军事区内的某一主机(IP地址)对应的安全策略。由于DMZ区内放置的服务器主机将提供公共服务,其地址是公开的,可以被外部网的用户访问,所以正确设置DMZ区安全规则对保证网络安全是十分重要的。
  FireGate可以根据数据包的地址、协议和端口进行访问控制。它将每个连接作为一个数据流,通过规则表与连接表共同配合,对网络连接和会话的当前状态进行分析和监控。其用于过滤和监控的IP包信息主要有:源IP地址、目的IP地址、协议类型(IP、ICMP、TCP、UDP)、源TCP/UDP端口、目的TCP/UDP端口、ICMP报文类型域和代码域、碎片包和其他标志位(如SYN、ACK位)等。
  为了让DMZ区的应用服务器能与内网中DB服务器(服务端口4004、使用TCP协议)通信,需增加DMZ区安全规则。
  3DMZ主机的安全缺陷
  首先,DMZ堡垒主机下的计算机与完全裸露在Internet外网一样,很容易受到外部入侵和病毒的攻击;另一方面,DMZ主机设置
正在加载中,请稍后...DMZ主机在什么情况下会遇到
Q:DMZ主机在什么情况下会遇到?如何设置?
A:如果客户遇到以下几种情况时,可以考虑教客户尝试设置DMZ主机来试试。
客户在路由器上设置了端口映射后,远程无法访问映射的端口,此时可以尝试开启DMZ主机,如果开启DMZ主机后,远程可以正常访问该端口对应的服务,那么说明端口映射设置有问题或者端口号错误。
不知道某些应用服务器和一些特殊软件运行时的端口号,无法设置端口映射。比如网络摄相机、一些数据库软件等等,此时可以开启DMZ主机。
玩某些游戏的时候无法正常操作,比如玩征途游戏可以正常登陆,但无法正常组队,此时可以把该电脑设置为DMZ主机。
4、某些特殊网站无法打开或无法正常操作时,例如某些网上银行无法进行转帐、无法输入验证码等,也可以尝试开启DMZ主机。
DMZ主机:在某些特殊情况下,需要让局域网中的一台计算机完全暴露给广域网,以实现双向通信,此时可以把该计算机设置为DMZ主机。 启用DMZ之后,实际上就关闭了本设备对DMZ主机的防火墙保护,等于使该主机的所有端口都对internet开放了,互联网上的用户随时都可以访问所有的端口。
DMZ主机具体设置方法:
登陆路由器的管理界面(192.168.0.1) ,然后依次点击“虚拟服务器”------“DMZ主机”
然后在“DMZ主机IP地址”后面的方框中输入需要做DMZ主机的IP地址,“启用”前的方框打勾,然后点“保存”即可。例如把路由器下的一台电脑(IP地址为192.168.0.100)设置成DMZ主机,如下图:
19赞,非常有用
3796浏览数

我要回帖

更多关于 dmz主机 的文章

 

随机推荐