DMZ 的目的
DMZ 旨在為屬於組織但不受信任或更容易受到妥協的服務提供位置。 通常部署在 DMZ 上的系統範例包括:
- 網頁伺服器
- DNS 伺服器
- 郵件伺服器
- FTP 伺服器
所有這些系統都必須公開訪問。 然而,它們也都可能容易受到損害(例如利用網路應用程式脆弱性)或可能被用於攻擊,例如使用DNS來放大分散式阻斷服務 (DDoS) 攻擊。
DMZ 可讓組織公開面向網際網路的功能,而不會使其其他內部系統面臨風險。 雖然位於DMZ 上的系統可能有權存取內部系統和敏感資料(例如儲存在資料庫中並由網路應用程式使用的客戶資料),但這些基於DMZ 的系統和內部系統之間的連接會接受額外的惡意內容檢查。
DMZ網路建築
DMZ 是組織網路內的隔離子網路。DMZ 由兩個嚴格分段的邊界定義:一是 DMZ 與不可信外部網路(即 Internet)之間的邊界,一是 DMZ 與可信任內部網路之間的邊界。
DMZ 和其他網路之間的這些邊界受到嚴格執行和保護。組織將在 DMZ 的兩個邊界部署防火牆。這些次世代防火牆(NGFW) 檢查所有跨越網路邊界的流量,並能夠在惡意內容跨越從 Internet 到 DMZ 或從 DMZ 到受保護的內部網路的邊界之前檢測和阻止惡意內容。
這些網路防火牆對於 DMZ 的安全至關重要,因為它們能夠在 DMZ 和內部系統之間實施存取控制。這些存取控制對於最大限度地減少受感染系統將內部系統置於危險之中以及攻擊者可以從 DMZ 上受感染系統橫向移動到整個網路的可能性至關重要。
雖然定義 DMZ 邊界只需要防火牆,但組織也可以在這些邊界部署額外的防禦措施。根據 DMZ 內實施的服務,組織可能希望部署網路應用程式防火牆 ( WAF )、電子郵件掃描解決方案或其他安全控制措施,以為已部署的服務提供有針對性的保護。
DMZ 網路優勢
實施 DMZ 使組織能夠在其網路內定義多個不同層級和信任區域。這為組織提供許多好處,包括:
- 面向互聯網的系統的保護:電子郵件伺服器、網路應用程式和其他面向互聯網的系統需要存取敏感數據,這意味著必須保護它們免受攻擊。將這些系統放置在 DMZ 上使它們能夠存取公共 Internet,同時仍受到外部防火牆的保護。
- 內部系統的保護: DMZ 上的某些系統(例如 FTP 伺服器)對組織網路內的系統構成威脅。將這些系統放置在 DMZ 上可確保這些系統與組織的內部網路之間存在另一層安全檢查。
- 有限的橫向移動:網路攻擊者通常利用系統在網路上取得立足點,然後從該立足點擴大存取範圍。由於最脆弱和最容易被利用的系統位於 DMZ 上,因此將它們用作存取和利用內部受保護網路的立足點更加困難。
- 防止網路掃描:攻擊者通常掃描組織的網路以識別可能容易受到攻擊的電腦和軟體。實作 DMZ 建置網路道路,以便只有面向 Internet 的系統實際上才可以從公共 Internet 中看到和掃描。
- 改進的訪問控制: 在內部網路和麵向互聯網的系統之間放置防火牆可以檢查這些系統之間的所有連接。這可讓組織嚴格定義並強制執行存取控制,以為內部系統提供保護。
- 改進的網路效能:面向網際網路的系統旨在供外部使用者頻繁存取。將這些系統放置在 DMZ 上可以減少內部網路基礎架構和防火牆的負載,從而提高其效能。
實作安全 DMZ
DMZ 在組織的內部網路和公共 Internet 之間為組織提供額外的保護。透過隔離 DMZ 上潛在易受影響的系統,組織降低對其內部系統的風險。
然而,只有當保護其邊界的防火牆能夠偵測潛在威脅並實施強大的存取控制時,DMZ 才有用。要了解在 NGFW 中尋找什麼,請查看此購買指南。 也歡迎您查看此演示,了解 Check Point NGFW 如何提升您的網路安全性。