內網DMZ外網之間的訪問規則
當規划一個擁有DMZ的網絡時候,我們可以明確各個網絡之間的訪問關系,可以確定以下六條訪問控制策略。
1.內網可以訪問外網 內網的用戶顯然需要自由地訪問外網。在這一策略中,防火牆需要進行源地址轉換。
2.內網可以訪問DMZ 此策略是為了方便內網用戶使用和管理DMZ中的服務器。
3.外網不能訪問內網 很顯然,內網中存放的是公司內部數據,這些數據不允許外網的用戶進行訪問。
4.外網可以訪問DMZ DMZ中的服務器本身就是要給外界提供服務的,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火牆完成對外地址到服務器實際地址的轉換。
5.DMZ不能訪問內網 很明顯,如果違背此策略,則當入侵者攻陷DMZ時,就可以進一步進攻到內網的重要數據。
6.DMZ不能訪問外網 此條策略也有例外,比如DMZ中放置郵件服務器時,就需要訪問外網,否則將不能正常工作。在網絡中,非軍事區(DMZ)是指為不信任系統提供服務的孤立網段,其目的是把敏感的內部網絡和其他提供訪問服務的網絡分開,阻止內網和外網直接通信,以保證內網安全。[1]