pfSense DMZ配置

DMZ定義

DMZ來源于“Demilitarized Zone(非軍事區)”一詞。在計算機安全中，DMZ或非軍事區域（有時稱為外圍網絡）是一個實體或邏輯子網絡，它包含并将組織面向外部的服務暴露給不可信網絡，通常是一個更大的網絡，如Internet。 DMZ的目的是為組織的區域網路（LAN）添加一個額外的安全層。 外部網絡節點隻能通路DMZ中暴露的内容，而組織的其餘部分則被防火牆限制。 DMZ是位于網際網路和專用網絡之間的小型隔離網絡。

從軍事意義上講，非軍事區并不屬于與之相鄰的任何一方。這個概念适用于隐喻的計算使用，因為例如作為公共網際網路的門戶的DMZ既不像内部網絡那樣安全，也不像Internet那樣不安全。

在這種情況下，最容易受到攻擊的主機是為區域網路以外的使用者提供服務的主機，如電子郵件、Web和DNS伺服器等。由于這些主機受到攻擊的威脅越來越大，它們被放置在這個特定的子網絡中，以便保護網絡的其它部分。

由于DMZ并不像内部網絡那樣安全，是以DMZ中的主機隻能與内部網絡中的特定主機建立有限的連接配接。DMZ中的主機與外部網絡之間的通信也會受到限制，使得DMZ比網際網路更安全，并且适合于容納這些特殊用途的服務。這允許DMZ中的主機與内部和外部網絡通信，而中間防火牆控制DMZ伺服器和内部網絡用戶端之間的通信，而另一個防火牆将執行一定級别的控制以保護DMZ免受外部網絡攻擊。

DMZ配置可以減少外部網絡攻擊威脅，但可能會受到内部攻擊的影響，如通過資料包分析器嗅探通信或欺騙（如電子郵件欺騙）。

任何向外部網絡上的使用者提供的服務都可以放在DMZ中。這些最常見服務中包括：

Web服務

郵件服務

FTP服務

VoIP服務

與内部資料庫通信的Web伺服器需要通路資料庫伺服器，該資料庫伺服器可能無法公開通路，并可能包含敏感資訊。出于安全原因，Web伺服器可以直接或通過應用程式防火牆與資料庫伺服器進行通信。

電子郵件，特别是使用者資料庫是保密的，是以它們通常存儲在無法從網際網路通路的伺服器上（至少不是以不安全的方式），但是可以從暴露于網際網路的電子郵件伺服器通路。

DMZ内部的郵件伺服器将收到的郵件傳遞給内部郵件伺服器，同時它也可以處理發出的郵件。

在商業環境中，一些企業在DMZ内部安裝代理伺服器。這會有以下好處：

引導内部使用者（通常是員工）使用代理伺服器通路Internet。

由于某些網頁内容可能被代理伺服器緩存，可以減少對網際網路通路帶寬的要求。

簡化使用者活動的記錄和監控。

可以對部分網頁内容進行過濾。

反向代理伺服器，就像代理伺服器一樣，是一個中介，但它是反過來的。它不提供服務給想要通路外部網絡的内部使用者，而是為外部網絡（通常是網際網路）提供對内部資源的間接通路。例如，可以向外部使用者提供諸如電子郵件系統的背景應用程式通路（在公司外部網絡檢視電子郵件），但遠端使用者不能直接通路他們的電子郵件伺服器。隻有反向代理伺服器才能實體通路内部郵件伺服器。這是一個額外的安全層，當需要從外部通路内部資源時，可以這樣進行操作。通常，這樣的反向代理機制是通過使用應用層防火牆來提供的，因為它們專注于流量的特定形狀，而不是像包過濾防火牆那樣控制對特定TCP和UDP端口的通路。

用DMZ設計網絡的方法有很多種。最基本的方法分兩種，一種是使用一個單一的防火牆，也被稱為三足式模式，另外一種為雙重防火牆。 這些體系結構可以根據網絡需求進行擴充。

<a href="https://en.wikipedia.org/wiki/File:DMZ_network_diagram_1_firewall.svg"></a>

使用單一防火牆的DMZ的典型網絡模型圖。

使用單一防火牆建立包含DMZ的網絡體系必須具有3個以上的網絡接口。 外部網絡ISP連接配接到防火牆第一網絡接口，内部網絡接防火牆的第二網絡接口，DMZ則連接配接防火牆的第三網絡接口。 防火牆作為網絡的單點故障，必須能夠處理通往DMZ以及内部網絡的所有通信。 不同區域使用不同的顔色進行标記，例如LAN用紫色，DMZ用綠色，Internet用紅色（無線區域使用另一種顔色）。

<a href="https://en.wikipedia.org/wiki/File:DMZ_network_diagram_2_firewall.svg"></a>

使用雙重防火牆的DMZ的典型網絡模型圖。

最安全的方法是使用兩個防火牆來建立一個DMZ。第一個防火牆（也稱為“前端”或“外圍”防火牆）配置為僅允許通往DMZ的通信。第二個防火牆（也稱為“後端”或“内部”防火牆）配置為隻允許從DMZ到内部網絡的通信。

這個設定在安全性上更高，因為攻擊内部網絡需要突破兩個防火牆。如果這兩個防火牆是由兩個不同的供應商提供的話，則會提供更多的保護，因為這樣兩個裝置就不太可能遇到同樣的安全漏洞。這種配置的缺點是購買和管理成本更高。使用不同供應商的不同防火牆的做法被認為是“縱深防禦”安全政策的一個組成部分。

在pfSense中配置DMZ，與一般LAN接口的設定一樣，但必須做好與LAN内網的隔離，通過在交換機上劃分不同的VLAN來進行隔離是最好的辦法。同時要嚴格設定防火牆規則，把允許的通信減少到最低，以保證内部網絡安全。

下面在pfSense2.42-p1上進行DMZ配置示例。

DMZ接口配置

使用本地IP位址打開Web GUI界面。導航到網絡接口&gt;接口配置設定标簽，然後在可用網絡端口一欄，單擊右側的添加，增加一個用于DMZ的可用接口，并點選儲存設定。

在本例中，儲存後顯示為OPT4接口。

<a href="https://zacheryolinske.files.wordpress.com/2015/05/21.png"></a>

導航到網絡接口&gt;OPT4，啟用接口并填寫其他資訊。

描述：DMZ

IPv4配置類型：靜态IPv4

IPv4位址：輸入192.168.114.1，子網路遮罩：24

網關：None

阻止專用網絡和未知網絡不選。

單擊儲存，單擊應用更改。

至此，DMZ接口的配置完成。

DMZ防火牆設定

為了保證安全應用，還需要對防火牆進行相關設定，防火牆的設定原則如下：

内網可以通路外網。内網的使用者顯然需要自由地通路外網。在這一政策中，防火牆需要進行源位址轉換。

内網可以通路DMZ。此政策是為了友善内網使用者使用和管理DMZ中的伺服器。建議隻對有限的主機進行開放。

外網不能通路内網。很顯然，内網中存放的是公司内部資料，這些資料不允許外網的使用者進行通路。

外網可以通路DMZ。DMZ中的伺服器本身就是要給外界提供服務的，是以外網必須可以通路DMZ。同時，外網通路DMZ需要由防火牆完成對外位址到伺服器實際位址的轉換。

DMZ通路内網有限制。很明顯，如果違背此政策，則當入侵者攻陷DMZ時，就可以進一步進攻到内網的重要資料。

DMZ不能通路外網。此條政策也有例外，比如DMZ中放置郵件伺服器時，就需要通路外網，否則将不能正常工作。可以根據需要進行設定。

例如，要允許LAN子網對DMZ子網的通路，請按以下方法進行操作。

導航到防火牆&gt;規則政策，LAN1頁籤，添加如下防火牆規則：

動作：通過

接口：LAN（本例為LAN1）

協定：any

源位址：LAN net (本例中為LAN1 net)

目的位址：DMZ net 

輸入一個描述說明

儲存設定并應用更改。

完成後，在規則政策清單顯示如下：

DMZ網絡服務釋出

本文轉自 鐵血男兒 51CTO部落格，原文連結：http://blog.51cto.com/fxn2025/2068991，如需轉載請自行聯系原作者