相關問答

轉寄

列印
檢舉

最近架Mail Server順便要架DNS，但DNS一直有問題，網友建議我將DNS放到DMZ比較好！
所以在這邊想請問大家，哪些SERVER必須放在防火牆外面，但是又必須兼顧安全性問題，以及網芳的使用，無法使用網芳也沒關係～只是順便問一下！（在DMZ的電腦還可以和區網連線嗎？）

另外～關於DMZ的使用時機、規劃原則，以及DMZ的優缺點如何？

收藏到：

解決時間：2008-05-12 00:26:42

發問時間：2008-04-28 10:35:57

最佳解答(發問者自選)

30人

回答：misadm ( IT邦好手10級 )

時間：2008-04-28 12:12:36

通常要提供給外界存取的 Server 我會把它放到 DMZ，例如：Web, FTP, DNS 等等，而這些 Server 都有幾個共同點：
1. 提供服務給外界存取。
2. Server 內沒有任何機密資料。
3. 這些 Server 是可以被入侵的，可以被病毒感染的。

並不是說放在 DMZ 的 Server 就是直接對外，你還是要開 port 還是要應對 IP，因此基本的安全性還是有的，但是這些 Server (Web, FTP, DNS) 又提供服務給外界『所有』人存取（包含駭客、病毒），因此這些 Server 的風險是比較高的。

如果將這些高風險的電腦，跟你的資料庫，或是其他機密資料放在同一個區域，這樣豈不是更危險呢？因此，在『兩害取其輕』的原則下，才會有 DMZ 這個區域的誕生。

如果你的內網都是一些不重要的 Server，或是你認為即使被入侵也無所謂，那你就可以不需要區分 DMZ 通通放在內網就好了！

回應：

jease 說：

大致上有一個概念了~等於DMZ是和LAN切開，不屬於同一個網段，
所以被侵入的話，並不影響LAN的運作，DMZ也仍然受防火牆的管制‧

2008-04-30 23:21:16

davistai 說：

To jease, you are very smart!!

2008-05-02 17:05:37

| 推薦排序：高->低低->高發表時間|隱藏全部回應 |

一般來說哪些SERVER會規劃到DMZ裡面？DMZ又要怎麼使用？！

回答：gkkangel( IT邦初學者1級 )
時間：2008-04-28 11:01:03

21人

DNS可以內外各設一.
一般放在防火牆外的主機有Web service ,Ftp service
針對不同資源提供不同安全級別的保護，可以考慮構建一個叫做“Demilitarized Zone”（DMZ）的區域。DMZ可以理解為一個不同於外網或內網的特殊網路區域。DMZ內通常放置一些不含機密資訊的公用伺服器，比如Web、Mail、FTP等。這樣來自外網的訪問者可以訪問DMZ中的服務，但不可能接觸到存放在內網中的公司機密或私人資訊等。即使DMZ中伺服器受到破壞，也不會對內網中的機密資訊造成影響。

至於你提到的網芳部份,用網段去區別就可以了.
或是加Router....

回應 gkkangel：

jease 說：

那內外各架一台DNS的作用是? 網芳其實沒用也沒差，這個比較沒影響...

2008-04-28 17:22:47

回答：chen53( IT邦初學者8級 )
時間：2008-04-28 11:06:43

15人

哪些SERVER適合放在DMZ
一般有個大原則
基於安全考量有提供對外服務的機器
適合放在DMZ

參考資料：個人經驗

回應 chen53：

jease 說：

所以~dns、mail、web都適合放在DMZ嘍!

2008-04-30 23:13:45

回答：looney( IT邦初學者1級 )
時間：2008-04-28 11:09:04

12人

DMZ一般我都叫它做「非戰區」
就是把一些需對外，又可能是高危險性的主機放在這個地方
可能會有WEB、DDNS…等
你只需考慮是否該SERVICE為提供外部使用的
如果是那就應選擇放在DMZ區
萬一受到攻擊那也只是在DMZ區被攻
不會影響到公司內部的運作
沒有必要的話就不要任意開啟DMZ區與公司內部的連線
這樣應該就能比較保險一點..

回應 looney：

jease 說：

所以~有需要的話，還是可以開放DMZ使用，只是說盡量不要用...

2008-04-28 17:24:43

looney 說：

回答jease：如果內部要連到dmz區，可以開啟，但不要一直開著，會有風險的像有些公司會在dmz區放個mail的前端，負責收mail，再轉入公司內部的Mailserver 這樣可避免公司主要的mailserver被入侵或是攻擊

2008-04-28 20:04:20

jease 說：

請問"mail的前端"指的是？（也是一台SERVER嗎！）

2008-04-29 08:55:38

looney 說：

回答jease：mail的前端一般而言會是只負責收或發mail，但是沒有信箱儲存區，它相當也是一台server。但是也有人是用mail防毒的server當前端。視用途而定。

2008-04-29 23:37:06

jease 說：

是不是類似MAIL篩選設備(過濾垃圾、病毒郵件...)!

2008-04-30 23:15:43

jease 說：

是不是類似MAIL篩選設備(過濾垃圾、病毒郵件...)!

2008-04-30 23:15:44

looney 說：

是的..
不過若你用的是spam的閘道硬體的話，那就不大一樣了..

2008-05-01 23:57:20

回答：davistai( IT邦好手1級 )
時間：2008-04-28 11:43:05

15人

如果那個服務是要給open 給internet user 使用的話, 最好放在DMZ.
屬於機密的資料則放在Trust Zone. 原則上是,DMZ與內部Trust Zone之間是單行道,i.e.,Trust -> DMZ:Allow, DMZ->Trust:Deny.

是啊是啊^^一般是這樣的原則啦,但肯定有exception的啦,還是得斟酌情形,否則一味把持"安全"大門,別單位的工作都別進行了~~於 2008-05-02 17:05:00 補充

回應 davistai：

jease 說：

等於LAN-->DMZ可以連、DMZ--->LAN不能連，對吧~

2008-04-30 23:17:43

回答：john651216( IT邦初學者1級 )
時間：2008-04-28 18:13:04

8人

DNS放在DMZ是 OK,不過我比較不建議,因為你這台SERVER要夠勇,不然三天兩頭關心一下它有沒有奇怪的狀況,之前我也有把DNS放在DMZ不過沒有幾個月有被放入惡意程式,造成它運作不是很順暢

回應 john651216：

jease 說：

這樣也是很麻煩的一件事...但是又不得不架，不知道找DNS代管的會不會比較好?!

2008-04-30 23:22:43

回答：netghost0327( IT邦初學者9級 )
時間：2008-04-29 16:25:08

12人

DMZ 這個名詞是早期Firewall在區隔Internet及Intranet所產生的一個放置server的地方,主要是因為對外服務的server,如web,mail可能會有安全漏洞而被破壞,進而變成跳板攻擊到內部資料伺服器,最後變成資料外洩,所以早期防火牆大約都只有三個interface,但由於安全需求升高及攻擊來源變化太大,單一DMZ巳不足以應付,所以新型Firewall並不會特別強調DMZ的存在,反而強調將server分類進行隔離,大部份都採用IP subnet來分隔,不同類型或特性的server不會放在同一區,而不同部門有時也會基於安全考量,分別由不同interface來分開

基本上,不論是DNS或mail,不管你放在什麼位置,都要先做OS hardening,確保不必要的服務都被關畢,之後再依你的需求去管制它,當然,在Firewall上除了必要的service開啟外,其它service最好全部關畢,避免不必要的攻擊產生,對於DMZ server於內部機器是否要連線,其時只要你在firewall上嚴格管理連線行為,並不會有太多問題於 2008-04-29 16:30:17 補充

回應:jease...一般而言不同平台有不同做法,例如:windows平台,你可以在控制台內找到控制server的地方,把不必要的service全部關掉,但如果沒把握,也可以查一下microsoft的網站或者查一下Google,其它平台如Unix like平台,到Google查一定會有囉!

回應:timons...就安全考量,不應該把DB跟web放一起,但也不建議跟一般user放一起(怕內賊),所以,比較常見的做法是把DB放到另一個DMZ去,跟web,user分開比較安全!於 2008-05-02 11:09:44 補充

回應 netghost0327：

jease 說：

大概了解了~有沒有什麼比較快的方式，只把要開放的PORT打開，其餘全部關掉?!

2008-04-30 23:25:37

timons 說：

依照各位先進的建議
請問以WebServer來說
是否可以把網頁程式放在DMZ中而把DataBase 放在內網中來增加安全性
還是網頁程式跟DataBase同樣放在DMZ中也是OK
不知道各位先進會怎樣做

2008-05-01 09:55:12

davistai 說：

To jease,比較快的方式，只把要開放的PORT打開，其餘全部關掉?!在firewall的policy中只放想開的port number就好啦,沒放上去的port是不會通的^^不知有無誤解您的意思?

To timons,
我的看法是,[把網頁程式放在DMZ中而把DataBase 放在內網中]應比[網頁程式跟DataBase同樣放在DMZ中]安全吧..

2008-05-02 17:08:26

回答：albert0605( IT邦初學者9級 )
時間：2008-05-02 14:38:15

9人

現在的防火牆基本上都可以提供多個"安全區域(Security zones)"，亦即客戶可自行定義的安全區域，在各安全區域間的流向施行防火牆政策。

所以DMZ的觀念來說，只是在定義某一個區域間允許哪些Service的流量通過，或是拒絕某些行為的存取。

參考資料：NetStar Taiwan. 02-27405052 #3722 Albert A.Y. Liu

回答：cyrilwang( IT邦初學者8級 )
時間：2008-05-06 16:27:03

5人

一般是不建議在防火牆外擺任何的設備，除非在防火牆外還有路由器作Screening的功能，這樣才有可能(依舊不建議)在路由器與防火牆中間擺放部分的電腦設備。不過嚴格來說，啟用Screening功能的路由器，就已經算是簡單的防火牆了。總而言之，千萬不要讓電腦直接接到網際網路，除非你有很明確的理由或不得已的原因。
DMZ常見是用Screening Subnet(也就是兩個Firewall串接，中間的部分就是DMZ)或是Three(Multi)-legged Firewall方式實作。兩者各有其優缺點，Three-legged的方式雖然在佈署上通常較為便宜與方便，但可能會產生SPF(Single-Point-of-Failure)的問題。
針對DNS服務，除非你有很強烈的理由需要自建，不然現在申請網域的公司應該有(免費)代管的服務。因為DNS一但有問題，很多網路服務就會莫名其妙的秀逗。根據調查報告，DNS算是相當難搞到完全正確的網路服務，如果使用bind更是漏洞一堆，所以盡量不要找自己的麻煩。
伺服器擺放的位置固然很重要，更重要的是主機與應用程式(不管是系統內建、3rd party或是自行開發)本身的安全。

回應 cyrilwang：

jease 說：

本來是用亞太線上代管DNS的方式（原本只有WEB SERVER），
但是MAIL SERVER（後來新增）就無法收信，所以～只好自己架DNS了！

2008-05-07 10:29:00

cyrilwang 說：

沒辦法設定MX嗎?不然應該也可以直接設定IP..
例如申請的domain為abc.com，就把mail server的ip也設定給abc.com這個hostname。當然建議還是用MX的方式比較好...

2008-05-08 08:43:17