最近架Mail Server順便要架DNS,但DNS一直有問題,網友建議我將DNS放到DMZ比較好!
所以在這邊想請問大家,哪些SERVER必須放在防火牆外面,但是又必須兼顧安全性問題,以及網芳的使用,無法使用網芳也沒關係~只是順便問一下!(在DMZ的電腦還可以和區網連線嗎?)
另外~關於DMZ的使用時機、規劃原則,以及DMZ的優缺點如何?
通常要提供給外界存取的 Server 我會把它放到 DMZ,例如:Web, FTP, DNS 等等,而這些 Server 都有幾個共同點:
並不是說放在 DMZ 的 Server 就是直接對外,你還是要開 port 還是要應對 IP,因此基本的安全性還是有的,但是這些 Server (Web, FTP, DNS) 又提供服務給外界『所有』人存取(包含駭客、病毒),因此這些 Server 的風險是比較高的。
如果將這些高風險的電腦,跟你的資料庫,或是其他機密資料放在同一個區域,這樣豈不是更危險呢?因此,在『兩害取其輕』的原則下,才會有 DMZ 這個區域的誕生。
如果你的內網都是一些不重要的 Server,或是你認為即使被入侵也無所謂,那你就可以不需要區分 DMZ 通通放在內網就好了!
DNS可以內外各設一.
一般放在防火牆外的主機有Web service ,Ftp service
針對不同資源提供不同安全級別的保護,可以考慮構建一個叫做“Demilitarized Zone”(DMZ)的區域。DMZ可以理解為一個不同於外網或內網的特殊網路區域。DMZ內通常放置一些不含機密資訊的公用伺服器,比如Web、Mail、FTP等。這樣來自外網的訪問者可以訪問DMZ中的服務,但不可能接觸到存放在內網中的公司機密或私人資訊等。即使DMZ中伺服器受到破壞,也不會對內網中的機密資訊造成影響。
至於你提到的網芳部份,用網段去區別就可以了.
或是加Router....
哪些SERVER適合放在DMZ
一般有個大原則
基於安全考量有提供對外服務的機器
適合放在DMZ
DMZ一般我都叫它做「非戰區」
就是把一些需對外,又可能是高危險性的主機放在這個地方
可能會有WEB、DDNS…等
你只需考慮是否該SERVICE為提供外部使用的
如果是那就應選擇放在DMZ區
萬一受到攻擊那也只是在DMZ區被攻
不會影響到公司內部的運作
沒有必要的話就不要任意開啟DMZ區與公司內部的連線
這樣應該就能比較保險一點..
所以~有需要的話,還是可以開放DMZ使用,只是說盡量不要用...
回答jease: 如果內部要連到dmz區,可以開啟,但不要一直開著,會有風險的 像有些公司會在dmz區放個mail的前端,負責收mail,再轉入公司內部的Mailserver 這樣可避免公司主要的mailserver被入侵或是攻擊
請問"mail的前端"指的是?(也是一台SERVER嗎!)
回答jease:mail的前端一般而言會是只負責收或發mail,但是沒有信箱儲存區,它相當也是一台server。但是也有人是用mail防毒的server當前端。視用途而定。
如果那個服務是要給open 給internet user 使用的話, 最好放在DMZ.
屬於機密的資料則放在Trust Zone. 原則上是,DMZ與內部Trust Zone之間是單行道,i.e.,Trust -> DMZ:Allow, DMZ->Trust:Deny.
DNS放在DMZ是 OK,不過我比較不建議,因為你這台SERVER要夠勇,不然三天兩頭關心一下它有沒有奇怪的狀況,之前我也有把DNS放在DMZ不過沒有幾個月有被放入惡意程式,造成它運作不是很順暢
DMZ 這個名詞是早期Firewall在區隔Internet及Intranet所產生的一個放置server的地方,主要是因為對外服務的server,如web,mail可能會有安全漏洞而被破壞,進而變成跳板攻擊到內部資料伺服器,最後變成資料外洩,所以早期防火牆大約都只有三個interface,但由於安全需求升高及攻擊來源變化太大,單一DMZ巳不足以應付,所以新型Firewall並不會特別強調DMZ的存在,反而強調將server分類進行隔離,大部份都採用IP subnet來分隔,不同類型或特性的server不會放在同一區,而不同部門有時也會基於安全考量,分別由不同interface來分開
大概了解了~有沒有什麼比較快的方式,只把要開放的PORT打開,其餘全部關掉?!
依照各位先進的建議
請問 以WebServer來說
是否可以把網頁程式放在DMZ中 而把DataBase 放在內網中 來增加安全性
還是網頁程式跟DataBase同樣放在DMZ中 也是OK
不知道各位先進會怎樣做
To jease,比較快的方式,只把要開放的PORT打開,其餘全部關掉?!在firewall的policy中只放想開的port number就好啦,沒放上去的port是不會通的^^不知有無誤解您的意思?
To timons,
我的看法是,[把網頁程式放在DMZ中 而把DataBase 放在內網中]應比[網頁程式跟DataBase同樣放在DMZ中]安全吧..
現在的防火牆基本上都可以提供多個"安全區域(Security zones)",亦即客戶可自行定義的安全區域,在各安全區域間的流向施行防火牆政策。
所以DMZ的觀念來說,只是在定義某一個區域間允許哪些Service的流量通過,或是拒絕某些行為的存取。
一般是不建議在防火牆外擺任何的設備,除非在防火牆外還有路由器作Screening的功能,這樣才有可能(依舊不建議)在路由器與防火牆中間擺放部分的電腦設備。不過嚴格來說,啟用Screening功能的路由器,就已經算是簡單的防火牆了。總而言之,千萬不要讓電腦直接接到網際網路,除非你有很明確的理由或不得已的原因。
DMZ常見是用Screening Subnet(也就是兩個Firewall串接,中間的部分就是DMZ)或是Three(Multi)-legged Firewall方式實作。兩者各有其優缺點,Three-legged的方式雖然在佈署上通常較為便宜與方便,但可能會產生SPF(Single-Point-of-Failure)的問題。
針對DNS服務,除非你有很強烈的理由需要自建,不然現在申請網域的公司應該有(免費)代管的服務。因為DNS一但有問題,很多網路服務就會莫名其妙的秀逗。根據調查報告,DNS算是相當難搞到完全正確的網路服務,如果使用bind更是漏洞一堆,所以盡量不要找自己的麻煩。
伺服器擺放的位置固然很重要,更重要的是主機與應用程式(不管是系統內建、3rd party或是自行開發)本身的安全。
本來是用亞太線上代管DNS的方式(原本只有WEB SERVER),
但是MAIL SERVER(後來新增)就無法收信,所以~只好自己架DNS了!
沒辦法設定MX嗎?不然應該也可以直接設定IP..
例如申請的domain為abc.com,就把mail server的ip也設定給abc.com這個hostname。當然建議還是用MX的方式比較好...
DNS, 請開 port 53 tcp/udp 都要開
DNS Server 如果可以建議外包給專門提供DNS服務的廠商, 例如 GoDaddy, Network Solutions, Bluehost 等, 畢竟除非經驗很夠, 否則自己架設容易出錯, 尤其DNS又是所有服務的根源