iT邦幫忙

1

一般來說哪些SERVER會規劃到DMZ裡面?DMZ又要怎麼使用?!

jease 2008-04-28 10:35:5748942 瀏覽

最近架Mail Server順便要架DNS,但DNS一直有問題,網友建議我將DNS放到DMZ比較好!
所以在這邊想請問大家,哪些SERVER必須放在防火牆外面,但是又必須兼顧安全性問題,以及網芳的使用,無法使用網芳也沒關係~只是順便問一下!(在DMZ的電腦還可以和區網連線嗎?)

另外~關於DMZ的使用時機、規劃原則,以及DMZ的優缺點如何?

看更多先前的討論...收起先前的討論...
鐵殼心 iT邦高手 1 級 ‧ 2008-04-28 12:05:21 檢舉
直接把Misadm大大的討論拉過來當參考吧

http://ithelp.ithome.com.tw/question/10001323?tab=opinion&oid=8691#8691
如果是個人玩玩無所謂
如果公司是由你當網管的話
就比較不好了...
jease iT邦研究生 1 級 ‧ 2008-04-28 17:04:01 檢舉
呵呵~那也是Misadm大大回答我另一個相關的問題,
我剛好沒看到(討論不會通知,以後可能要建議新增討論通知了!),
所以才會另外發問,謝謝你喔~
jease iT邦研究生 1 級 ‧ 2008-04-28 17:12:48 檢舉
To Antijava:

不太了解你的意思耶~

因為我們公司有這樣的需要,需要架Mail和DNS SERVER,
在考量安全性的問題下,先請教各位,知道要怎麼架設才比較安全,
之後才會真正去做,不是玩票性質的!
魯大 iT邦高手 1 級 ‧ 2008-04-28 20:07:41 檢舉
我公司的架法是
在dmz區架外部的dns、mail的前端及公司對外的web
其他一律鎖在公司內部,不對外
這樣可減少直接受到沖擊..
給你做參考
jease iT邦研究生 1 級 ‧ 2008-04-29 08:59:33 檢舉
TO Looney:

"mail的前端"到底指的是什麼?可以再詳細說明嗎?謝謝~
john651216 iT邦研究生 1 級 ‧ 2008-04-29 15:21:42 檢舉
謝謝大家的解釋
魯大 iT邦高手 1 級 ‧ 2008-04-30 08:54:10 檢舉
to jease:

mail的前端是指,在公司外幫忙收信的主機
一般而言,是有防毒、防垃圾郵件…等功能的mail主機
但是這個主機也可放在lan裡,只是安全性會比放在外部來的不好
我想應該也可以稱它為mail轉運站,它沒有儲存區可存放mail
好處是它受到攻擊,也不會有mail會不見
而且你公司的主要mail主機還可以正常運作
讓他人不容易找到你公司主要mail主機的所在
jease iT邦研究生 1 級 ‧ 2008-04-30 23:12:35 檢舉
TO Looney:

抱歉~還是不太清楚!是不是類似mail box的設備?
可以舉例說明,前端+後端用的設備、軟體、os嗎!
這樣可能會比較了解...謝謝!
davistai iT邦大師 1 級 ‧ 2008-05-02 17:13:39 檢舉
To jease,
我猜looney大的意思可能是,真正的mail server放在Trust Zone(ie 您所謂的LAN),這是後端;
而像AntiSPAM的server則放在DMZ 中,這樣外部發來的email是先經過AntiSPAM(ie 所謂的前端),過濾後再送到後端的email server,這樣如果AntiSPAM server被攻爆了,也不至於影響真正的email server吧^^

不知如何有無誤解,請指教^^
魯大 iT邦高手 1 級 ‧ 2008-05-02 23:43:41 檢舉
to jease:
不管是前端還是後端
它們都是一台smtp server
只是前端的smtp server 一般不會放有信件儲存區
也就是不存放任何的mail
而後端就是在服務內部的
所以它會有mail box,以存放mail
至於設備及軟體,那就看你公司想用什麼樣的了

我公司是用exchange做後端,mail防毒做前端
有毒的、spam的mail就給他擋在外面啦..
jease iT邦研究生 1 級 ‧ 2008-05-07 11:00:56 檢舉
TO Looney:

mail防毒做前端(是MAIL過濾的設備嗎?)
請問你們是用哪家的設備、名稱?如果有需要的話,我們也想買來用,
後端我們是用雷電的MAIL SERVER....
jease iT邦研究生 1 級 ‧ 2008-05-07 11:06:27 檢舉
TO Davistai:

AntiSPAM運作方式是所有進出的MAIL都會先經過這台設備,
由它先過濾後,再交由後端的mail server來處理,對吧!

那AntiSPAM設備有限制跟後端的mail server的搭配嗎?
例如:某家的AntiSPAM設備要跟exchange搭才可以!(有共同的標準嗎!)
我們是用雷X的MAIL SERVER可以跟誰搭阿?
cyrilwang iT邦新手 3 級 ‧ 2008-05-08 08:50:57 檢舉
AntiSPAM有很多方式,Relay是一種比較常見的方式,多用在本身原本非Mail Server定位的產品上。
但是也可以在原先的Mail Service上加上AntiSPAM的功能,或是在AntiSPAM的產品上面開啟POP或IMAP服務,達到只要一台機器就可以同時提供收發信與AntiSPAM的功能。
其實從Client端(收信軟體)做的也可以算是AntiSPAM的方式。
同樣的,每種方法都有其優缺點,就看組織的需求與可以提供的資源了。
魯大 iT邦高手 1 級 ‧ 2008-05-10 22:19:08 檢舉
to jease
MAIL過濾的設備
小弟建議使用中華數位科技的產品
他們有多項產品,市面評價都還不錯
這是他們的網址-->http://www.softnext-inc.com/tw/
你若是在南部,我還可以幫你介紹業務讓你認識
你也可以請他們的業務到貴公司做介紹
相信他們一定會很樂意為你解答你的疑問..

ps.. 我並不在那家公司,也不是在為他們做廣告,只是覺得他們的產品不錯,提供給你做參考..
davistai iT邦大師 1 級 ‧ 2008-05-12 14:39:54 檢舉
To Jease,
AntiSPAM運作方式是所有進出的MAIL都會先經過這台設備,
由它先過濾後,再交由後端的mail server來處理,對吧!
--> 對;

那AntiSPAM設備有限制跟後端的mail server的搭配嗎?
例如:某家的AntiSPAM設備要跟exchange搭才可以!(有共同的標準嗎!)
我們是用雷X的MAIL SERVER可以跟誰搭阿?
--> 據我所知,應該沒有,但可跟AntiSPAM廠商double confirm;
davistai iT邦大師 1 級 ‧ 2008-05-12 14:41:47 檢舉
To Jease & Looney,
小弟公司正是用softnext產品,還不錯..
基本上,他們也沒付我廣告費,所以也不是要幫他們打廣告,
只是目前為止,感覺還不錯用就是了.FYR.
全部放在DMZ
不然被駭客搞死

過往經驗
還有記得要更新



程式與鹹穌雞 找不到免費的軟體?來這就對了_會計_進銷存_理財工具
用商用軟體太貴嗎?這裡有免費的_會計_進銷存_理財工具
http://easysoft.twelife.com 部落格
http://easysoft.202.tw 論壇
http://twelife.com 台灣e生活網(比IKEA便宜喔)
85
misadm
iT邦高手 10 級 ‧ 2008-04-28 12:12:36
最佳解答

通常要提供給外界存取的 Server 我會把它放到 DMZ,例如:Web, FTP, DNS 等等,而這些 Server 都有幾個共同點:

  1. 提供服務給外界存取。
  2. Server 內沒有任何機密資料。
  3. 這些 Server 是可以被入侵的,可以被病毒感染的。

並不是說放在 DMZ 的 Server 就是直接對外,你還是要開 port 還是要應對 IP,因此基本的安全性還是有的,但是這些 Server (Web, FTP, DNS) 又提供服務給外界『所有』人存取(包含駭客、病毒),因此這些 Server 的風險是比較高的。

如果將這些高風險的電腦,跟你的資料庫,或是其他機密資料放在同一個區域,這樣豈不是更危險呢?因此,在『兩害取其輕』的原則下,才會有 DMZ 這個區域的誕生。

如果你的內網都是一些不重要的 Server,或是你認為即使被入侵也無所謂,那你就可以不需要區分 DMZ 通通放在內網就好了!

jease iT邦研究生 1 級 ‧ 2008-04-30 23:21:16 檢舉

大致上有一個概念了~等於DMZ是和LAN切開,不屬於同一個網段,
所以被侵入的話,並不影響LAN的運作,DMZ也仍然受防火牆的管制‧

davistai iT邦大師 1 級 ‧ 2008-05-02 17:05:37 檢舉

To jease, you are very smart!!

62
gkkangel
iT邦好手 1 級 ‧ 2008-04-28 11:01:03

DNS可以內外各設一.
一般放在防火牆外的主機有Web service ,Ftp service
針對不同資源提供不同安全級別的保護,可以考慮構建一個叫做“Demilitarized Zone”(DMZ)的區域。DMZ可以理解為一個不同於外網或內網的特殊網路區域。DMZ內通常放置一些不含機密資訊的公用伺服器,比如Web、Mail、FTP等。這樣來自外網的訪問者可以訪問DMZ中的服務,但不可能接觸到存放在內網中的公司機密或私人資訊等。即使DMZ中伺服器受到破壞,也不會對內網中的機密資訊造成影響。

至於你提到的網芳部份,用網段去區別就可以了.
或是加Router....

jease iT邦研究生 1 級 ‧ 2008-04-28 17:22:47 檢舉

那內外各架一台DNS的作用是? 網芳其實沒用也沒差,這個比較沒影響...

52
chen53
iT邦新手 3 級 ‧ 2008-04-28 11:06:43

哪些SERVER適合放在DMZ
一般有個大原則
基於安全考量有提供對外服務的機器
適合放在DMZ

jease iT邦研究生 1 級 ‧ 2008-04-30 23:13:45 檢舉

所以~dns、mail、web都適合放在DMZ嘍!

45
魯大
iT邦高手 1 級 ‧ 2008-04-28 11:09:04

DMZ一般我都叫它做「非戰區」
就是把一些需對外,又可能是高危險性的主機放在這個地方
可能會有WEB、DDNS…等
你只需考慮是否該SERVICE為提供外部使用的
如果是那就應選擇放在DMZ區
萬一受到攻擊那也只是在DMZ區被攻
不會影響到公司內部的運作
沒有必要的話就不要任意開啟DMZ區與公司內部的連線
這樣應該就能比較保險一點..

看更多先前的回應...收起先前的回應...
jease iT邦研究生 1 級 ‧ 2008-04-28 17:24:43 檢舉

所以~有需要的話,還是可以開放DMZ使用,只是說盡量不要用...

魯大 iT邦高手 1 級 ‧ 2008-04-28 20:04:20 檢舉

回答jease: 如果內部要連到dmz區,可以開啟,但不要一直開著,會有風險的 像有些公司會在dmz區放個mail的前端,負責收mail,再轉入公司內部的Mailserver 這樣可避免公司主要的mailserver被入侵或是攻擊

jease iT邦研究生 1 級 ‧ 2008-04-29 08:55:38 檢舉

請問"mail的前端"指的是?(也是一台SERVER嗎!)

魯大 iT邦高手 1 級 ‧ 2008-04-29 23:37:06 檢舉

回答jease:mail的前端一般而言會是只負責收或發mail,但是沒有信箱儲存區,它相當也是一台server。但是也有人是用mail防毒的server當前端。視用途而定。

jease iT邦研究生 1 級 ‧ 2008-04-30 23:15:43 檢舉

是不是類似MAIL篩選設備(過濾垃圾、病毒郵件...)!

jease iT邦研究生 1 級 ‧ 2008-04-30 23:15:44 檢舉

是不是類似MAIL篩選設備(過濾垃圾、病毒郵件...)!

魯大 iT邦高手 1 級 ‧ 2008-05-01 23:57:20 檢舉

是的..
不過若你用的是spam的閘道硬體的話,那就不大一樣了..

54
davistai
iT邦大師 1 級 ‧ 2008-04-28 11:43:05

如果那個服務是要給open 給internet user 使用的話, 最好放在DMZ.
屬於機密的資料則放在Trust Zone. 原則上是,DMZ與內部Trust Zone之間是單行道,i.e.,Trust -> DMZ:Allow, DMZ->Trust:Deny.

jease iT邦研究生 1 級 ‧ 2008-04-30 23:17:43 檢舉

等於LAN-->DMZ可以連、DMZ--->LAN不能連,對吧~

37
john651216
iT邦研究生 1 級 ‧ 2008-04-28 18:13:04

DNS放在DMZ是 OK,不過我比較不建議,因為你這台SERVER要夠勇,不然三天兩頭關心一下它有沒有奇怪的狀況,之前我也有把DNS放在DMZ不過沒有幾個月有被放入惡意程式,造成它運作不是很順暢

jease iT邦研究生 1 級 ‧ 2008-04-30 23:22:43 檢舉

這樣也是很麻煩的一件事...但是又不得不架,不知道找DNS代管的會不會比較好?!

45
netghost0327
iT邦新手 4 級 ‧ 2008-04-29 16:25:08

DMZ 這個名詞是早期Firewall在區隔Internet及Intranet所產生的一個放置server的地方,主要是因為對外服務的server,如web,mail可能會有安全漏洞而被破壞,進而變成跳板攻擊到內部資料伺服器,最後變成資料外洩,所以早期防火牆大約都只有三個interface,但由於安全需求升高及攻擊來源變化太大,單一DMZ巳不足以應付,所以新型Firewall並不會特別強調DMZ的存在,反而強調將server分類進行隔離,大部份都採用IP subnet來分隔,不同類型或特性的server不會放在同一區,而不同部門有時也會基於安全考量,分別由不同interface來分開

jease iT邦研究生 1 級 ‧ 2008-04-30 23:25:37 檢舉

大概了解了~有沒有什麼比較快的方式,只把要開放的PORT打開,其餘全部關掉?!

timons iT邦新手 4 級 ‧ 2008-05-01 09:55:12 檢舉

依照各位先進的建議
請問 以WebServer來說
是否可以把網頁程式放在DMZ中 而把DataBase 放在內網中 來增加安全性
還是網頁程式跟DataBase同樣放在DMZ中 也是OK
不知道各位先進會怎樣做

davistai iT邦大師 1 級 ‧ 2008-05-02 17:08:26 檢舉

To jease,比較快的方式,只把要開放的PORT打開,其餘全部關掉?!在firewall的policy中只放想開的port number就好啦,沒放上去的port是不會通的^^不知有無誤解您的意思?

To timons,
我的看法是,[把網頁程式放在DMZ中 而把DataBase 放在內網中]應比[網頁程式跟DataBase同樣放在DMZ中]安全吧..

38
albert0605
iT邦新手 4 級 ‧ 2008-05-02 14:38:15

現在的防火牆基本上都可以提供多個"安全區域(Security zones)",亦即客戶可自行定義的安全區域,在各安全區域間的流向施行防火牆政策。

所以DMZ的觀念來說,只是在定義某一個區域間允許哪些Service的流量通過,或是拒絕某些行為的存取。

30
cyrilwang
iT邦新手 3 級 ‧ 2008-05-06 16:27:03

一般是不建議在防火牆外擺任何的設備,除非在防火牆外還有路由器作Screening的功能,這樣才有可能(依舊不建議)在路由器與防火牆中間擺放部分的電腦設備。不過嚴格來說,啟用Screening功能的路由器,就已經算是簡單的防火牆了。總而言之,千萬不要讓電腦直接接到網際網路,除非你有很明確的理由或不得已的原因。
DMZ常見是用Screening Subnet(也就是兩個Firewall串接,中間的部分就是DMZ)或是Three(Multi)-legged Firewall方式實作。兩者各有其優缺點,Three-legged的方式雖然在佈署上通常較為便宜與方便,但可能會產生SPF(Single-Point-of-Failure)的問題。
針對DNS服務,除非你有很強烈的理由需要自建,不然現在申請網域的公司應該有(免費)代管的服務。因為DNS一但有問題,很多網路服務就會莫名其妙的秀逗。根據調查報告,DNS算是相當難搞到完全正確的網路服務,如果使用bind更是漏洞一堆,所以盡量不要找自己的麻煩。
伺服器擺放的位置固然很重要,更重要的是主機與應用程式(不管是系統內建、3rd party或是自行開發)本身的安全。

jease iT邦研究生 1 級 ‧ 2008-05-07 10:29:00 檢舉

本來是用亞太線上代管DNS的方式(原本只有WEB SERVER),
但是MAIL SERVER(後來新增)就無法收信,所以~只好自己架DNS了!

cyrilwang iT邦新手 3 級 ‧ 2008-05-08 08:43:17 檢舉

沒辦法設定MX嗎?不然應該也可以直接設定IP..
例如申請的domain為abc.com,就把mail server的ip也設定給abc.com這個hostname。當然建議還是用MX的方式比較好...

DNS, 請開 port 53 tcp/udp 都要開
DNS Server 如果可以建議外包給專門提供DNS服務的廠商, 例如 GoDaddy, Network Solutions, Bluehost 等, 畢竟除非經驗很夠, 否則自己架設容易出錯, 尤其DNS又是所有服務的根源

我要發表回答

立即登入回答