通常,DMZ服务器只应该处理流入请 求从互联网和最终首次与一些后端服务器的连接位于里面或其他DMZ 分段,例如数据库服务器 。同时,DMZ服务器不应该彼此谈 或首次与外界的任何连接 。这在一个简单信任型号清楚地定 义了必要的数据流; 然而,我们经常看型号不足够被强制执 行的这种 。
设计员通常倾向于使用 一个共用段实现DMZs为所有服务器没有对数据流的任何控制他们之 间 。例如,所有服务器位于普通的VLAN 。因为什么都 在同样VLAN之内不控制数据流,假如其中一个服务器被攻陷然后在 同一个分段可以使用同一个服务器来源攻击对任何服务器和主机 。这清楚地实现展开端口重定向或应用层攻击的一个潜在入侵 者的活动 。
一般,只用于防火墙和信 息包过滤器控制流入的连接,但是什么都通常没有完成从DMZ限制被 发起的连接 。一些时间前有答应入侵者通过发送HTTP流开始X 终端仿真程序会话的cgi-bi脚本的一个着名的弱点; 这是应 该由防火墙答应的数据流 。假如入侵者足够幸运,他或她可 能使用另一种款待得到根提示,典型地缓冲溢出攻击 。这类 问题可以通过强制执行一个适当信任模式避免的大多时代 。首先,服务器不应该彼此谈,并且不应该于这些服务器其次发起连 接与外界 。
同样备注适用于许多其他 方案,去从所有正常不信任的分段至小型服务器站在应用程序服务 提供商 。
PVLANs和VACLs在Catalyst 交换机可帮助保证一个适当信任模式 。PVLANs将通过限制主 机的之间数据流帮助在一个共用段,而VACLs将通过提供对产生或被 注定的所有数据流的进一步控制贡献给一个特定段 。这些功 能在以下部分讨论 。
专用VLAN
PVLANs是可用的在运行CatcOs 5.4或以上,在 Catalyst 4000的Catalyst 6000,2980G、2980G-A、运行 CatcOs 6.2或以上的2948G和4912G 。
从我们的透视图,PVLANs是准许分离数据流在把广播分段的变成第 二层的一个工具(L2)一个非广播multi-access-like分段 。交易在所有端口来自到交换机一个混乱端口(即是能转发主要和辅助 VLAN)能出去属于同样主VLAN的端口 。交易(它可以是查出,属性或者走向交换机自端口被映射对辅助VLAN 的双向属性VLAN)可 以转发到属于同一属性VLAN 的一个混乱端口或端口 。多个 端口映射对同样隔离VLAN不能交换任何数据流 。
以下镜象显示概念 。
图1:专用VLAN
主VLAN在蓝色 表示; 辅助VLAN在红色和黄色表示 。Host-1连接到属 于辅助VLAN红色交换机的端口 。Host-2连接到属于辅助 VLAN 黄色交换机的端口 。
当主机传 输时,数据流运载辅助VLAN 。例如,当时Host-2传输,其数 据流在VLAN 黄色去 。当那些主机接受时,数据流来自VLAN 蓝色,是主VLAN 。
路由器和防火墙其 中连接的端口是混乱端口因为在映射能转发数据流来自每个辅助 VLAN定义的那些端口并且主VLAN 。端口连接到每主机能只转 发来自主VLAN和辅助VLAN 的数据流配置在该端口 。
图画表示专用VLAN作为连接路由器和 主机的不同的管道:包所有其他的管道是主VLAN (蓝色)和数 据流在VLAN蓝色从路由器流到主机 。管道内部对主VLAN是辅 助VLAN,并且移动在那些管道的数据流是从主机往路由器 。
当镜象显示,主VLAN能包一个或更多 辅助VLAN 。
及早在本文我们说PVLANs 帮助在一个共用段之内通过简单保证主机的离析强制执行适当信任 模式 。即然我们知道更多专用VLAN,让我们看见这在我们最 初的DMZ方案如何可以实现 。服务器不应该彼此谈,但是他们 还是需要与他们被联系的防火墙或路由器谈 。在这种情况下,当应该附有路由器和防火墙混乱端口时,应该连接服务器到隔离 的端口 。通过执行此,假如其中一个服务器被攻陷,入侵者 不会能使用同一个服务器来源攻击到另一个服务器在同一个分段之 内 。交换机将投下所有信息包以线速,没有任何影响性能 。
推荐阅读
- 租赁房动迁款归谁所有
- 人固有一死或重于泰山或轻于鸿毛出自司马迁的什么 人固有一死或重于泰山或轻于鸿毛出自什么
- 手机快播用私有云收集影片
- 巩义特产
- 张小斐和冯巩什么关系
- 水蛭人工养殖法
- b类地址标准子网掩码 b类私有地址的子网掩码
- 冯国璋跟冯巩什么关系 冯国璋和冯巩什么关系
- 私有地址是什么意思 私有地址是什么意思怎么判断
- 电器维修怎么赚钱