欧米家热烈欢迎透过PSINET INC，远从 UNITED STATES 38.107.191.100 而来的您，Have a good day! > 首页 > 解决方案 > 资讯安全解决方案 > DMZ

系统运作安全管理    高安全性DMZ网路环境系统架构 OMICard采用高安全性 DMZ网路环境系统架构来保障您的网路环境安全。 DMZ安全性说明 DMZ安全性原理 OMICard系统DMZ安全性架构设计 DMZ安全性说明   应用DMZ技术目的是为了解决安装两个防火墙后，外部网路不能访问内部网路伺服器的问题，因此设立一个介于外部网路与内部网路之间的缓冲区(DMZ隔离区)。 DMZ区的主机多数是为了提供对外的服务(可放置一些必须公开的服务，例如Web Service、FTP Service)，若Web Server 需要从数据库主机查询资料，并对外提供服务，利用双层防火墙的原理，有效的提高系统受到入侵与攻击的难度，入侵者必须通过三个独立的区域(外部防火墙、监测主机、内部防火墙)才能进到重要区域，相较于一般网路架构的脆弱性，一旦系统被成功入侵将造成无法想像的损失，透过DMZ架构的部署技术，将提高整体系统安全性。 DMZ安全性原理   DMZ技术原理是使用两个防火墙来建立一个非武装区域，外部的防火墙仅允许进出的HTTP请求，这允许用户端浏览器可以和伺服器进行通讯，第二个防火墙位于伺服器的后面，只允许透过来自特定埠上的可靠伺服器的请求，两个防火墙都可使用入侵检测软体来检测任何非法的动作，达到加强验证与双重防护的安全效果，DMZ基本示意图如下：   OMICard系统DMZ安全性架构设计   一般DMZ建置模式   DMZ部署技术虽可提高网路安全性，减少入侵的机会，但一般性DMZ设计 仍有不足的地方，例如在数据库存取部份需在内部Firewall 端另外开设常态 SQL埠(port)，以供系统存取内部系统DB 及其他DB数据库系统，资料传输 过程虽可另外设定Ipsec加密通道减少部份安全性风险，但若当该DMZ主机 被入侵时，因为Ipsec仅是点对点授权许可，只要入侵控制系统主机后便可 以直接存取内部DB资料，所以还是存在资料外泄问题，一般性DMZ架构缺 点示意图如下：   OMICard的DMZ建置模式   OMICard系统采用DMZ安全性技术部署，并进一步加强安全性弱点，提供 系统全面性的防护，以下为OMICard系统建置特色与安全性考量：   1. 系统架构安全性：   OMICard系统主机与系统数据库是放于后端Intranet内部，不会直接曝 露于较具有风险之DMZ区内，经由两层的防火墙保护并且由后端 OMICard伺服器控制存取数据库，减少客户数据库遭入侵之情况发生， 具有较高资料保护之安全性。 2. 系统操作安全性：   整个系统操作介面完全建置于内部网路内，仅让内部使用者可以使用到 系统，而建置于 DMZ 区之Web listen 元件及 SMTP 由于是独立于系统 之外的，所以效能上会较佳，且本当未来有需求扩充时可以快速部署该 元件及SMTP，由于新版Web Listen元件支援高安全性之Mutil-Relay模 式，系统元件可建置于Internet上或DMZ区，且不需于内部Firewall 端另 外开放SQL通讯通道，仅需设定以Http作点对点IPsec或SSL资料加密回 传传输加强安全性，并可避免不法内部使用者将资料往外传送的风险。 3. 安全性强化支援：   由于新版Web listen元件支援高安全性之Mutil-Relay模式，加上本身资 料以及Proxy web元件所在主机之设定档已先行编码过，完整强化系统 安全性架构与提高系统效率，并可联合DMZ概念使用伪装伺服器，伪装 伺服器技术为DMZ中的资源(例如，伪造的客户数据库系统)，用来混淆入 侵者使他认为他已经进入防火墙，并且管理者可以详细监控任何不法的行 为。 4. 资料传输安全性：   系统运作中任何档案传输都配合使用SSL机制将资讯回传至内部主机， 浏览器认为伺服器是一个可信任的实体，并且启用一个连接来回传递加 密的资讯，所有来回的资讯是经过加密的，因此骇客透过扫描网路并不 能阅读任何内容，可增加进一步的资料安全性，也可免除当DMZ区被入 侵时，可能造成内部SQL数据库外泄之风险提高。   OMICard系统安全性建置图如下：

首页 | 联络我们 | 隐私权政策 | 网站地图 | 线上征才 沛盛信息有限公司版权所有 Copyright © 2010 ITPison Co.,Ltd. All rights reserved