歐米家熱烈歡迎透過PSINET INC，遠從 UNITED STATES 38.107.191.103 而來的您，Have a good day! > 首頁 > 解決方案 > 資訊安全解決方案 > DMZ

系統運作安全管理 分享此文：    高安全性DMZ網路環境系統架構 OMICard採用高安全性 DMZ網路環境系統架構來保障您的網路環境安全。 DMZ安全性說明 DMZ安全性原理 OMICard系統DMZ安全性架構設計 DMZ安全性說明   應用DMZ技術目的是為了解決安裝兩個防火牆後，外部網路不能訪問內部網路伺服器的問題，因此設立一個介於外部網路與內部網路之間的緩衝區(DMZ隔離區)。 DMZ區的主機多數是為了提供對外的服務(可放置一些必須公開的服務，例如Web Service、FTP Service)，若Web Server 需要從資料庫主機查詢資料，並對外提供服務，利用雙層防火牆的原理，有效的提高系統受到入侵與攻擊的難度，入侵者必須通過三個獨立的區域(外部防火牆、監測主機、內部防火牆)才能進到重要區域，相較於一般網路架構的脆弱性，一旦系統被成功入侵將造成無法想像的損失，透過DMZ架構的部署技術，將提高整體系統安全性。 DMZ安全性原理   DMZ技術原理是使用兩個防火牆來建立一個非武裝區域，外部的防火牆僅允許進出的HTTP請求，這允許用戶端瀏覽器可以和伺服器進行通訊，第二個防火牆位於伺服器的後面，只允許透過來自特定埠上的可靠伺服器的請求，兩個防火牆都可使用入侵檢測軟體來檢測任何非法的動作，達到加強驗證與雙重防護的安全效果，DMZ基本示意圖如下：   OMICard系統DMZ安全性架構設計   一般DMZ建置模式   DMZ部署技術雖可提高網路安全性，減少入侵的機會，但一般性DMZ設計 仍有不足的地方，例如在資料庫存取部份需在內部Firewall 端另外開設常態 SQL埠(port)，以供系統存取內部系統DB 及其他DB資料庫系統，資料傳輸 過程雖可另外設定Ipsec加密通道減少部份安全性風險，但若當該DMZ主機 被入侵時，因為Ipsec僅是點對點授權許可，只要入侵控制系統主機後便可 以直接存取內部DB資料，所以還是存在資料外洩問題，一般性DMZ架構缺 點示意圖如下：   OMICard的DMZ建置模式   OMICard系統採用DMZ安全性技術部署，並進一步加強安全性弱點，提供 系統全面性的防護，以下為OMICard系統建置特色與安全性考量：   1. 系統架構安全性：   OMICard系統主機與系統資料庫是放於後端Intranet內部，不會直接曝 露於較具有風險之DMZ區內，經由兩層的防火牆保護並且由後端 OMICard伺服器控制存取資料庫，減少客戶資料庫遭入侵之情況發生， 具有較高資料保護之安全性。 2. 系統操作安全性：   整個系統操作介面完全建置於內部網路內，僅讓內部使用者可以使用到 系統，而建置於 DMZ 區之Web listen 元件及 SMTP 由於是獨立於系統 之外的，所以效能上會較佳，且本當未來有需求擴充時可以快速部署該 元件及SMTP，由於新版Web Listen元件支援高安全性之Mutil-Relay模 式，系統元件可建置於Internet上或DMZ區，且不需於內部Firewall 端另 外開放SQL通訊通道，僅需設定以Http作點對點IPsec或SSL資料加密回 傳傳輸加強安全性，並可避免不法內部使用者將資料往外傳送的風險。 3. 安全性強化支援：   由於新版Web listen元件支援高安全性之Mutil-Relay模式，加上本身資 料以及Proxy web元件所在主機之設定檔已先行編碼過，完整強化系統 安全性架構與提高系統效率，並可聯合DMZ概念使用偽裝伺服器，偽裝 伺服器技術為DMZ中的資源(例如，偽造的客戶資料庫系統)，用來混淆入 侵者使他認為他已經進入防火牆，並且管理者可以詳細監控任何不法的行 為。 4. 資料傳輸安全性：   系統運作中任何檔案傳輸都配合使用SSL機制將資訊回傳至內部主機， 瀏覽器認為伺服器是一個可信任的實體，並且啟用一個連接來回傳遞加 密的資訊，所有來回的資訊是經過加密的，因此駭客透過掃描網路並不 能閱讀任何內容，可增加進一步的資料安全性，也可免除當DMZ區被入 侵時，可能造成內部SQL資料庫外洩之風險提高。   OMICard系統安全性建置圖如下：

首頁 | 聯絡我們 | 隱私權政策 | 網站地圖 | 線上徵才 沛盛資訊有限公司版權所有 Copyright © 2010 ITPison Co.,Ltd. All rights reserved