安全域的划分

安全域的划分

在网络安全领域，安全域的划分是一种重要的防护策略。通过将具有相同安全等级的计算机划入同一网段，并在网段边界部署防火墙，可以实现对网络访问的有效控制，从而降低安全风险。本文将详细介绍安全域划分的基本概念、方法以及不同安全域之间的访问控制策略。

在一个用路由器连接的内网中，可以将网络划分为三个区域：

1. 安全级别最高的内网
2. 安全级别中等的DMZ（隔离区）
3. 安全级别最低的外网

在配置一个拥有DMZ的网络时，通常需要定义如下访问控制策略，以实现其屏障功能。

内网可以访问外网：内网用户需要自由地访问外网。在这一策略中，防火墙需要执行NAT（网络地址转换）。
内网可以访问DMZ：此策略使内网用户可以使用或者管理DMZ中的服务器。
外网不能访问内网：这是防火墙的基本策略。内网中存储的是公司内部数据，显然，这些数据一般是不允许外网用户访问的（如果要访问，就要通过VPN的方式来进行）。
外网可以访问DMZ：因为DMZ中的服务器需要为外界提供服务，所以外网必须可以访问DMZ。同时，需要由防火墙来完成从对外地址到服务器实际地址的转换。
DMZ不能访问内网：如果不执行此策略，当攻击者攻陷DMZ时，内网将无法受到保护。
DMZ不能访问外网：此策略也有例外。例如，在DMZ中放置了邮件服务器，就要允许访问外网，否则邮件服务器无法正常工作。

办公区是公司员工日常的工作区域，一般会安装防病毒软件、主机入侵检测产品等。办公区一般能够访问DMZ。如果运维人员也在办公区，那么部分主机也能访问核心数据区（很多企业还会使用堡垒机来统一管理用户的登录行为）。攻击者如果想进入内网，通常会使用鱼叉攻击、水坑攻击，当然还有社会工程学手段。办公区人员多而杂，变动也很频繁，在安全管理上可能存在诸多漏洞，是攻击者进入内网的重要途径。