跳到主要內容

Screened Subnet 三層式防火牆架構解析:透過 DMZ 緩衝區強化內網隔離與安全防護

在面對來自網際網路的持續威脅時,單一防火牆已難以提供足夠的縱深防禦。Screened Subnet(篩選子網路)透過三層式架構與 DMZ 緩衝區,在公開服務與內網之間建立一道實質隔離,大幅提升整體安全韌性。

什麼是 Screened Subnet 架構?

Screened Subnet 由外部防火牆、DMZ 區段、內部防火牆三層組成。外部防火牆面向網際網路,負責過濾明顯惡意流量;DMZ(非軍事區)則放置 Web Server、Mail Server 等對外服務;內部防火牆再次審查所有進入內網的封包。攻擊者即使突破外部防火牆,仍被隔離在 DMZ 中,無法直接存取內部資源。這種「雙重把關」設計,比單一防火牆或 Screened Host 架構提供更強的縱深防禦(Defense in Depth)。

流量控制策略與規則設計

有效的 Screened Subnet 依賴嚴格的封包過濾規則。外部防火牆僅允許特定連接埠(如 80、443、25)流入 DMZ,拒絕所有其他入站連線。內部防火牆則採「預設拒絕(Default Deny)」原則,僅允許 DMZ 中的伺服器主動發起、且已驗證的回應流量進入內網。內網主機若需存取 DMZ 服務,應透過代理伺服器(Proxy)轉介,避免直接連線。此設計確保即便 DMZ 伺服器遭入侵,攻擊者橫向移動至內網的路徑仍被阻斷。

# 內部防火牆規則範例(iptables)
# 僅允許 DMZ Web Server 的已建立連線回應進入內網
iptables -A FORWARD -i eth1 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
# 拒絕 DMZ 主動發起的所有連線至內網
iptables -A FORWARD -i eth1 -o eth2 -j DROP

💡 重點整理

  • 三層隔離:外部防火牆 → DMZ → 內部防火牆,攻擊需突破兩道關卡才能觸及內網。
  • DMZ 最小化原則:DMZ 內僅部署對外必要的服務,降低潛在攻擊面。
  • 預設拒絕:內部防火牆規則以 Default Deny 為基礎,白名單式開放。
  • 單向流量設計:內網可主動連出,DMZ 不得主動發起連線至內網。

Screened Subnet 是企業網路安全的經典基石架構。雙層防火牆搭配 DMZ 緩衝區,讓公開服務與核心資產之間存在實質隔離,即便前線失守,內網仍受到有效保護。

📚 參考文獻

  1. NIST SP 800-41 Rev.1 — Guidelines on Firewalls and Firewall Policyhttps://csrc.nist.gov/publications/detail/sp/800-41/rev-1/final
  2. Cisco — Firewall Design with DMZ ArchitectureCisco Security Design Guide

⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。

留言