在面對來自網際網路的持續威脅時,單一防火牆已難以提供足夠的縱深防禦。Screened Subnet(篩選子網路)透過三層式架構與 DMZ 緩衝區,在公開服務與內網之間建立一道實質隔離,大幅提升整體安全韌性。
什麼是 Screened Subnet 架構?
Screened Subnet 由外部防火牆、DMZ 區段、內部防火牆三層組成。外部防火牆面向網際網路,負責過濾明顯惡意流量;DMZ(非軍事區)則放置 Web Server、Mail Server 等對外服務;內部防火牆再次審查所有進入內網的封包。攻擊者即使突破外部防火牆,仍被隔離在 DMZ 中,無法直接存取內部資源。這種「雙重把關」設計,比單一防火牆或 Screened Host 架構提供更強的縱深防禦(Defense in Depth)。
流量控制策略與規則設計
有效的 Screened Subnet 依賴嚴格的封包過濾規則。外部防火牆僅允許特定連接埠(如 80、443、25)流入 DMZ,拒絕所有其他入站連線。內部防火牆則採「預設拒絕(Default Deny)」原則,僅允許 DMZ 中的伺服器主動發起、且已驗證的回應流量進入內網。內網主機若需存取 DMZ 服務,應透過代理伺服器(Proxy)轉介,避免直接連線。此設計確保即便 DMZ 伺服器遭入侵,攻擊者橫向移動至內網的路徑仍被阻斷。
# 內部防火牆規則範例(iptables)
# 僅允許 DMZ Web Server 的已建立連線回應進入內網
iptables -A FORWARD -i eth1 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
# 拒絕 DMZ 主動發起的所有連線至內網
iptables -A FORWARD -i eth1 -o eth2 -j DROP
💡 重點整理
- 三層隔離:外部防火牆 → DMZ → 內部防火牆,攻擊需突破兩道關卡才能觸及內網。
- DMZ 最小化原則:DMZ 內僅部署對外必要的服務,降低潛在攻擊面。
- 預設拒絕:內部防火牆規則以 Default Deny 為基礎,白名單式開放。
- 單向流量設計:內網可主動連出,DMZ 不得主動發起連線至內網。
Screened Subnet 是企業網路安全的經典基石架構。雙層防火牆搭配 DMZ 緩衝區,讓公開服務與核心資產之間存在實質隔離,即便前線失守,內網仍受到有效保護。
📚 參考文獻
- NIST SP 800-41 Rev.1 — Guidelines on Firewalls and Firewall Policy:https://csrc.nist.gov/publications/detail/sp/800-41/rev-1/final
- Cisco — Firewall Design with DMZ Architecture:Cisco Security Design Guide
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言