DMZ是英文“demilitarized zone”的縮寫,中文名稱為“隔離區”,也稱“非軍事化區”。它是為了解決安裝防火牆后外部網絡不能訪問內部網絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩沖區,這個緩沖區位於企業內部網絡和外部網絡之間的小網絡區域內,在這個小網絡區域內可以放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網絡,因為這種網絡部署,比起一般的防火牆方案,對攻擊者來說又多了一道關卡。
簡介
DMZ
防火牆方案為要保護的內部網絡增加了一道安全防線,通常認為是非常安全的。同時它提供了一個區域放置公共服務器,從而又能有效地避免一些互聯應用需要公開,而與內部
安全策略相矛盾的情況發生。在DMZ區域中通常包括
堡壘主機、Modem池,以及所有的公共服務器,但要注意的是電子商務服務器只能用作用戶連接,真正的電子商務
后台數據需要放在內部網絡中。
在這個
防火牆方案中,包括兩個防火牆,外部防火牆抵擋外部網絡的攻擊,並管理所有外部網絡對DMZ的訪問。內部
防火牆管理DMZ對於內部網絡的訪問。內部
防火牆是內部網絡的第三道安全防線(前面有了外部防火牆和
堡壘主機),當外部防火牆失效的時候,它還可以起到保護內部網絡的功能。而
局域網內部,對於Internet的訪問由內部
防火牆和位於DMZ的
堡壘主機控制。在這樣的結構里,一個
黑客必須通過三個獨立的區域(外部
防火牆、內部防火牆和
堡壘主機)才能夠到達
局域網。攻擊難度大大加強,相應內部網絡的安全性也就大大加強,但投資成本也是最高的。
如果你的機器不提供網站或其他的網絡服務的話不要設置.DMZ是把你電腦的所有端口開放到網絡 。
原理
將部分用於提供對外服務的服務器主機划分到一個特定的子網——DMZ內,在DMZ的主機能與同處DMZ內的主機和外部網絡的主機通信,而同內部網絡主機的通信會被受到限制。這使DMZ的主機能被內部網絡和外部網絡所訪問,而內部網絡又能避免外部網絡所得知。
DMZ能提供對外部入侵的防護,但不能提供內部破壞的防護,如內部通信數據包分析和欺騙。
UniERM具備內網訪問DMZ區服務器的分析和控制。外網訪問DMZ區服務器的分析和控制。
概念
DMZ(Demilitarized Zone)即俗稱的非軍事區,與軍事區和信任區相對應,作用是把WEB,E-mail,等允許外部訪問的服務器單獨接在該區端口,使整個需要保護的內部網絡接在信任區端口后,不允許任何訪問,實現內
外網分離,達到用戶需求。DMZ可以理解為一個不同於
外網或
內網的特殊網絡區域,DMZ內通常放置一些不含機密信息的公用服務器,比如Web、Mail、FTP等。這樣來自
外網的訪問者可以訪問DMZ中的服務,但不可能接觸到存放在
內網中的公司機密或私人信息等,即使DMZ中服務器受到破壞,也不會對內網中的機密信息造成影響。
[1]
控制策略
當規划一個擁有DMZ的網絡時候,我們可以明確各個網絡之間的訪問關系,可以確定以下六條訪問控制策略。
1.內網可以訪問外網
2.內網可以訪問DMZ
此策略是為了方便
內網用戶使用和管理DMZ中的服務器。
3.外網不能訪問內網
4.外網可以訪問DMZ
5.DMZ不能訪問內網
很明顯,如果違背此策略,則當入侵者攻陷DMZ時,就可以進一步進攻到
內網的重要數據。
6.DMZ不能訪問外網