您的公司有一堆電腦,但可以歸為兩大類:客戶機、服務器。所謂客戶機就是主動發起連接請求的機器,所謂服務器就是被動響應提供某些服務的機器。服務器又可以分僅供企業內網使用和為外網提供服務兩種。 所以,如果把您的對外提供服務的服務器放到企業內網,一旦被攻陷入侵,黑客就可以利用這台機器(肉機)做跳版,利用局域網的漏洞與共享等來攻克其他機器。 OK,您只要按以下規則配置防火牆,就構造了一個DMZ區(您也可以叫love區,隨您): 1.內網可以訪問外網 內網的用戶顯然需要自由地訪問外網。在這一策略中,防火牆需要進行源地址轉換。 2.內網可以訪問DMZ 此策略是為了方便內網用戶使用和管理DMZ中的服務器。 3.外網不能訪問內網 很顯然,內網中存放的是公司內部數據,這些數據不允許外網的用戶進行訪問。 4.外網可以訪問DMZ DMZ中的服務器本身就是要給外界提供服務的,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火牆完成對外地址到服務器實際地址的轉換。 5.DMZ不能訪問內網 很明顯,如果違背此策略,則當入侵者攻陷DMZ時,就可以進一步進攻到內網的重要數據。 6.DMZ不能訪問外網 此條策略也有例外,比如DMZ中放置郵件服務器時,就需要訪問外網,否則將不能正常工作。
免責聲明!
本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。