Demilitarized Zone 英 [ˌdiːˈmɪlɪtəraɪzd zəʊn] 美 [ˌdiːˈmɪlɪtəraɪzd zoʊn] 非軍事區;非武裝地帶;隔離區或非軍事化區;非軍事化區;非軍事區域
1、DMZ是什么?
英文全名“Demilitarized Zone”,中文含義是“隔離區”。在安全領域的具體含義是“內外網防火牆之間的區域”。
它是為了解決安裝防火牆后外部網絡的訪問用戶不能訪問內部網絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩沖區。該緩沖區位於企業內部網絡和外部網絡之間的小網絡區域內。在這個小網絡區域內可以放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網絡。因為這種網絡部署,比起一般的防火牆方案,對來自外網的攻擊者來說又多了一道關卡。
2、DMZ做什么?
DMZ區是一個緩沖區,在DMZ區存放着一些公共服務器,比如論壇等。
用戶要從外網訪問到的服務,理論上都可以放到DMZ區。
內網可以單向訪問DMZ區、外網也可以單向訪問DMZ區。
3、為什么設置DMZ區?
為了安全(哈哈!)。做個假設,如果你公司的內網可以從互聯網被訪問的話,那么還存在什么安全?但是有些對外的服務還必須要能夠從外網進行訪問,在這種情況下“DMZ區”就應運而生了。
DMZ區是一個區域,她提供了對外服務器存放的位置,有了安全,也有了方便。
DMZ 區可以理解為一個不同於外網或內網的特殊網絡區域,DMZ 內通常放置一些不含機密信息的公用服務器,比如 WEB 服務器、E-Mail 服務器、FTP 服務器等。這樣來自外網的訪問者只可以訪問 DMZ 中的服務,但不可能接觸到存放在內網中的信息等,即使 DMZ 中服務器受到破壞,也不會對內網中的信息造成影響。DMZ 區是信息安全縱深防護體系的第一道屏障,在企事業單位整體信息安全防護體系中具有舉足輕重的作用。
針對不同資源提供不同安全級別的保護,就可以考慮 構建一個 DMZ 區域。如右圖所示,我們可以看到網絡被划分為三個區域:安全級別最高的 LAN Area(內網),安全級別中等的 DMZ 區域和安全級別最低的 Internet 區域(外網)。右圖是一個典型的 DMZ 區的構建圖,用戶將核心的、重要的,只為內部網絡用戶提供服務的服務器部署在內網,將 WEB 服務器、E-Mail 服務器、FTP 服務器等需要為內部和外部網絡同時提供服務的服務器放置到防火牆后的 DMZ 區內。通過合理的策略規划,使 DMZ 中服務器既免受到來自外網絡的入侵和破壞,也不會對內網中的機密信息造成影響。DMZ 服務區好比一道屏障,在其中放置外網服務器,在為外網用戶提供服務的同時也有效地保障了內部網絡的安全。