https://blog.csdn.net/ever_peng/article/details/80202812
DMZ全稱: (Demilitarized Zone)隔離區,也稱非軍事化區,與軍事區和信任區相對應。
拓撲圖
非軍事區(DMZ): 不信任系統提供服務的孤立網段,其目的是把敏感的內部網絡和其他提供訪問服務的網絡分開,阻止內網和外網直接通信,以保證內網安全。
作用: WEB,E-mail,等允許外部訪問的服務器單獨接在該區端口,使整個需要保護的內部網絡接在信任區端口 后,不允許任何訪問,實現內外網分離,達到用戶需求。
- DMZ可以理解為一個不同於外網或內網的特殊網絡區域,DMZ內通常放置一些不含機密信息的公用服務器,比如Web、Mail、FTP等。這樣來自外網的訪問者可以訪問DMZ中的服務,但不可能接觸到存放在內網中的公司機密或私人信息等,即使DMZ中服務器受到破壞,也不會對內網中的機密信息造成影響。
- 配置DMZ可以將需要保護的web應用程序和數據庫系統放在內網中,把沒有包含敏感數據、擔當代理數據訪問職責的主機放置於DMZ中,這樣就為應用系統安全提供了保障。
- DMZ出現原因: 在實際的運用中,某些主機需要對外提供服務,為了更好地提供服務,同時又要有效地保護內部網絡的安全,將這些需要對外開放的主機與內部的眾多網絡設備分隔開來,根據不同的需要,有針對性地采取相應的隔離措施,這樣便能在對外提供友好的服務的同時最大限度地保護了內部網絡。針對不同資源提供不同安全級別的保護,可以構建一個DMZ區域,DMZ可以為主機環境提供網絡級的保護,能減少為不信任客戶提供服務而引發的危險,放置公共信息。
DMZ網絡訪問控制策略:
當規划一個擁有DMZ的網絡時候,我們可以明確各個網絡之間的訪問關系,可以確定以下六條訪問控制策略。
- 內網可以訪問外網 內網的用戶需要自由地訪問外網。在這一策略中,防火牆需要進行源地址轉換。
- 內網可以訪問DMZ 此策略方便內網用戶使用和管理DMZ中的服務器。
- 外網不能訪問內網 內網中存放的是公司內部數據,這些數據不允許外網的用戶進行訪問。
- 外網可以訪問DMZ DMZ中的服務器為外界提供服務,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火牆完成對外地址到服務器實際地址的轉換。
- DMZ不能訪問內網 如果違背此策略,則當入侵者攻陷DMZ時,就可以進一步進攻到內網的重要數據。
- DMZ不能訪問外網 此條策略也有例外,比如DMZ中放置郵件服務器時,就需要訪問外網,否則將不能正常工作。