DMZ 区基本介绍 DMZ 就是英文“demilitarized zone”得缩写,中文名称为“隔离区”,也称“非军事化区”。它就是为了解决安装防火墙后外部网络不能访问内部网络服务器得问题,而设立得一个非安全系统与安全系统之间得缓冲区,这个缓冲区位于企业内部网络与外部网络之间得小网络区域内,在这个小网络区域内可以放置一些必须公开得服务器设施,如企业Web 服务器、FTP 服务器与论坛等。另一方面,通过这样一个 DMZ 区域,更加有效地保护了内部网络,因为这种网络部署,比起一般得防火墙方案,对攻击者来说又多了一道关卡。应用 网络设备开发商,利用这一技术,开发出了相应得防火墙解决方案。称“非军事区结构模式”。DMZ 通常就是一个过滤得子网,DMZ 在内部网络与外部网络之间构造了一个安全地带。 DMZ 防火墙方案为要保护得内部网络增加了一道安全防线,通常认为就是非常安全得。同时它提供了一个区域放置公共服务器,从而又能有效地避开一些互联应用需要公开,而与内部安全策略相矛盾得情况发生。在 DMZ 区域中通常包括堡垒主机、Modem 池,以及所有得公共服务器,但要注意得就是电子商务服务器只能用作用户连接,真正得电子商务后台数据需要放在内部网络中。分类 在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络得攻击,并管理所有内部网络对 DMZ 得访问。内部防火墙管理 DMZ 对于内部网络得访问。内部防火墙就是内部网络得第三道安全防线(前面有了外部防火墙与堡垒主机),当外部防火墙失效得时候,它还可以起到保护内部网络得功能。而局域网内部,对于 Internet 得访问由内部防火墙与位于 DMZ 得堡垒主机控制。在这样得结构里,一个黑客必须通过三个独立得区域(外部防火墙、内部防火墙与堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络得安全性也就大大加强,但投资成本也就是最高得。防火墙中得概念 网络安全中首先定义得区域就是 trust 区域与 untrust 区域,简单说就就是一个就是内网(trust),就是安全可信任得区域,一个就是 internet,就是不安全不可信得区域。防火墙默认情况下就是阻止从 untrust 到 trust 得访问,当有服务器在 trust 区域得时候,一旦出现需要对外提供服务得时候就比较麻烦。 所以定义出一个 DMZ 得非军事区域,让 trust 与untrust 都可以访问得一个区域,即不就是绝对得安全,也不就是绝对得不安全,这就就是设计 DMZ 区域得核心思想。DMZ ...
