在现在的网络中,我们经常听到一个术语叫DMZ,那么什么是DMZ呢?今天根据个人的实际经验与看法说说

DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。非军事化区域,从字面上的意思可以看出是管的不是很严的区域,O(∩_∩)O~,放在网络结构中就是可以被外网访问的区域;不难想象,既然有非军事化区域,应该就有军事化管理区域,企业网络架构的军事化管理区域就是企业的内部网络,内网是绝不允许外部IP访问的

为了解决安装防火墙 后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。网络结构如下图所示

 

DMZ???_DMZ 

网络设备开发商,利用这一技术,开发出了相应的防火墙解决方案。称“非军事区结构模式”。DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带。网络结构如下图所示。
 

DMZ???_职场_02 

现在不知道你发现问题没有,如果现在以一个正常的访问穿过外网防火墙,然后访问web服务器,通过web服务器的一些bug攻下web服务器,那么是不是就可以通过哟web服务器区访问内网军事化区域了呢?理论上说是的,但现实不胡让这样可怕的事情发生,为了加强对DMZ区域主机的控制,需要对处于DMZ区域内访问做控制,下面就说一下(6条)

1.内网可以访问外网

  内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。

2.内网可以访问DMZ

  此策略是为了方便内网用户使用和管理DMZ中的服务器。

3.外网不能访问内网

  很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。

4.外网可以访问DMZ

  DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

5.DMZ不能访问内网

  很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。

6.DMZ不能访问外网

  此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。

现在看过这些策略之后是觉得安全多了呢,这样通过外网防火墙,内网防火墙,DMZ,就可以实现对内网外网的严格控制

DMZ的实现主要是靠硬件,如firewall,如juniper,router,以及linux主机(应该是软件)等

本人水平有限,看法可能不妥,希望高手多多指点,感激涕零!!!!