在現在的網絡中,我們經常聽到一個術語叫DMZ,那麼什麼是DMZ呢?今天根據個人的實際經驗與看法說說
DMZ是英文“demilitarized zone”的縮寫,中文名稱爲“隔離區”,也稱“非軍事化區”。非軍事化區域,從字面上的意思可以看出是管的不是很嚴的區域,O(∩_∩)O~,放在網絡結構中就是可以被外網訪問的區域;不難想象,既然有非軍事化區域,應該就有軍事化管理區域,企業網絡架構的軍事化管理區域就是企業的內部網絡,內網是絕不允許外部IP訪問的
爲了解決安裝防火牆 後外部網絡不能訪問內部網絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩衝區,這個緩衝區位於企業內部網絡和外部網絡之間的小網絡區域內,在這個小網絡區域內可以放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網絡,因爲這種網絡部署,比起一般的防火牆方案,對***者來說又多了一道關卡。網絡結構如下圖所示
網絡設備開發商,利用這一技術,開發出了相應的防火牆解決方案。稱“非軍事區結構模式”。DMZ通常是一個過濾的子網,DMZ在內部網絡和外部網絡之間構造了一個安全地帶。網絡結構如下圖所示。
現在不知道你發現問題沒有,如果現在以一個正常的訪問穿過外網防火牆,然後訪問web服務器,通過web服務器的一些bug攻下web服務器,那麼是不是就可以通過喲web服務器區訪問內網軍事化區域了呢?理論上說是的,但現實不胡讓這樣可怕的事情發生,爲了加強對DMZ區域主機的控制,需要對處於DMZ區域內訪問做控制,下面就說一下(6條)
1.內網可以訪問外網
內網的用戶顯然需要自由地訪問外網。在這一策略中,防火牆需要進行源地址轉換。
2.內網可以訪問DMZ
此策略是爲了方便內網用戶使用和管理DMZ中的服務器。
3.外網不能訪問內網
很顯然,內網中存放的是公司內部數據,這些數據不允許外網的用戶進行訪問。
4.外網可以訪問DMZ
DMZ中的服務器本身就是要給外界提供服務的,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火牆完成對外地址到服務器實際地址的轉換。
5.DMZ不能訪問內網
很明顯,如果違背此策略,則當***者攻陷DMZ時,就可以進一步進攻到內網的重要數據。
6.DMZ不能訪問外網
此條策略也有例外,比如DMZ中放置郵件服務器時,就需要訪問外網,否則將不能正常工作。在網絡中,非軍事區(DMZ)是指爲不信任系統提供服務的孤立網段,其目的是把敏感的內部網絡和其他提供訪問服務的網絡分開,阻止內網和外網直接通信,以保證內網安全。
現在看過這些策略之後是覺得安全多了呢,這樣通過外網防火牆,內網防火牆,DMZ,就可以實現對內網外網的嚴格控制
DMZ的實現主要是靠硬件,如firewall,如juniper,router,以及linux主機(應該是軟件)等
本人水平有限,看法可能不妥,希望高手多多指點,感激涕零!!!!