轉https://zhidao.baidu.com/question/585191668.html
公司有一堆電腦,但可以歸爲兩大類:客戶機、服務器。所謂客戶機就是主動發起連接請求的機器,所謂服務器就是被動響應提供某些服務的機器。服務器又可以分僅供企業內網使用和爲外網提供服務兩種。
所以,如果把您的對外提供服務的服務器放到企業內網,一旦被攻陷入侵,黑客就可以利用這臺機器(肉機)做跳版,利用局域網的漏洞與共享等來攻克其他機器。
您只要按以下規則配置防火牆,就構造了一個DMZ區(您也可以叫love區):
1.內網可以訪問外網
內網的用戶顯然需要自由地訪問外網。在這一策略中,防火牆需要進行源地址轉換。
2.內網可以訪問DMZ
此策略是爲了方便內網用戶使用和管理DMZ中的服務器。
3.外網不能訪問內網
很顯然,內網中存放的是公司內部數據,這些數據不允許外網的用戶進行訪問。
4.外網可以訪問DMZ
DMZ中的服務器本身就是要給外界提供服務的,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火牆完成對外地址到服務器實際地址的轉換。
5.DMZ不能訪問內網
很明顯,如果違背此策略,則當入侵者攻陷DMZ時,就可以進一步進攻到內網的重要數據。
6.DMZ不能訪問外網
此條策略也有例外,比如DMZ中放置郵件服務器時,就需要訪問外網,否則將不能正常工作。