DMZ
是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业
Web
服务器、
FTP
服务器和论坛等。另一方面,通过这样一个
DMZ
区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。

一般网络分成内网和外网,也就是
LAN

WAN,
那么,当你有
1
台物理位置上的
1
台服务器,需要被外网访问,并且,也被内网访问的时候,那么,有
2
种方法,一种是放在
LAN
中,一种是放在
DMZ
。因为防火墙默认情况下,是为了保护内网的,所以,一般的策略是禁止外网访问内网,许可内网访问外网。但如果这个服务器能被外网所访问,那么,就意味着这个服务器已经处于不可信任的状态,那么,这个服务器就不能(主动)访问内网。

所以,如果服务器放在内网(通过端口重定向让外网访问),一旦这个服务器被攻击,则内网将会处于非常不安全的状态。


DMZ
就是为了让外网能访问内部的资源,也就是这个服务器,而内网呢,也能访问这个服务器,但这个服务器是不能主动访问内网的。
DMZ
就是这样的一个区域。为了让物理位置在内网的,并且,希望能被外网所访问的这样的一个区域。

无论
LAN,DMZ,
还是
WAN
。都是逻辑关系。

妙用
VPN
防火墙的
DMZ
端口实现企业信息化

原理

将部分用于提供对外服务的服务器主机划分到一个特定的子网——DMZ内,在DMZ的主机能与同处DMZ内的主机和外部网络的主机通信,而同内部网络主机的通信会被受到限制。这使DMZ的主机能被内部网络和外部网络所访问,而内部网络又能避免外部网络所得知。
DMZ能提供对外部入侵的防护,但不能提供内部破坏的防护,如内部通信数据包分析和欺骗。
UniERM具备内网访问DMZ区服务器的分析和控制。外网访问DMZ区服务器的分析和控制。
05-08 08:20