图解DMZ
1. 概念介绍
DMZ是英文“demilitarized zone”的缩写,中文译为“隔离区”、“非军事区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器、邮件服务器等。DMZ防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是非常安全的。同时它提供了一个区域放置公共服务器,从而又能有效地避免一些互联应用需要公开,而与内部安全策略相矛盾的情况发生。
2. 应用场景
一般来说我们的网络分为LAN和WAN,在实际应用中,某些局域网LAN内的主机需要对外提供服务,如邮件服务器、WEB服务器等。该服务器主机为了更好的提供服务,但又要有效的保护内部网络安全。此时就需要用到DMZ功能。DMZ功能将这些对外提供服务物理位置处于内网的主机隔离开,这些服务器主机外网和内网均可以访问,但这些主机不能主动访问内网,从而来保护内部网络的安全。DMZ就是一个让物理位置在内网,希望被外网访问的一个主机区域。如图2.1所示。
图2.1 DMZ区域示意图
通过图2.1可知DMZ区域是由网络防火墙设置规则而隔离出来的一个逻辑区域,该区域里的主机内网和外网用户均可以访问。
3. 如何实现DMZ
要想实现DMZ功能,其实借助linux提供的iptables/netfilter即可实现。只需打上几条防火墙规则即可。只需打上NAT规则即可。将路由器IP DNAT为DMZ主机IP,将DMZ主机IP SNAT为路由器IP。