DMZ區域

DMZ是英文“Demilitarized Zone”的縮寫，稱為“隔離區”，也稱“非軍事化區”。它是為了解決安裝防火牆後外部網絡不能通路内部網絡伺服器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，這個緩沖區位于企業内部網絡和外部網絡之間的小網絡區域内，在這個小網絡區域内可以放置一些必須公開的伺服器設施，如企業Web伺服器、FTP伺服器和論壇等，另一方面，通過這樣一個DMZ區域，更加有效地保護了内部網絡，因為這種網絡部署，比起一般的防火牆方案，對攻擊者來說又多了一道關卡。自從防火牆出現以來，DMZ區已經是網絡設計的标準組建。

DMZ區的特點：

1.内網可以通路外網 

  内網的使用者顯然需要自由地通路外網。在這一政策中，防火牆需要進行源位址轉換。  

2.内網可以通路DMZ 

  此政策是為了友善内網使用者使用和管理DMZ中的伺服器。  

3.外網不能通路内網 

  很顯然，内網中存放的是公司内部資料，這些資料不允許外網的使用者進行通路。  

4.外網可以通路DMZ 

  DMZ中的伺服器本身就是要給外界提供服務的，是以外網必須可以通路DMZ。同時，外網通路DMZ需要由防火牆完成對外位址到伺服器實際位址的轉換。  

5.DMZ不能通路内網 

  很明顯，如果違背此政策，則當入侵者攻陷DMZ時，就可以進一步進攻到内網的重要資料。  

6.DMZ不能通路外網 

  此條政策也有例外，比如DMZ中放置郵件伺服器時，就需要通路外網，否則将不能正常工作。

什麼樣的服務需要放到DMZ區？

任何需要使用者從外網通路的服務都可以放到DMZ區，常見的服務有：Web servers、Mail servers、FTP servers、VoIP servers....

As a general rule, a DMZ server should never contain any valuable data, so even if someone managed to break into a server in the DMZ, the damage would be minor.

外網、DMZ區、内網通路的控制政策

摘自Stackoverflow，To summarize - there are three "areas" - the big, bad outside world, your pure and virginal inside world, and the well known, trusted, safe DMZ.

The rules are:

Connections from outside can only get to hosts in the DMZ, and on specific ports (80, 443, etc);

Connections from the outside to the inside are blocked absolutely;

Connections from the inside to either the DMZ or the outside are fine and dandy;

Only hosts in the DMZ may establish connections to the inside, and again, only on well known and permitted ports.

DMZ區兩種主流的設計架構：

單防火牆:

<a href="https://s1.51cto.com/wyfs02/M02/06/F5/wKiom1nBBregXRtsAAFN0ekzRkw985.jpg" target="_blank"></a>

雙防火牆:

<a href="https://s5.51cto.com/wyfs02/M01/06/F5/wKiom1nBBsTRAbpdAAIyGu1L2cs944.jpg" target="_blank"></a>

轉載自http://blog.csdn.net/pan_tian/article/details/37658365

轉載自http://505836965.blog.51cto.com/1078217/320403

本文轉自Grodd51CTO部落格，原文連結：http://blog.51cto.com/juispan/1966944，如需轉載請自行聯系原作者