DMZ是英文“demilitarized zone”的縮寫,中文名稱為“隔離區”,“非軍事化區”。它是為了解決安裝防火牆後外部網絡不能通路内部網絡伺服器的問題,而設立的一個非安全系統與安全系統之間的緩沖區,這個緩沖區位于企業内部網絡和外部網絡之間的小網絡區域内,在這個小網絡區域内可以放置一些必須公開的伺服器設施,如企業Web伺服器、FTP伺服器等。DMZ防火牆方案為要保護的内部網絡增加了一道安全防線,通常認為是非常安全的。同時它提供了一個區域放置公共伺服器,進而又能有效地避免一些互聯應用需要公開,而與内部安全政策相沖突的情況發生。
一般網絡分成内網和外網,也就是LAN和WAN,那麼,當你有1台實體位置上的1台伺服器,需要被外網通路,并且,也被内網通路的時候,那麼,有2種方法,一種是放在LAN中,一種是放在DMZ。因為防火牆預設情況下,是為了保護内網的,是以,一般的政策是禁止外網通路内網,許可内網通路外網。但如果這個伺服器能被外網所通路,那麼,就意味着這個伺服器已經處于不可信任的狀态,那麼,這個伺服器就不能(主動)通路内網。是以,如果伺服器放在内網(通過端口重定向讓外網通路),一旦這個伺服器被攻擊,則内網将會處于非常不安全的狀态。
但DMZ就是為了讓外網能通路内部的資源,(内部資源在這裡指的就是這個伺服器),而内網呢,也能通路這個伺服器,但這個伺服器是不能主動通路内網的。DMZ就是這樣的一個區域。為了讓實體位置在内網的,并且,希望能被外網所通路的這樣的一個區域。
一個典型的DMZ區的應用圖,使用者将Web、Mail、FTP等需要為内部和外部網絡提供服務的伺服器放置到防火牆的DMZ區内。通過合理的政策規劃,使DMZ中伺服器既免受到來自外網絡的入侵和破壞,也不會對内網中的機密資訊造成影響。DMZ服務區好比一道屏障,在其中放置外網伺服器,在為外網使用者提供服務的同時也有效地保障了内部網絡的安全。
DMZ應用
在一個用路由器連接配接的區域網路中,我們可以将網絡劃分為三個區域:安全級别最高的LAN Area(内網),安全級别中等的DMZ區域和安全級别最低的Internet區域(外網)。三個區域因擔負不同的任務而擁有不同的通路政策。我們在配置一個擁有DMZ區的網絡的時候通常定義以下的通路控制政策以實作DMZ區的屏障功能。
1、内網可以通路外網
内網的使用者需要自由地通路外網。在這一政策中,防火牆需要執行NAT。
2、内網可以通路DMZ
此政策使内網使用者可以使用或者管理DMZ中的伺服器。
3、外網不能通路内網
這是防火牆的基本政策了,内網中存放的是公司内部資料,顯然這些資料是不允許外網的使用者進行通路的。如果要通路,就要通過VPN方式來進行。
4、外網可以通路DMZ
DMZ中的伺服器需要為外界提供服務,是以外網必須可以通路DMZ。同時,外網通路DMZ需要由防火牆完成對外位址到伺服器實際位址的轉換。
5、DMZ不能通路内網
如不執行此政策,則當入侵者攻陷DMZ時,内部網絡将不會受保護。
6、DMZ不能通路外網
此條政策也有例外,比如我們的例子中,在DMZ中放置郵件伺服器時,就需要通路外網,否則将不能正常工作。
在沒有DMZ的技術之前,需要使用外網伺服器的使用者必須在其防火牆上面開放端口(就是Port Forwarding技術)使網際網路的使用者通路其外網伺服器,顯然,這種做法會因為防火牆對網際網路開放了一些必要的端口降低了需要受嚴密保護的内網區域的安全性,黑客們隻需要攻陷外網伺服器,那麼整個内部網絡就完全崩潰了。DMZ區的誕生恰恰為需用架設外網伺服器的使用者解決了内部網絡的安全性問題。
http://blog.sina.com.cn/s/blog_4a8d7b490100a18n.html