dmz,是英文「demilitarized zone」的縮寫,中文名稱為「隔離區」,也稱「非軍事化區」。它是為了解決安裝防火牆後外部網路的訪問使用者不能訪問內部網路伺服器的問題,而設立的乙個非安全系統與安全系統之間的緩衝區。該緩衝區位於企業內部網路和外部網路之間的小網路區域內。在這個小網路區域內可以放置一些必須公開的伺服器設施,如企業web伺服器、ftp伺服器和論壇等。另一方面,通過這樣乙個dmz區域,更加有效地保護了內部網路。因為這種網路部署,比起一般的防火牆方案,對來自外網的攻擊者來說又多了一道關卡。
dmz 是英文「demilitarized zone」的縮寫,中文名稱為「隔離區」, 與軍事區和信任區相對應,也稱「非軍事化區」,是為了解決外部網路不能訪問內部網路伺服器的問題,而設立的乙個非安全系統與安全系統之間的緩衝區。作用是把單位的 ftp伺服器、e-mail伺服器等允許外部訪問的伺服器單獨部署在此區域,使整個需要保護的內部網路接在信任區後,不允許任何外部網路的直接訪問,實現內外網分離,滿足使用者的安全需求。
dmz 區可以理解為乙個不同於外網或內網的特殊網路區域,dmz 內通常放置一些不含機密資訊的公用伺服器,比如 web 伺服器、e-mail 伺服器、ftp 伺服器等。這樣來自外網的訪問者只可以訪問 dmz 中的服務,但不可能接觸到存放在內網中的資訊等,即使 dmz 中伺服器受到破壞,也不會對內網中的資訊造成影響。dmz 區是資訊保安縱深防護體系的第一道屏障,在企事業單位整體資訊保安防護體系中具有舉足輕重的作用。
針對不同資源提供不同安全級別的保護,就可以考慮 構建乙個 dmz 區域。如右圖所示,我們可以看到網路被劃分為三個區域:安全級別最高的 lan area(內網),安全級別中等的 dmz 區域和安全級別最低的 internet 區域(外網)。右圖是乙個典型的 dmz 區的構建圖,使用者將核心的、重要的,只為內部網路使用者提供服務的伺服器部署在內網,將 web 伺服器、e-mail 伺服器、ftp 伺服器等需要為內部和外部網路同時提供服務的伺服器放置到防火牆後的 dmz 區內。通過合理的策略規劃,使 dmz 中伺服器既免受到來自外網路的入侵和破壞,也不會對內網中的機密資訊造成影響。dmz 服務區好比一道屏障,在其中放置外網伺服器,在為外網使用者提供服務的同時也有效地保障了內部網路的安全
在實際的運用中,某些主機需要對外提供服務,為了更好地提供服務,同時又要有效地保護內部網路的安全,將這些需要對外開放的主機與內部的眾多網路裝置分隔開來,根據不同的需要,有針對性地採取相應的隔離措施,這樣便能在對外提供友好的服務的同時最大限度地保護了內部網路。針對不同資源提供不同安全級別的保護,可以構建乙個dmz區域,dmz可以為主機環境提供網路級的保護,能減少為不信任客戶提供服務而引發的危險,是放置公共資訊的最佳位置。在乙個非dmz系統中,內部網路和主機的安全通常並不如人們想象的那樣堅固,提供給internet的服務產生了許多漏洞,使其他主機極易受到攻擊。但是,通過配置dmz,我們可以將需要保護的web應用程式伺服器和資料庫系統放在內網中,把沒有包含敏感資料、擔當**資料訪問職責的主機放置於dmz中,這樣就為應用系統安全提供了保障。dmz使包含重要資料的內部系統免於直接暴露給外部網路而受到攻擊,攻擊者即使初步入侵成功,還要面臨dmz設定的新的障礙。 [3]
在乙個用路由器連線的區域網中,我們可以將網路劃分為三個區域:安全級別最高的lan area(內網),安全級別中等的dmz區域和安全級別最低的internet區域(外網)。三個區域因擔負不同的任務而擁有不同的訪問策略。我們在配置乙個擁有dmz區的網路的時候通常定義以下的訪問控制策略以實現dmz區的屏障功能。 [4]
- 1.內網可以訪問外網
內網的使用者顯然需要自由地訪問外網。在這一策略中,防火牆需要進行源位址轉換。
- 2.內網可以訪問dmz
此策略是為了方便內網使用者使用和管理dmz中的伺服器。
- 3.外網不能訪問內網
很顯然,內網中存放的是公司內部資料,這些資料不允許外網的使用者進行訪問。
- 4.外網可以訪問dmz
dmz中的伺服器本身就是要給外界提供服務的,所以外網必須可以訪問dmz。同時,外網訪問dmz需要由防火牆完成對外位址到伺服器實際位址的轉換。
- 5.dmz訪問內網有限制
很明顯,如果違背此策略,則當入侵者攻陷dmz時,就可以進一步進攻到內網的重要資料。
- 6.dmz不能訪問外網
此條策略也有例外,比如dmz中放置郵件伺服器時,就需要訪問外網,否則將不能正常工作。在網路中,非軍事區(dmz)是指為不信任系統提供服務的孤立網段,其目的是把敏感的內部網路和其他提供訪問服務的網路分開,阻止內網和外網直接通訊,以保證內網安全。
在沒有dmz的技術之前,需要使用外網伺服器的使用者必須在其防火牆上面開放埠(就是port forwarding技術)使網際網路的使用者訪問其外網伺服器,顯然,這種做法會因為防火牆對網際網路開放了一些必要的埠降低了需要受嚴密保護的內網區域的安全性,黑客們只需要攻陷外網伺服器,那麼整個內部網路就完全崩潰了。dmz區的誕生恰恰為需用架設外網伺服器的使用者解決了內部網路的安全性問題。
參考鏈結,若侵刪
2分鐘看懂DMZ區
最近看到乙個名詞 dmz區 一直充滿疑問,今天對其進行了查詢,理解如下 1 dmz是什麼?英文全名 demilitarized zone 中文含義是 隔離區 在安全領域的具體含義是 內外網防火牆之間的區域 2 dmz做什麼?dmz區是乙個緩衝區,在dmz區存放著一些公共伺服器,比如論壇等。使用者要從...
什麼叫表示式?什麼叫語句?
關於這個問題不要覺得不重要,其實大有可以說的地方,這是乙個很基礎的東西,卻有很多人都不是很清楚的了解。表示式 是由運算子和運算物件組成的,單獨的乙個運算物件 常量 變數 也可以叫做表示式,這是最簡單的表示式.eg.4,4 2,c 3 7,3 5 這裡又有乙個小點,c 3 7這個表示式的返回值是左值的...
什麼叫控制代碼
對於作業系統來說,控制代碼就是指向核心態的某段記憶體的指標 對於使用者來說,就是某段資料的id。控制代碼是乙個32位的整數,實際上是 windows 在記憶體中維護的乙個物件 視窗等 記憶體實體地址列表的整數索引。因為 windows 的記憶體管理經常會將當前空閒物件的記憶體釋放掉,當需要時訪問再重...