2024年3月30日发(作者:)

DMZ区

基本介绍

DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事

化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一

个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的

小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web

服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了

内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。

应用

网络设备开发商,利用这一技术,开发出了相应的防火墙解决方案。称“非军事区结

构模式”。DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安

全地带。 DMZ防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是非

常安全的。同时它提供了一个区域放置公共服务器,从而又能有效地避免一些互联应用需

要公开,而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem

池,以及所有的公共服务器,但要注意的是电子商务服务器只能用作用户连接,真正的电

子商务后台数据需要放在内部网络中。

分类

在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所

有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是

内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时候,

它还可以起到保护内部网络的功能。而局域网内部,对于Internet的访问由内部防火墙和

位于DMZ的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域(外部防

火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的安

全性也就大大加强,但投资成本也是最高的。

防火墙中的概念

网络安全中首先定义的区域是trust区域和untrust区域,简单说就是一个是内网

(trust),是安全可信任的区域,一个是internet,是不安全不可信的区域。防火墙默认

情况下是阻止从untrust到trust的访问,当有服务器在trust区域的时候,一旦出现需要

对外提供服务的时候就比较麻烦。 所以定义出一个DMZ的非军事区域,让trust和

untrust都可以访问的一个区域,即不是绝对的安全,也不是绝对的不安全,这就是设计

DMZ区域的核心思想。

DMZ非军事化区

DMZ介绍

为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网

段,这个网段便是非军事化区。防火墙一般配备三块网卡,在配置时一般分别分别连接内

部网,internet和DMZ。 DMZ(Demilitarized Zone)即俗称的隔离区或非军事区,

与军事区和信任区相对应,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该

区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分

离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通