2024年3月30日发(作者:)

DMZ:demilitarizedzone[di:militəraizd]非军事

区域

您的公司有一堆电脑,但可以归为两大类:客户机、服务器。所谓客户机就是主动发起连接

请求的机器,所谓服务器就是被动响应提供某些服务的机器。服务器又可以分仅供企业内网

使用和为外网提供服务两种。

有句俗话,林子大了,什么鸟都有。所以,你为外网提供服务的服务器(如公

司的对外宣传网站)很容易被狩猎的黑客所攻击。

所以,如果把您的对外提供服务的服务器放到企业内网,一旦被攻陷入侵,黑

客就可以利用这台机器(肉机)做跳版,利用局域网的漏洞与共享等来攻克其他机器。因为

我们有必要建立一个特殊的区,叫什么好呢?随便起一个,就叫DMZ吧,听上去比较酷而已。

那为什么不把这些对外网提供服务的机器单独弄一条线连到公网呢?因为一

般中小企业都仅有一个出口。

OK,您只要按以下规则配置防火墙,就构造了一个DMZ区(您也可以叫love

区,随您):

1.内网可以访问外网

内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址

转换。

2.内网可以访问DMZ

此策略是为了方便内网用户使用和管理DMZ中的服务器。

3.外网不能访问内网

很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访

问。

4.外网可以访问DMZ

DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。

同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

不能访问内网

很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网

的重要数据。

不能访问外网

此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将

不能正常工作。

什么是DMZ、DMZ端口、DMZ主机?

DMZ是英文“demilitarizedzone”的缩写,中文名称为“隔离区”,也称“非军事化区”。

它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全

系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域

内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP

服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为

这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。

一般网络分成内网和外网,也就是LAN和WAN,那么,当你有1台物理位置上的1台服

务器,需要被外网访问,并且,也被内网访问的时候,那么,有2种方法,一种是放在LAN

中,一种是放在DMZ。因为防火墙默认情况下,是为了保护内网的,所以,一般的策略是

禁止外网访问内网,许可内网访问外网。但如果这个服务器能被外网所访问,那么,就意味

着这个服务器已经处于不可信任的状态,那么,这个服务器就不能(主动)访问内网。

所以,如果服务器放在内网(通过端口重定向让外网访问),一旦这个服务器被攻击,则内

网将会处于非常不安全的状态。

但DMZ就是为了让外网能访问内部的资源,也就是这个服务器,而内网呢,也能访问这个

服务器,但这个服务器是不能主动访问内网的。

DMZ就是这样的一个区域。为了让物理位置在内网的,并且,希望能被外网所访问的这样

的一个区域。

无论LAN,DMZ,还是WAN。都是逻辑关系。

不知道解释的是否能让你明白。

============

妙用VPN防火墙的DMZ端口实现企业信息化