DMZ區

DMZ區

DMZ是英文“demilitarized zone”的縮寫,中文名稱為“隔離區”,也稱“非軍事化區”。DMZ通常是一個過濾的子網,DMZ在內部網路和外部網路之間構造了一個安全地帶。網路設備開發商,利用這一技術,開發出了相應的防火牆解決方案,稱“非軍事區結構模式”。

DMZ是為了解決安裝防火牆後外部網路不能訪問內部網路伺服器的問題,而設立的一個非安全系統與安全系統之間的緩衝區,這個緩衝區位於企業內部網路和外部網路之間的小網路區域內,在這個小網路區域內可以放置一些必須公開的伺服器設施,如企業Web伺服器、FTP伺服器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網路,因為這種網路部署,比起一般的防火牆方案,對攻擊者來說又多了一道關卡。

基本介紹

  • 中文名:隔離區
  • 外文名:demilitarized zone
  • 簡稱:DMZ區
  • 別名非軍事化區
  • 解釋:一個非安全系統與安全
  • 接解釋:系統之間的緩衝區
基本介紹,套用,分類,基本概念,

基本介紹

DMZ是英文“demilitarized zone”的縮寫,中文名稱為“隔離區”,也稱“非軍事化區”。它是為了解決安裝防火牆後外部網路不能訪問內部網路伺服器的問題,而設立的一個非安全系統與安全系統之間的緩衝區,這個緩衝區位於企業內部網路和外部網路之間的小網路區域內,在這個小網路區域內可以放置一些必須公開的伺服器設施,如企業Web伺服器、FTP伺服器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網路,因為這種網路部署,比起一般的防火牆方案,對攻擊者來說又多了一道關卡。

套用

DMZ防火牆方案為要保護的內部網路增加了一道安全防線,通常認為是非常安全的。同時它提供了一個區域放置公共伺服器,從而又能有效地避免一些互聯套用需要公開,而與內部安全策略相矛盾的情況發生。在DMZ區域中通常包括堡壘主機、Modem池,以及所有的公共伺服器,但要注意的是電子商務伺服器只能用作用戶連線,真正的電子商務後台數據需要放在內部網路中。

分類

在這個防火牆方案中,包括兩個防火牆,外部防火牆抵擋外部網路的攻擊,並管理所有外部網路對DMZ的訪問。內部防火牆管理DMZ對於內部網路的訪問。內部防火牆是內部網路的第三道安全防線(前面有了外部防火牆和堡壘主機),當外部防火牆失效的時候,它還可以起到保護內部網路的功能。而區域網路內部,對於Internet的訪問由內部防火牆和位於DMZ的堡壘主機控制。在這樣的結構里,一個黑客必須通過三個獨立的區域(外部防火牆、內部防火牆和堡壘主機)才能夠到達區域網路。攻擊難度大大加強,相應內部網路的安全性也就大大加強,但投資成本也是最高的。

基本概念

網路安全中首先定義的區域是trust區域和untrust區域,簡單說就是一個是區域網路(trust),是安全可信任的區域,一個是untrust,是不安全不可信的區域。防火牆默認情況下是阻止對trust的訪問,當有伺服器在trust區域的時候,一旦出現需要對外提供服務的時候就比較麻煩。
所以定義出一個DMZ的非軍事區域,讓trust和untrust都可以訪問的一個區域,即不是絕對的安全,也不是絕對的不安全,這就是設計DMZ區域的核心思想。

相關詞條

熱門詞條

聯絡我們