DMZ 是英文“Demilitarized Zone”的缩写,中文名称为“隔离区”。
为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,一个位于内部网络与外部网络之间的缓冲区被设置,这个网络区域内放置了一些公开的服务器资源,例如FTP服务器、E-Mail服务器以及网站服务器等,为外部用户访问提供了便利。这些服务器允许外部用户访问,但不能接触到存放在内网中的信息。即使黑客入侵了DMZ 中的服务器,也不会对公司内部网络的安全造成影响。DMZ 不允许任何外部网络直接访问,实现了内外网的有效分离,为企业信息安全防护增加了一道屏障。
DMZ区域针对不同资源提供不同安全级别的保护,网络主要分为三个区域:安全级别最高的内网,安全级别中等的DMZ区域和安全级别最低的外网。
公司可以将核心和重要的,只供内部网络用户提供的服务器部署在内网,将WEB服务器、E-Mail服务器、FTP服务器等需要为内部和外部网络同时提供服务的服务器放置到防火墙后的DMZ区内。
通过合理的策略规划,使DMZ中服务器不但免受到来自外网络的入侵和破坏,也不会对内网中的服务器或机密信息造成影响。
DMZ区域的应用,分为三个区域负责不同的工作任务也拥有不同的访问策略。
1.内网可以访问外网
内网的用户可以没有限制地访问外网。在这个策略中,防火墙需要进行源地址转换。
2.内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网
内网中存放了很多公司内部文件,不允许外网的用户访问这些数据。
4.外网可以访问DMZ
DMZ中的服务器就是要给外网用户提供服务,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ访问内网的限制
当入侵者攻击DMZ时,就可以保护内网的重要数据。
6.DMZ不能访问外网
DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(DMZ)目的是把内部网络和其他访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。
如果没有DMZ的设置,需要使用外网服务器的用户必须在防火墙上开放指定端口(就是Port Forwarding技术)使互联网的用户能访问外网服务器,不过,这种做法会因为防火墙对互联网开放了一些必要的端口而降低了内网区域的安全性,黑客们只需要攻击外网服务器,那么整个内部网络就完全崩溃了。DMZ区的出现刚好就是为了需要架设外网服务器的企业解决了内部网络的安全性问题。
以上就是良许教程网为各位朋友分享的Linu系统相关内容。想要了解更多Linux相关知识记得关注公众号“良许Linux”,或扫描下方二维码进行关注,更多干货等着你 !