DMZ是英文「demilitarized zone」的縮寫,中文名稱爲「隔離區」,也稱「非軍事化區」。它是爲了解決安裝防火牆後外部網絡不能訪問內部網絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩衝區,這個緩衝區位於企業內部網絡和外部網絡之間的小網絡區域內,在這個小網絡區域內能夠放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。另外一方面,經過這樣一個DMZ區域,更加有效地保護了內部網絡,由於這種網絡部署,比起通常的防火牆方案,對攻擊者來講又多了一道關卡。html
簡介安全
DMZ
防火牆方案爲要保護的內部網絡增長了一道安全防線,一般認爲是很是安全的。同時它提供了一個區域放置公共服務器,從而又能有效地避免一些互聯應用須要公開,而與內部
安全策略相矛盾的狀況發生。在DMZ區域中一般包括
堡壘主機、Modem池,以及全部的公共服務器,但要注意的是電子商務服務器只能用做用戶鏈接,真正的電子商務
後臺數據須要放在內部網絡中。
在這個
防火牆方案中,包括兩個防火牆,外部防火牆抵擋外部網絡的攻擊,並管理全部外部網絡對DMZ的訪問。內部
防火牆管理DMZ對於內部網絡的訪問。內部
防火牆是內部網絡的第三道安全防線(前面有了外部防火牆和
堡壘主機),當外部防火牆失效的時候,它還能夠起到保護內部網絡的功能。而
局域網內部,對於Internet的訪問由內部
防火牆和位於DMZ的
堡壘主機控制。在這樣的結構裏,一個
黑客必須經過三個獨立的區域(外部
防火牆、內部防火牆和
堡壘主機)纔可以到達
局域網。攻擊難度大大增強,相應內部網絡的安全性也就大大增強,但投資成本也是最高的。
若是你的機器不提供網站或其餘的網絡服務的話不要設置.DMZ是把你電腦的全部端口開放到網絡 。
原理
將部分用於提供對外服務的服務器主機劃分到一個特定的子網——DMZ內,在DMZ的主機能與同處DMZ內的主機和外部網絡的主機通訊,而同內部網絡主機的通訊會被受到限制。這使DMZ的主機能被內部網絡和外部網絡所訪問,而內部網絡又能避免外部網絡所得知。
DMZ能提供對外部入侵的防禦,但不能提供內部破壞的防禦,如內部通訊數據包分析和欺騙。
UniERM具有內網訪問DMZ區服務器的分析和控制。外網訪問DMZ區服務器的分析和控制。
概念
DMZ(Demilitarized Zone)即俗稱的非軍事區,與軍事區和信任區相對應,做用是把WEB,E-mail,等容許外部訪問的服務器單獨接在該區端口,使整個須要保護的內部網絡接在信任區端口後,不容許任何訪問,實現內
外網分離,達到用戶需求。DMZ能夠理解爲一個不一樣於
外網或
內網的特殊網絡區域,DMZ內一般放置一些不含機密信息的公用服務器,好比Web、Mail、FTP等。這樣來自
外網的訪問者能夠訪問DMZ中的服務,但不可能接觸到存放在
內網中的公司機密或私人信息等,即便DMZ中服務器受到破壞,也不會對內網中的機密信息形成影響。
[1]
控制策略
當規劃一個擁有DMZ的網絡時候,咱們能夠明確各個網絡之間的訪問關係,能夠肯定如下六條訪問控制策略。
1.內網能夠訪問外網
2.內網能夠訪問DMZ
此策略是爲了方便
內網用戶使用和管理DMZ中的服務器。
3.外網不能訪問內網
4.外網能夠訪問DMZ
5.DMZ不能訪問內網
很明顯,若是違背此策略,則當入侵者攻陷DMZ時,就能夠進一步進攻到
內網的重要數據。
6.DMZ不能訪問外網