簡介概念
DMZ術語解釋
網絡設備開發商,利用這一技術,開發出了相應的防火牆解決方案。稱“非軍事區結構模式”。DMZ通常是一個過濾的子網,DMZ在内部網絡和外部網絡之間構造了一個安全地帶。
DMZ防火牆方案為要保護的内部網絡增加了一道安全防線,通常認為是非常安全的。同時它提供了一個區域放置公共服務器,從而又能有效地避免一些互聯應用需要公開,而與内部安全策略相矛盾的情況發生。在DMZ區域中通常包括堡壘主機、Modem池,以及所有的公共服務器,但要注意的是電子商務服務器隻能用作用戶連接,真正的電子商務後台數據需要放在内部網絡中。
在這個防火牆方案中,包括兩個防火牆,外部防火牆抵擋外部網絡的攻擊,并管理所有外部網絡對DMZ的訪問。内部防火牆管理DMZ對于内部網絡的訪問。内部防火牆是内部網絡的第三道安全防線(前面有了外部防火牆和堡壘主機),當外部防火牆失效的時候,它還可以起到保護内部網絡的功能。而局域網内部,對于Internet的訪問由内部防火牆和位于DMZ的堡壘主機控制。在這樣的結構裡,一個黑客必須通過三個獨立的區域(外部防火牆、内部防火牆和堡壘主機)才能夠到達局域網。攻擊難度大大加強,相應内部網絡的安全性也就大大的加強,但投資成本也是最高的。
什麼是DMZ
DMZ(Demilitarized Zone)即俗稱的非軍事區,與軍事區和信任區相對應,作用是把WEB,e-mail,等允許外部訪問的服務器單獨接在該區端口,使整個需要保護的内部網絡接在信任區端口後,不允許任何訪問,實現内外網分離,達到用戶需求。DMZ可以理解為一個不同于外網或内網的特殊網絡區域,DMZ内通常放置一些不含機密信息的公用服務器,比如Web、Mail、FTP等。這樣來自外網的訪問者可以訪問DMZ中的服務,但不可能接觸到存放在内網中的公司機密或私人信息等,即使DMZ中服務器受到破壞,也不會對内網中的機密信息造成影響。
為什麼需要DMZ
在實際的運用中,某些主機需要對外提供服務,為了更好地提供服務,同時又要有效地保護内部網絡的安全,将這些需要對外開放的主機與内部的衆多
網絡設備分隔開來,根據不同的需要,有針對性地采取相應的隔離措施,這樣便能在對外提供友好的服務的同時最大限度地保護了内部網絡。針對不同資源提供不同安全級别的保護,可以構建一個DMZ區域,DMZ可以為主機環境提供網絡級的保護,能減少為不信任客戶提供服務而引發的危險,是放置公共信息的最佳位置。在一個非DMZ系統中,内部網絡和主機的安全通常并不如人們想象的那樣堅固,提供給Internet的服務産生了許多漏洞,使其他主機極易受到攻擊。
但是,通過配置DMZ,我們可以将需要保護的Web應用程序服務器和數據庫系統放在内網中,把沒有包含敏感數據、擔當代理數據訪問職責的主機放置于DMZ中,這樣就為應用系統安全提供了保障。DMZ使包含重要數據的内部系統免于直接暴露給外部網絡而受到攻擊,攻擊者即使初步入侵成功,還要面臨DMZ設置的新的障礙。
存在意義
DMZ無疑是網絡安全防禦體系中重要組成部分,再加上入侵檢測和基于主機的其他安全措施,将極大地提高公共服務及整個系統的安全性。
