一、何為DMZ區

　　DMZ，即Demilitarized Zone的縮寫，直譯為非軍事區或停火區，就是指介于内網（可信任區）和外網（不可信區）之間的一個中間公共訪問區域（獨立網絡），目的在于在向外界提供在線服務的同時，阻止外部用戶直接訪問内網，以确保内部網絡環境的安全。該區域一般可以被外網用戶所訪問，但不能主動向内網發起連接請求。

　　在實際的運用中，某些主機需要對外提供服務，為了更好地提供服務，同時又要有效地保護内部網絡的安全，将這些需要對外開放的主機與内部的衆多網絡設備分隔開來，根據不同的需要，有針對性地采取相應的隔離措施，這樣便能在對外提供友好的服務的同時最大限度地保護了内部網絡。針對不同資源提供不同安全級别的保護，可以構建一個DMZ區域，DMZ可以為主機環境提供網絡級的保護，能減少為不信任客戶提供服務而引發的危險，是放置公共信息的最佳位置。在一個非DMZ系統中，内部網絡和主機的安全通常并不如人們想象的那樣堅固，提供給Internet的服務産生了許多漏洞，使其他主機極易受到攻擊。但是，通過配置DMZ，我們可以将需要保護的Web應用程序服務器和數據庫系統放在内網中，把沒有包含敏感數據、擔當代理數據訪問職責的主機放置于DMZ中，這樣就為應用系統安全提供了保障。DMZ使包含重要數據的内部系統免于直接暴露給外部網絡而受到攻擊，攻擊者即使初步入侵成功，還要面臨DMZ設置的新的障礙。在這個小網絡區域内可以放置一些必須公開的服務器設施，如HTTP、FTP、SMTP、流媒體等。

　　DMZ單防火牆架構

　　（2）雙防火牆：

　　DMZ雙防火牆架構

　　四、DMZ基本控制策略

　　在規劃DMZ區域時，可以确定以下六條基本訪問控制策略：

　　（1）.内網可以訪問外網

　　内網的用戶顯然需要自由地訪問外網。在這一策略中，防火牆需要進行源地址轉換。

　　（2）.内網可以訪問DMZ

　　此策略是為了方便内網用戶使用和管理DMZ中的服務器。

　　（3）.外網不能訪問内網

　　很顯然，内網中存放的是公司内部數據，這些數據不允許外網的用戶進行訪問。

　　（4）.外網可以訪問DMZ

　　DMZ中的服務器本身就是要給外界提供服務的，所以外網必須可以訪問DMZ。同時，外網訪問DMZ需要由防火牆完成對外地址到服務器實際地址的轉換。

　　（5）.DMZ訪問内網有限制

　　很明顯，如果違背此策略，則當入侵者攻陷DMZ時，就可以進一步進攻到内網的重要數據。

　　（6）.DMZ不能訪問外網

　　此條策略也有例外，比如DMZ中放置郵件服務器時，就需要訪問外網，否則将不能正常工作。在網絡中，非軍事區(DMZ)是指為不信任系統提供服務的孤立網段，其目的是把敏感的内部網絡和其他提供訪問服務的網絡分開，阻止内網和外網直接通信，以保證内網安全。

　　,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!