防火墻的隔離區/DMZ

防火墻的隔離區/DMZ

?? DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區”，也稱“非軍事化區”。它是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內，在這個小網絡區域內可以放置一些必須公開的服務器設施，如企業Web服務器、FTP服務器和論壇等。另一方面，通過這樣一個DMZ區域，更加有效地保護了內部網絡，因為這種網絡部署，比起一般的防火墻方案，對攻擊者來說又多了一道關卡。網絡結構如下圖所示。

??? 網絡設備開發商，利用這一技術，開發出了相應的防火墻解決方案。稱“非軍事區結構模式”。DMZ通常是一個過濾的子網，DMZ在內部網絡和外部網絡之間構造了一個安全地帶。網絡結構如下圖所示。

??? DMZ防火墻方案為要保護的內部網絡增加了一道安全防線，通常認為是非常安全的。同時它提供了一個區域放置公共服務器，從而又能有效地避免一些互聯應用需要公開，而與內部安全策略相矛盾的情況發生。在DMZ區域中通常包括堡壘主機、Modem池，以及所有的公共服務器，但要注意的是電子商務服務器只能用作用戶連接，真正的電子商務后臺數據需要放在內部網絡中。
??? 在這個防火墻方案中，包括兩個防火墻，外部防火墻抵擋外部網絡的攻擊，并管理所有內部網絡對DMZ的訪問。內部防火墻管理DMZ對于內部網絡的訪問。內部防火墻是內部網絡的第三道安全防線(前面有了外部防火墻和堡壘主機)，當外部防火墻失效的時候，它還可以起到保護內部網絡的功能。而局域網內部，對于Internet的訪問由內部防火墻和位于DMZ的堡壘主機控制。在這樣的結構里，一個黑客必須通過三個獨立的區域(外部防火墻、內部防火墻和堡壘主機)才能夠到達局域網。攻擊難度大大加強，相應內部網絡的安全性也就大大加強，但投資成本也是最高的。 ?