安全概念:DMZ(⾮军事化区,隔离区)
DMZ是英⽂“demilitarized zone”的缩写,中⽂名称为“”,也称“”。它是为了解决安装后外部⽹络不能访问内部的问题,⽽设⽴的⼀个⾮与安全系统之间的,这个缓冲区位于企业内部⽹络和外部⽹络之间的⼩⽹络区域内,在这个⼩⽹络区域内可以放置⼀些必须公开的服务器设施,如企业Web服务器、和论坛等。另⼀⽅⾯,通过这样⼀个DMZ区域,更加有效地保护了内部⽹络,因为这种⽹络部署,⽐起⼀般的⽅案,对攻击者来说⼜多了⼀道关卡。 简介
开发商,利⽤DMZ技术,开发出了相应的解决⽅案。称“⾮军事区结构模式”。DMZ通常是⼀个过滤的,DMZ在内部⽹络和外部⽹络之间构造了⼀个安全地带。
DMZ⽅案为要保护的内部⽹络增加了⼀道安全防线,通常认为是⾮常安全的。同时它提供了⼀个区域放置公共服务器,从⽽⼜能有效地避免⼀些互联应⽤需要公开,⽽与内部相⽭盾的情况发⽣。在DMZ区域中通常包括、Modem池,以及所有的公共服务器,但要注意的是电⼦商务服务器只能⽤作⽤户连接,真正的电⼦商务数据需要放在内部⽹络中。 在这个⽅案中,包括两个防⽕墙,外部防⽕墙抵挡外部⽹络的攻击,并管理所有外部⽹络对DMZ的访问。内部管理DMZ对于内部⽹络的访问。内部是内部⽹络的第三道安全防线(前⾯有了外部防⽕墙和),当外部防⽕墙失效的时候,它还可以起到保护内部⽹络的功能。⽽内部,对于Internet的访问由
内部和位于DMZ的控制。在这样的结构⾥,⼀个必须通过三个独⽴的区域(外部、内部防⽕墙和)才能够到达。攻击难度⼤⼤加强,相应内部⽹络的安全性也就⼤⼤加强,但投资成本也是最⾼的。
如果你的机器不提供⽹站或其他的⽹络服务的话不要设置.DMZ是把你电脑的所有端⼝开放到⽹络。
原理小型变速箱
将部分⽤于提供对外服务的服务器主机划分到⼀个特定的⼦⽹——DMZ内,在DMZ的主机能与同处DMZ内的主机和外部⽹络的主机通信,⽽同内部⽹络主机的通信会被受到限制。这使DMZ的主机能被内部⽹络和外部⽹络所访问,⽽内部⽹络⼜能避免外部⽹络所得知。
DMZ能提供对外部⼊侵的防护,但不能提供内部破坏的防护,如内部通信数据包分析和欺骗。
UniERM具备内⽹访问DMZ区服务器的分析和控制。外⽹访问DMZ区服务器的分析和控制。
概念
环氧大豆油丙烯酸酯
塔机电机DMZ(Demilitarized Zone)即俗称的⾮军事区,与军事区和信任区相对应,作⽤是把WEB,E-mail,等允许外部访问的服务器单独接在该区端⼝,使整个需要保护的内部⽹络接在信任区端⼝后,不允许任何访问,实现内分离,达到⽤户需求。DMZ可以理解为⼀个不同于或的特殊⽹络区域,DMZ内通常放
置⼀些不含机密信息的公⽤服务器,⽐如Web、Mail、FTP等。这样来⾃的访问者可以访问DMZ中的服务,但不可能接触到存放在中的公司机密或私⼈信息等,即使DMZ中服务器受到破坏,也不会对内⽹中的机密信息造成影响。[1]
控制策略
当规划⼀个拥有DMZ的⽹络时候,我们可以明确各个⽹络之间的访问关系,可以确定以下六条访问控制策略。
1.内⽹可以访问外⽹
的⽤户显然需要⾃由地访问。在这⼀策略中,需要进⾏源地址转换。对甲苯磺酸吡啶盐
2.内⽹可以访问DMZ
此策略是为了⽅便⽤户使⽤和管理DMZ中的服务器。
3.外⽹不能访问内⽹
很显然,中存放的是公司内部数据,这些数据不允许的⽤户进⾏访问。
中频加热4.外⽹可以访问DMZ
地下室排水沟
DMZ中的服务器本⾝就是要给外界提供服务的,所以必须可以访问DMZ。同时,访问DMZ需要由完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内⽹
很明显,如果违背此策略,则当⼊侵者攻陷DMZ时,就可以进⼀步进攻到的重要数据。
6.DMZ不能访问外⽹
此条策略也有例外,⽐如DMZ中放置时,就需要访问,否则将不能正常⼯作。在⽹络中,⾮军事区(DMZ)是指为不信任系统提供服务的孤⽴⽹段,其⽬的是把敏感的内部⽹络和其他提供访问服务的⽹络分开,阻⽌和直接通信,以保证内⽹安全。[1]
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议