防火墻的隔離區(qū)/DMZ

防火墻的隔離區(qū)/DMZ

?? DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡不能訪問內(nèi)部網(wǎng)絡服務器的問題，而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的小網(wǎng)絡區(qū)域內(nèi)，在這個小網(wǎng)絡區(qū)域內(nèi)可以放置一些必須公開的服務器設施，如企業(yè)Web服務器、FTP服務器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡，因為這種網(wǎng)絡部署，比起一般的防火墻方案，對攻擊者來說又多了一道關卡。網(wǎng)絡結(jié)構(gòu)如下圖所示。

??? 網(wǎng)絡設備開發(fā)商，利用這一技術，開發(fā)出了相應的防火墻解決方案。稱“非軍事區(qū)結(jié)構(gòu)模式”。DMZ通常是一個過濾的子網(wǎng)，DMZ在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間構(gòu)造了一個安全地帶。網(wǎng)絡結(jié)構(gòu)如下圖所示。

??? DMZ防火墻方案為要保護的內(nèi)部網(wǎng)絡增加了一道安全防線，通常認為是非常安全的。同時它提供了一個區(qū)域放置公共服務器，從而又能有效地避免一些互聯(lián)應用需要公開，而與內(nèi)部安全策略相矛盾的情況發(fā)生。在DMZ區(qū)域中通常包括堡壘主機、Modem池，以及所有的公共服務器，但要注意的是電子商務服務器只能用作用戶連接，真正的電子商務后臺數(shù)據(jù)需要放在內(nèi)部網(wǎng)絡中。
??? 在這個防火墻方案中，包括兩個防火墻，外部防火墻抵擋外部網(wǎng)絡的攻擊，并管理所有內(nèi)部網(wǎng)絡對DMZ的訪問。內(nèi)部防火墻管理DMZ對于內(nèi)部網(wǎng)絡的訪問。內(nèi)部防火墻是內(nèi)部網(wǎng)絡的第三道安全防線(前面有了外部防火墻和堡壘主機)，當外部防火墻失效的時候，它還可以起到保護內(nèi)部網(wǎng)絡的功能。而局域網(wǎng)內(nèi)部，對于Internet的訪問由內(nèi)部防火墻和位于DMZ的堡壘主機控制。在這樣的結(jié)構(gòu)里，一個黑客必須通過三個獨立的區(qū)域(外部防火墻、內(nèi)部防火墻和堡壘主機)才能夠到達局域網(wǎng)。攻擊難度大大加強，相應內(nèi)部網(wǎng)絡的安全性也就大大加強，但投資成本也是最高的。 ?