dmz主机,英语是demilitarized zone,中文为“非军事区”,为一种网络架构的布置方案,常用的架设方案是在不信任的外部网络和可信任的内部网络外,创建一个面向外部网络的物理或逻辑子网,该子网能设置用于对外部网络的服务器主机。
什么是 DMZ 网络?
DMZ 网络是一种外围网络,可保护组织的内部局域网并为其添加额外的安全层,使其免受不受信任的流量的影响。常见的 DMZ 是位于公共互联网和专用网络之间的子网。
DMZ 的最终目标是允许组织访问不受信任的网络,例如互联网,同时确保其专用网络或 LAN 保持安全。组织通常在 DMZ 中存储面向外部的服务和资源,以及用于域名系统 (DNS)、文件传输协议 (FTP)、邮件、代理、互联网协议语音 (VoIP) 和 Web 服务器的服务器。
这些服务器和资源是隔离的,并被授予对 LAN 的有限访问权限,以确保它们可以通过 Internet 访问,但内部 LAN 不能。因此,DMZ 方法使黑客更难通过 Internet 直接访问组织的数据和内部服务器。
DMZ 网络如何工作?
拥有客户使用的公共网站的企业必须使他们的网络服务器可以从互联网访问。这样做意味着将他们的整个内部网络置于高风险之中。为了防止这种情况,组织可以向托管公司付费以在防火墙上托管网站或其公共服务器,但这会影响性能。因此,公共服务器托管在独立且隔离的网络上。
DMZ 网络在 Internet 和组织的专用网络之间提供缓冲。DMZ 由安全网关(例如防火墙)隔离,该网关过滤 DMZ 和 LAN 之间的流量。默认 DMZ 服务器由另一个安全网关保护,该网关过滤来自外部网络的流量。
它理想地位于两个防火墙之间,DMZ 防火墙设置确保传入的网络数据包在进入 DMZ 中托管的服务器之前被防火墙或其他安全工具观察到。这意味着即使老练的攻击者能够通过第一道防火墙,他们也必须访问 DMZ 中的强化服务,然后才能对企业造成损害。
如果攻击者能够穿透外部防火墙并破坏 DMZ 中的系统,那么他们还必须通过内部防火墙才能访问敏感的公司数据。技术高超的不良行为者很可能能够破坏安全的 DMZ,但其中的资源应该发出警报,提供大量警告,表明正在发生破坏。
意思主机dmz