DMZ區,這是個什麼東東
阿新 • • 發佈:2019-01-05
您的公司有一堆電腦,但可以歸為兩大類:客戶機、伺服器。所謂客戶機就是主動發起連線請求的機器,所謂伺服器就是被動響應提供某些服務的機器。伺服器又可以分僅供企業內網使用和為外網提供服務兩種。
有句俗話,林子大了,什麼鳥都有。所以,你為外網提供服務的伺服器(如公司的對外宣傳網站)很容易被狩獵的黑客所攻擊。
所以,如果把您的對外提供服務的伺服器放到企業內網,一旦被攻陷入侵,黑客就可以利用這臺機器(肉機)做跳版,利用區域網的漏洞與共享等來攻克其他機器。因為我們有必要建立一個特殊的區,叫什麼好呢?隨便起一個,就叫DMZ吧,聽上去比較酷而已。
那為什麼不把這些對外網提供服務的機器單獨弄一條線連到公網呢?因為一般中小企業都僅有一個出口。
OK,您只要按以下規則配置防火牆,就構造了一個DMZ區(您也可以叫love區,隨您):
1.內網可以訪問外網
內網的使用者顯然需要自由地訪問外網。在這一策略中,防火牆需要進行源地址轉換。
2.內網可以訪問DMZ
此策略是為了方便內網使用者使用和管理DMZ中的伺服器。
3.外網不能訪問內網
很顯然,內網中存放的是公司內部資料,這些資料不允許外網的使用者進行訪問。
4.外網可以訪問DMZ
DMZ中的伺服器本身就是要給外界提供服務的,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火牆完成對外地址到伺服器實際地址的轉換。
5.DMZ不能訪問內網
很明顯,如果違背此策略,則當入侵者攻陷DMZ時,就可以進一步進攻到內網的重要資料。
6.DMZ不能訪問外網
此條策略也有例外,比如DMZ中放置郵件伺服器時,就需要訪問外網,否則將不能正常工作。
有句俗話,林子大了,什麼鳥都有。所以,你為外網提供服務的伺服器(如公司的對外宣傳網站)很容易被狩獵的黑客所攻擊。
所以,如果把您的對外提供服務的伺服器放到企業內網,一旦被攻陷入侵,黑客就可以利用這臺機器(肉機)做跳版,利用區域網的漏洞與共享等來攻克其他機器。因為我們有必要建立一個特殊的區,叫什麼好呢?隨便起一個,就叫DMZ吧,聽上去比較酷而已。
那為什麼不把這些對外網提供服務的機器單獨弄一條線連到公網呢?因為一般中小企業都僅有一個出口。
OK,您只要按以下規則配置防火牆,就構造了一個DMZ區(您也可以叫love區,隨您):
1.內網可以訪問外網
內網的使用者顯然需要自由地訪問外網。在這一策略中,防火牆需要進行源地址轉換。
2.內網可以訪問DMZ
此策略是為了方便內網使用者使用和管理DMZ中的伺服器。
3.外網不能訪問內網
很顯然,內網中存放的是公司內部資料,這些資料不允許外網的使用者進行訪問。
4.外網可以訪問DMZ
DMZ中的伺服器本身就是要給外界提供服務的,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火牆完成對外地址到伺服器實際地址的轉換。
5.DMZ不能訪問內網
很明顯,如果違背此策略,則當入侵者攻陷DMZ時,就可以進一步進攻到內網的重要資料。
6.DMZ不能訪問外網
此條策略也有例外,比如DMZ中放置郵件伺服器時,就需要訪問外網,否則將不能正常工作。