dmz是英文“demilitarized zone”的縮寫,中文名稱為“隔離區”,也稱“非軍事化區”。它是為瞭解决安裝防火墻後外部網絡不能訪問內部網絡服務器的問題,而設立的一個非安全係統與安全係統之間的緩衝區,這個緩衝區位於企業內部網絡和外部網絡之間的小網絡區域內,在這個小網絡區域內可以放置一些必須公開的服務器設施,如企業web服務器、ftp服務器和論壇等。另一方面,通過這樣一個dmz區域,更加有效地保護了內部網絡,因為這種網絡部署,比起一般的防火墻方案,對攻擊者來說又多了一道關卡。網絡結構如右圖所示。
網絡設備開發商,利用這一技術,開發出了相應的防火墻解决方案。稱“非軍事區結構模式”。dmz通常是一個過濾的子網,dmz在內部網絡和外部網絡之間構造了一個安全地帶。網絡結構如下圖所示。
[img]http://publish.it168.com/cword/images/137920.jpg[/img] dmz防火墻方案為要保護的內部網絡增加了一道安全防綫,通常認為是非常安全的。同時它提供了一個區域放置公共服務器,從而又能有效地避免一些互聯應用需要公開,而與內部安全策略相矛盾的情況發生。在dmz區域中通常包括堡壘主機、modem池,以及所有的公共服務器,但要註意的是電子商務服務器衹能用作用戶連接,真正的電子商務後臺數據需要放在內部網絡中。
在這個防火墻方案中,包括兩個防火墻,外部防火墻抵擋外部網絡的攻擊,並管理所有內部網絡對dmz的訪問。內部防火墻管理dmz對於內部網絡的訪問。內部防火墻是內部網絡的第三道安全防綫(前面有了外部防火墻和堡壘主機),當外部防火墻失效的時候,它還可以起到保護內部網絡的功能。而局域網內部,對於internet的訪問由內部防火墻和位於dmz的堡壘主機控製。在這樣的結構裏,一個黑客必須通過三個獨立的區域(外部防火墻、內部防火墻和堡壘主機)才能夠到達局域網。攻擊難度大大加強,相應內部網絡的安全性也就大大加強,但投資成本也是最高的。 |