為什么您的網絡需要 DMZ 及其工作原理。在網絡安全中，DMZ 提供額外的安全性來保護自己免受LAN 中的外部攻擊?！癉MZ”一詞起源于非軍事區，這是朝鮮戰爭末期在韓國和朝鮮之間設置的地理緩沖區。就像韓國邊界 DMZ 一樣，網絡 DMZ 可防止流量進入專用業務網絡。因此，無論網絡規模如何， DMZ 對于網絡安全都至關重要。它們通過最小化內部服務器和數據訪問來提供額外的安全層。讓我們從為什么您的網絡中需要 DMZ 及其工作原理開始。

什么是隔離區？

隔離區(DMZ)配置是邏輯或物理子網，可將內部 LAN 與公共互聯網等不受信任的流量隔離開來。基本上，DMZ位于公共互聯網和專用網絡之間，以確保內部網絡的安全。本質上，公共互聯網上提供的所有服務都應在DMZ網絡中啟動。這些包括郵件、Web、互聯網協議語音(VoIP)、域名系統(DNS)、代理服務器和文件傳輸協議(FTP)。

DMZ 網絡中的服務器和資源可從互聯網訪問，但內部 LAN 的訪問受到嚴格限制。因此，內部 LAN 具有額外的保護層，使黑客難以直接從 Internet訪問內部服務器或數據。另一方面，網絡犯罪分子和黑客仍然有可能訪問在 DMZ 服務器上提供服務的系統。因此，應加強這些服務器的安全性，使其能夠抵御不斷的攻擊。DMZ 網絡的主要目標是使組織能夠訪問公共互聯網，同時確保其LAN或專用網絡的安全。

DMZ 的目的是什么？

DMZ 的目的是保護漏洞最多的主機。總而言之，DMZ 主機通常涉及延伸至 LAN 外部用戶的服務。攻擊的可能性很高，因此將它們放入受監控的子網中至關重要。反過來，這確保了網絡的其余部分即使最終受到威脅也是安全的。此外，DMZ 網絡中的主機具有訪問內部網絡內部服務的權限。但是，這種訪問受到嚴格控制，因為通過 DMZ 傳遞的數據不一定安全。

DMZ 示例

如果您實施了 DMZ，您應該找到涉及外部網絡的所有服務。這些包括：

郵件服務器——包含登錄憑證和敏感消息的用戶數據庫和電子郵件通常存儲在無法直接訪問互聯網的服務器上。在這里，在 DMZ 內創建了一個電子郵件服務器，用于訪問電子郵件數據庫并與之交互，同時保護它免受潛在有害流量的影響。
Web 服務器——用于與內部數據庫服務器通信的 Web 服務器應該放在DMZ內以保護數據庫。通常，這些數據庫存儲敏感信息，有效保護它們至關重要?；旧?，Web 然后直接與內部數據庫服務器或通過應用程序防火墻交互，同時仍然受到 DMZ 的保護。
FTP 服務器——基于FTP協議的數據傳輸服務器提供跨 Internet 和本地網絡的無縫文件傳輸。因此，您需要存儲與關鍵內部系統隔離的FTP 服務器。

自防火墻問世以來，DMZ 網絡一直是企業網絡安全的重要組成部分。通過 DMZ 網絡，它們有助于保護敏感資源和資源。此外，DMZ 網絡還用于：

• 分離和隔離來自內部網絡的所有潛在威脅。
• 控制和最小化外部用戶對系統的訪問。
• 通過托管公司資源向外部用戶授予對某些資源的授權訪問權限。

因此，DMZ對于大型組織和個人用戶的網絡安全都至關重要。額外的安全層通過限制對數據和內部服務器的訪問來保護您的網絡。

DMZ 是如何工作的？

擁有公共網站的企業必須使其Web 服務器可從 Internet 訪問。這將整個內部網絡置于高風險之中。但是，如果組織在防火墻上托管其網站或公共服務器，則可以輕松避免這種風險。但是，這可能會對性能產生負面影響。這就是 DMZ 的用武之地。

毫無疑問，DMZ 網絡充當組織的專用網絡和 Internet 之間的緩沖區。由安全網關隔開，例如防火墻，它過濾 LAN 和 DMZ 之間的流量。同時，默認的 DMZ 服務器由不同的網關保護，該網關過濾來自外部網絡的入站流量。它最好位于兩個防火墻之間。

同樣，DMZ 防火墻結構確保入站數據包在訪問托管在 DMZ 中的服務器之前受到防火墻或任何其他安全工具的監控。即使惡意攻擊者設法繞過第一道防火墻，DMZ 也能確保他們無法破壞內部網絡。

如果攻擊者穿透外部防火墻并破壞 DMZ 內的系統，攻擊者仍然需要繞過內部防火墻才能訪問敏感的業務數據。萬一老練的黑客破壞了安全的 DMZ，您會收到來自內置警報系統的持續攻擊警告。

必須遵守某些行業法規（如PCI DSS）的組織必須在 DMZ 中安裝代理服務器。這使得過濾網站內容變得容易，并簡化了用戶活動的監控和記錄。

DMZ 網絡的架構和設計

有多種方法可以使用 DMZ 創建網絡。這些是單防火墻和雙防火墻。這兩個系統都可以擴展以設置滿足網絡要求的復雜 DMZ 架構：

1. 單一防火墻——這是網絡架構的首選方法。包括帶有至少 3 個網絡接口的單個??防火墻。DMZ 位于此防火墻內。總而言之，它連接到外部網絡設備，這是由 ISP 完成的。第二個網絡設備連接內部網絡，而第三個設備管理 DMZ 內部的連接。

2. 雙防火墻——實施 DMZ 網絡最安全的方法是使用兩個防火墻。初始防火墻稱為前端防火墻，僅設計為允許流向 DMZ 的流量。第二個防火墻稱為后端防火墻，只負責從 DMZ 流向內部網絡的流量。為進一步增強網絡安全，最好使用多家提供商的防火墻，以減少出現類似安全漏洞的可能性。更不用說，為大型網絡設計 DMZ 是一種更高效但成本更高的方法。

有了 DMZ，組織可以微調不同的網絡部分。總而言之，您可以在 DMZ 內配置入侵防御系統 (IPS) 或入侵檢測系統 ( IDS )，以阻止除對傳輸控制協議 (TCP) 端口 443 的超文本傳輸??協議安全 (HTTPS) 請求之外的所有流量。

DMZ 有什么好處？

使用 DMZ 的主要好處是它通過限制對服務器和敏感信息的訪問為內部網絡提供額外的高級保護層。這可以實現安全瀏覽并保護網站和最終用戶。此外，DMZ 還提供安全優勢，例如：

訪問控制

企業通過公共互聯網向客戶提供網絡外部服務的訪問權限。DMZ 網絡支持這種訪問，同時保證網絡分段，使未經授權的用戶難以訪問專用網絡。代理服務器也包含在 DMZ 中，這簡化了它的監控和日志記錄，并集中了內部流量。

防止網絡偵察

對于DMZ，它在互聯網和專用網絡之間創建了一個緩沖區。因此，它有助于防止攻擊者執行為尋找潛在目標而進行的偵察。位于 DMZ 內的服務器不向公眾公開。相反，他們有一個額外的防火墻協議，限制任何人分析內部網絡。

防止網絡欺騙

到目前為止，網絡攻擊者通常通過冒充已獲批準的設備和偽造 Internet 協議地址來訪問 IT 系統。但是，DMZ 能夠追蹤并阻止這種嘗試，因為不同的服務會確認 Internet 協議地址的合法性。也就是說，DMZ 允許組織流量的網絡分段，并在不訪問專用內部網絡的情況下提供對服務的訪問。

DMZ 的缺點是什么？

DMZ 的一些缺點包括：

無內部保護

員工等授權用戶仍然可以訪問為您的企業存儲的敏感信息。可以肯定的是，您的業務網絡并不能完全抵御內部威脅。

不提供全面保護

每天都有網絡攻擊者設計復雜的繞過安全系統的攻擊方法，DMZ 服務器無法保證 100% 的安全。即使您的 DMZ 設置已完成，請記住仍要監控您的網絡環境。

耗時

配置 DMZ 網絡非常耗時。隨著智能云技術的出現，DMZ 變得不那么重要了。

DMZ 的應用

以下是 DMZ 的一些實際應用：

云端服務

各種云計算服務采用混合安全。這涉及在虛擬網絡和組織的本地網絡之間實施 DMZ 。當業務應用程序在虛擬網絡上運行且部分在本地運行時，這種安全方法至關重要。DMZ 在審計出站流量或在本地數據中心和虛擬網絡之間強制進行精細流量控制時也很有用。

家庭網絡

您可以在家庭網絡中實施 DMZ，其中啟用互聯網的設備通過 LAN 配置或寬帶路由器連接到互聯網。一些家用路由器帶有 DMZ 主機功能。

工業控制系統 (ICS)

DMZ 為ICS 面臨的安全風險提供了潛在的解決方案。智能工業機械在生產環境中效率更高。但是，這確實擴大了威脅面。大多數連接到互聯網的操作技術 (OT) 機器并不是像 IT 設備設計的那樣用于處理攻擊。DMZ 可以增加網絡分段，使勒索軟件和其他威脅更難占據 IT 系統和更易受攻擊的 OT 組件之間的空間。

結論

隔離區有助于維護高級別的企業安全性，同時使用戶能夠與外部連接進行交互。目前，大多數組織都依賴Web 應用程序或云服務來提供服務。因此，幾乎不可能完全限制對內部網絡的訪問。因此，在 LAN 和 Internet 之間實施 DMZ 可以實現安全的外部訪問。如果您有面向公共互聯網的應用程序或業務系統，則應將其放在 DMZ 中。