什么是DMZ網絡？在網絡中，DMZ是一個邏輯或物理子網絡，其中包含連接到 Internet 的大多數網絡外部組合服務。它的主要目標是給了另一個保護層的局域網（LAN）。任何需要與外部網絡或 Internet 接口的服務器的網絡服務都可以在 DMZ 中進行修復。放置在 DMZ 中的最典型服務包括 FTP 服務器、電子郵件服務器、VoIP 服務器和Web 服務器。選擇在 DMZ 內設置什么服務器是基于整個計算機安全策略的建立和資源分析放置在主域之外的缺點。

在機器網絡中，DMZ 有時也被標識為外圍網絡或選定的子網絡。面向外部的服務器、資源和服務也放置在非軍事區。因此，它們可以從 Internet 獲得，但內部 LAN 的其余部分仍然無法訪問。這為 LAN 提供了額外的保護層，因為它降低了黑客通過 Web 快速訪問內部服務器和數據的能力。

在公共互聯網上授予用戶的任何服務都應位于 DMZ 網絡中。其中一些最典型的服務包括網絡服務器和代理服務器，還有 IP 語音 (VoIP)、電子郵件服務器、文件傳輸協議 (FTP) 和域名系統 (DNS)。黑客和網絡犯罪分子可以從任何地方訪問在 DMZ 中運行這些服務的系統，并且需要加強以承受反復干預。

DMZ網絡架構

有許多方法可以設計帶有 DMZ 的網絡。兩種基本方法是應用一個或兩個防火墻，盡管當前大多數 DMZ 都設計有兩個防火墻。可以根據網絡規范開發此基本策略以構建復雜的體系結構。可以使用至少具有三個網絡接口的單個??防火墻來形成包含 DMZ的網絡架構。外部網絡是通過ISP連接加入公共互聯網到第一個網絡接口上的防火墻，內部排列由第二個網絡接口組成，DMZ網絡本身結合到第三個網絡接口。有很多技術可以構建覆蓋 DMZ 的網絡。兩個最普遍部署的系統是三足模型（單防火墻）和雙防火墻中的網絡。根據業務或組織要求，所有這些主要架構設置都可以進一步發展以形成復雜的網絡架構。

三足DMZ模型（單一防火墻）

三足 DMZ 模型使用具有至少三個網絡接口的單個??防火墻來構建包含 DMZ 的架構。在這種安排中，外部網絡從 Internet 服務提供商創建或制作到第一個網絡接口上的網絡防火墻。從第三個網絡接口創建網絡 DMZ，然后從第二個網絡接口獲取內部網絡。在三足模型中，防火墻成為整個網絡的單點故障。能夠管理綁定到 DMZ 和內部網絡的所有流量也很重要。在此模型中表示網絡架構時，通常使用顏色代碼來解釋網絡區域。綠色通常用于指定 DMZ，紫色用于內部 LAN，紅色用于 Internet，不同的顏色用于指定任何持續存在的無線網絡區域。

雙防火墻 DMZ 模型

為了形成更可靠的網絡 DMZ，可以利用兩個防火墻來設置架構。“前端”防火墻設置為僅允許流量往返于 DMZ。然后將“后端”防火墻設置為從 DMZ 到內部網絡的交叉流量。雙防火墻或雙防火墻模型被認為比三足 DMZ 選項更安全，因為必須協商兩個防火墻才能使網絡受到威脅。一些公司甚至采用兩家不同公司提供的防火墻，以減少黑客利用相同安全漏洞到達內部網絡的可能性。

DMZ 網絡如何工作？

DMZ 與互聯網、DMZ 與 LAN、LAN 與互聯網的多套防火墻實踐，嚴格管理允許哪些端口和何種流量從互聯網進入 DMZ，從而限制與特定主機的連接。內部網絡并限制從 DMZ 等到 Internet 或內部 LAN 的未請求連接。構建 DMZ 網絡的更大的受保護方法是雙防火墻方法，其中部署了兩個防火墻，DMZ 網絡位于它們之間。第一個防火墻，也稱為外圍防火墻，配置為只讓外部流量保留給 DMZ。第二個或內部防火墻只允許從 DMZ 到內部網絡的流量。這被認為是更受保護的，因為在入侵者進入內部 LAN 之前需要協商兩個設備。由于 DMZ 是網絡的一部分，因此可以特別針對每個部分調整安全控制。例如，位于 DMZ 并實施 Web 服務的網絡中斷檢測和阻止系統可以配置為阻止除 HTTPS 請求之外的所有流量到 TCP 端口 443。

DMZ 如何運作？

DMZ 旨在充當公共互聯網和組織網絡之間的緩沖區。在兩個防火墻之間部署 DMZ 表示所有入站網絡數據包在出現在組織在 DMZ 中托管的服務器之前都使用防火墻或其他安全設備進行選擇。這應該足以阻止最意想不到的威脅線索。如果準備好的威脅能夠通過第一個防火墻，那么他們必須在未獲批準的情況下訪問這些服務，然后才能造成任何傷害，并且這些系統有望得到加強以抵御此類攻擊。

最后，假設一個強大的威脅參與者能夠突破外部防火墻并統治托管在 DMZ 中的系統，他們仍然必須通過內部防火墻崩潰，然后才能接觸到脆弱的企業資源。雖然即使是最安全的 DMZ 架構也可能被頑固的攻擊者破壞，但受到攻擊的 DMZ 應該發出警報，向安全專家提供足夠的警告，以避免對其公司的全面破壞。

DMZ 的使用

只要防火墻在實踐中，DMZ 網絡就一直是企業網絡安全的重要組成部分，并且主要出于類似的原因部署防火墻以保護脆弱的組織系統和設備。使用 DMZ 網絡的主要好處是以受保護的方式從公共互聯網提供對不可避免的互聯網服務的訪問。DMZ 網絡可用于分離和保留與內部網絡隔離的可能目標系統，還可以減少和管理組織外部對系統的訪問。

雖然可以通過將許多敏感資源部署在組織系統邊界內來保護它們，但由于對通過公共互聯網獲取服務的依賴已經演變，因此組織有必要向位于其邊界之外的用戶實施這些服務。使用 DMZ 仍然是托管公司資源的答案，以使它們可供批準的用戶訪問。最近，公司選擇使用虛擬機或容器將部分網絡或特定應用程序與公司環境的其余部分分離。網絡 DMZ 將公眾與內部網絡和敏感數據隔離開來。因此，對于擁有敏感數據的大型組織來說，這是一個明顯的選擇。