什么是DMZ網(wǎng)絡(luò)？在網(wǎng)絡(luò)中，DMZ是一個(gè)邏輯或物理子網(wǎng)絡(luò)，其中包含連接到 Internet 的大多數(shù)網(wǎng)絡(luò)外部組合服務(wù)。它的主要目標(biāo)是給了另一個(gè)保護(hù)層的局域網(wǎng)（LAN）。任何需要與外部網(wǎng)絡(luò)或 Internet 接口的服務(wù)器的網(wǎng)絡(luò)服務(wù)都可以在 DMZ 中進(jìn)行修復(fù)。放置在 DMZ 中的最典型服務(wù)包括 FTP 服務(wù)器、電子郵件服務(wù)器、VoIP 服務(wù)器和Web 服務(wù)器。選擇在 DMZ 內(nèi)設(shè)置什么服務(wù)器是基于整個(gè)計(jì)算機(jī)安全策略的建立和資源分析放置在主域之外的缺點(diǎn)。

在機(jī)器網(wǎng)絡(luò)中，DMZ 有時(shí)也被標(biāo)識(shí)為外圍網(wǎng)絡(luò)或選定的子網(wǎng)絡(luò)。面向外部的服務(wù)器、資源和服務(wù)也放置在非軍事區(qū)。因此，它們可以從 Internet 獲得，但內(nèi)部 LAN 的其余部分仍然無法訪問。這為 LAN 提供了額外的保護(hù)層，因?yàn)樗档土撕诳屯ㄟ^ Web 快速訪問內(nèi)部服務(wù)器和數(shù)據(jù)的能力。

在公共互聯(lián)網(wǎng)上授予用戶的任何服務(wù)都應(yīng)位于 DMZ 網(wǎng)絡(luò)中。其中一些最典型的服務(wù)包括網(wǎng)絡(luò)服務(wù)器和代理服務(wù)器，還有 IP 語音 (VoIP)、電子郵件服務(wù)器、文件傳輸協(xié)議 (FTP) 和域名系統(tǒng) (DNS)。黑客和網(wǎng)絡(luò)犯罪分子可以從任何地方訪問在 DMZ 中運(yùn)行這些服務(wù)的系統(tǒng)，并且需要加強(qiáng)以承受反復(fù)干預(yù)。

DMZ網(wǎng)絡(luò)架構(gòu)

有許多方法可以設(shè)計(jì)帶有 DMZ 的網(wǎng)絡(luò)。兩種基本方法是應(yīng)用一個(gè)或兩個(gè)防火墻，盡管當(dāng)前大多數(shù) DMZ 都設(shè)計(jì)有兩個(gè)防火墻。可以根據(jù)網(wǎng)絡(luò)規(guī)范開發(fā)此基本策略以構(gòu)建復(fù)雜的體系結(jié)構(gòu)。可以使用至少具有三個(gè)網(wǎng)絡(luò)接口的單個(gè)??防火墻來形成包含 DMZ的網(wǎng)絡(luò)架構(gòu)。外部網(wǎng)絡(luò)是通過ISP連接加入公共互聯(lián)網(wǎng)到第一個(gè)網(wǎng)絡(luò)接口上的防火墻，內(nèi)部排列由第二個(gè)網(wǎng)絡(luò)接口組成，DMZ網(wǎng)絡(luò)本身結(jié)合到第三個(gè)網(wǎng)絡(luò)接口。有很多技術(shù)可以構(gòu)建覆蓋 DMZ 的網(wǎng)絡(luò)。兩個(gè)最普遍部署的系統(tǒng)是三足模型（單防火墻）和雙防火墻中的網(wǎng)絡(luò)。根據(jù)業(yè)務(wù)或組織要求，所有這些主要架構(gòu)設(shè)置都可以進(jìn)一步發(fā)展以形成復(fù)雜的網(wǎng)絡(luò)架構(gòu)。

三足DMZ模型（單一防火墻）

三足 DMZ 模型使用具有至少三個(gè)網(wǎng)絡(luò)接口的單個(gè)??防火墻來構(gòu)建包含 DMZ 的架構(gòu)。在這種安排中，外部網(wǎng)絡(luò)從 Internet 服務(wù)提供商創(chuàng)建或制作到第一個(gè)網(wǎng)絡(luò)接口上的網(wǎng)絡(luò)防火墻。從第三個(gè)網(wǎng)絡(luò)接口創(chuàng)建網(wǎng)絡(luò) DMZ，然后從第二個(gè)網(wǎng)絡(luò)接口獲取內(nèi)部網(wǎng)絡(luò)。在三足模型中，防火墻成為整個(gè)網(wǎng)絡(luò)的單點(diǎn)故障。能夠管理綁定到 DMZ 和內(nèi)部網(wǎng)絡(luò)的所有流量也很重要。在此模型中表示網(wǎng)絡(luò)架構(gòu)時(shí)，通常使用顏色代碼來解釋網(wǎng)絡(luò)區(qū)域。綠色通常用于指定 DMZ，紫色用于內(nèi)部 LAN，紅色用于 Internet，不同的顏色用于指定任何持續(xù)存在的無線網(wǎng)絡(luò)區(qū)域。

雙防火墻 DMZ 模型

為了形成更可靠的網(wǎng)絡(luò) DMZ，可以利用兩個(gè)防火墻來設(shè)置架構(gòu)。“前端”防火墻設(shè)置為僅允許流量往返于 DMZ。然后將“后端”防火墻設(shè)置為從 DMZ 到內(nèi)部網(wǎng)絡(luò)的交叉流量。雙防火墻或雙防火墻模型被認(rèn)為比三足 DMZ 選項(xiàng)更安全，因?yàn)楸仨殔f(xié)商兩個(gè)防火墻才能使網(wǎng)絡(luò)受到威脅。一些公司甚至采用兩家不同公司提供的防火墻，以減少黑客利用相同安全漏洞到達(dá)內(nèi)部網(wǎng)絡(luò)的可能性。

DMZ 網(wǎng)絡(luò)如何工作？

DMZ 與互聯(lián)網(wǎng)、DMZ 與 LAN、LAN 與互聯(lián)網(wǎng)的多套防火墻實(shí)踐，嚴(yán)格管理允許哪些端口和何種流量從互聯(lián)網(wǎng)進(jìn)入 DMZ，從而限制與特定主機(jī)的連接。內(nèi)部網(wǎng)絡(luò)并限制從 DMZ 等到 Internet 或內(nèi)部 LAN 的未請(qǐng)求連接。構(gòu)建 DMZ 網(wǎng)絡(luò)的更大的受保護(hù)方法是雙防火墻方法，其中部署了兩個(gè)防火墻，DMZ 網(wǎng)絡(luò)位于它們之間。第一個(gè)防火墻，也稱為外圍防火墻，配置為只讓外部流量保留給 DMZ。第二個(gè)或內(nèi)部防火墻只允許從 DMZ 到內(nèi)部網(wǎng)絡(luò)的流量。這被認(rèn)為是更受保護(hù)的，因?yàn)樵谌肭终哌M(jìn)入內(nèi)部 LAN 之前需要協(xié)商兩個(gè)設(shè)備。由于 DMZ 是網(wǎng)絡(luò)的一部分，因此可以特別針對(duì)每個(gè)部分調(diào)整安全控制。例如，位于 DMZ 并實(shí)施 Web 服務(wù)的網(wǎng)絡(luò)中斷檢測和阻止系統(tǒng)可以配置為阻止除 HTTPS 請(qǐng)求之外的所有流量到 TCP 端口 443。

DMZ 如何運(yùn)作？

DMZ 旨在充當(dāng)公共互聯(lián)網(wǎng)和組織網(wǎng)絡(luò)之間的緩沖區(qū)。在兩個(gè)防火墻之間部署 DMZ 表示所有入站網(wǎng)絡(luò)數(shù)據(jù)包在出現(xiàn)在組織在 DMZ 中托管的服務(wù)器之前都使用防火墻或其他安全設(shè)備進(jìn)行選擇。這應(yīng)該足以阻止最意想不到的威脅線索。如果準(zhǔn)備好的威脅能夠通過第一個(gè)防火墻，那么他們必須在未獲批準(zhǔn)的情況下訪問這些服務(wù)，然后才能造成任何傷害，并且這些系統(tǒng)有望得到加強(qiáng)以抵御此類攻擊。

最后，假設(shè)一個(gè)強(qiáng)大的威脅參與者能夠突破外部防火墻并統(tǒng)治托管在 DMZ 中的系統(tǒng)，他們?nèi)匀槐仨毻ㄟ^內(nèi)部防火墻崩潰，然后才能接觸到脆弱的企業(yè)資源。雖然即使是最安全的 DMZ 架構(gòu)也可能被頑固的攻擊者破壞，但受到攻擊的 DMZ 應(yīng)該發(fā)出警報(bào)，向安全專家提供足夠的警告，以避免對(duì)其公司的全面破壞。

DMZ 的使用

只要防火墻在實(shí)踐中，DMZ 網(wǎng)絡(luò)就一直是企業(yè)網(wǎng)絡(luò)安全的重要組成部分，并且主要出于類似的原因部署防火墻以保護(hù)脆弱的組織系統(tǒng)和設(shè)備。使用 DMZ 網(wǎng)絡(luò)的主要好處是以受保護(hù)的方式從公共互聯(lián)網(wǎng)提供對(duì)不可避免的互聯(lián)網(wǎng)服務(wù)的訪問。DMZ 網(wǎng)絡(luò)可用于分離和保留與內(nèi)部網(wǎng)絡(luò)隔離的可能目標(biāo)系統(tǒng)，還可以減少和管理組織外部對(duì)系統(tǒng)的訪問。

雖然可以通過將許多敏感資源部署在組織系統(tǒng)邊界內(nèi)來保護(hù)它們，但由于對(duì)通過公共互聯(lián)網(wǎng)獲取服務(wù)的依賴已經(jīng)演變，因此組織有必要向位于其邊界之外的用戶實(shí)施這些服務(wù)。使用 DMZ 仍然是托管公司資源的答案，以使它們可供批準(zhǔn)的用戶訪問。最近，公司選擇使用虛擬機(jī)或容器將部分網(wǎng)絡(luò)或特定應(yīng)用程序與公司環(huán)境的其余部分分離。網(wǎng)絡(luò) DMZ 將公眾與內(nèi)部網(wǎng)絡(luò)和敏感數(shù)據(jù)隔離開來。因此，對(duì)于擁有敏感數(shù)據(jù)的大型組織來說，這是一個(gè)明顯的選擇。