内网、DMZ、外网之间的访问规则

最新推荐文章于 2024-05-11 17:56:58 发布
最新推荐文章于 2024-05-11 17:56:58 发布
阅读量1.4w 收藏 27
点赞数 4
分类专栏: 网络安全 技术技巧
原文链接:https://www.cnblogs.com/homg/p/3345008.html
版权

两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。

当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。

 

1. 内网可以访问外网。

内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。

 

2. 内网可以访问DMZ。

此策略是为了方便内网用户使用和管理DMZ中的服务器。

 

3. 外网不能访问内网。

很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。

 

4. 外网可以访问DMZ。

DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

 

5. DMZ不能访问内网。

很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。

 

6. DMZ不能访问外网。

此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。

 

qq_16231929
关注
  • 4
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SOHO路由器虚拟服务器、DMZ配置
HelloLWei的专栏
05-19 2247
【实验拓扑】如图所示是某个SOHO用户的网络拓扑示意图。用户通过一台宽带路由器接入到Internet,希望在自己的内网架设一台Web服务器和FTP服务器为外网用户提供Web站点服务和FTP资源的下载服务。 【实验设备】ADSL接入线1条,D-Link宽带路由器 1台,测试PC 2台,Web和FTP服务器软件,网线若干条。【实验步骤】第一步:调试宽带路由器。将宽带
dmz的概念及其拓扑图
06-03
具体介绍DMZ的概念及其示范图,一定让你更加明白其作用和具体的实践操作
防火墙的内网DMZ外网的详细介绍
m0_70286718的博客
11-03 262
一般来说,外网上的防火墙规则相对宽松,允许外部用户通过合法的方式访问组织的公开服务,如网站、电子邮件服务器等。内网中的防火墙设置最为严格,只允许受信任的内部流量通过,并且提供了额外的安全机制,如入侵检测系统(IDS)和入侵防御系统(IPS)。举例:在一家科技公司的内网中,公司的内部员工可以通过内部网络访问公司的内部资源,如内部网站、数据库、文件共享服务器等。防火墙规则将限制只有经过身份验证的用户才能访问DMZ中的网银服务,确保只有合法用户能够使用该服务,同时隔离DMZ内网的连接。
dmz 外网映射
最新发布
zengliguang的专栏
05-11 456
当提到“外网映射”或“DMZ映射”时,通常是指配置路由器或防火墙的规则,使得外部网络(互联网)能够访问位于DMZ中的服务器或设备。: 在DMZ设置中,通常需要指定一个内部网络中的IP地址,这个地址对应的设备将成为DMZ主机。请记住,DMZ主机的设置应当谨慎,因为它们比内部网络中的设备更容易受到攻击。: 在路由器的管理界面中,找到“DMZ”或“DMZ设置”相关的选项。: 放置在DMZ中的设备应具有严格的安全配置,包括强密码、最新的安全补丁和仅开放必要的服务,因为它们直接暴露在互联网上。: 保存并应用设置。
防火墙实验(实现trust、untrust、DMZ区域互通)
weixin_64311421的博客
03-17 4810
通了之后在浏览器上输入192.168.81.2,输入用户密码。先给交换机LSW1接口配置划分VLAN2和VLAN3。分别在server1 和server3上测试是否成功。用LSW1上ping 防火墙10.1.255.2。在PC1上ping 10.1.255.2。在交换机上配置vlan10 vlan11。修改g1/0/2和g1/0/3连接类型。在FW1上配置一个静态路由。到这里区域内部都互通了。在LSW1上写个缺省路由。再在物理主机上ping。在server2上配置。先配置GE0/0/0。
P8 - 防火墙 之 内网外网DMZ
Yummy的博客
05-14 4407
【软考-软件设计师-历年真题-2013年上半年上午基础知识】 防火墙通常分为内网外网DMZ三个区域,按照受保护程序,从高到低正确的排列次序为(8)。 (8)A.内网外网DMZ B.外网内网DMZ C.DMZ内网外网 D.内网DMZ外网 【答案】D 【解析】本题考查防火墙的基础知识。 通过防火墙我们可以将网络划分为三个区域:安全级别最高的LAN Area (内网), 安全级别中等的DMZ区域和安全级别最低的Internet区域(外网)。三个区域因担负不同的任务而拥有不同的访问
内网访问DMZ映射后的公网地址--ASA8.0
weixin_34232363的博客
02-04 228
http://www.routsec.com/?p=80 一共三种方法: 1)      Alias command 2)      DNS re-write using Static command 3)      Hairpinning traffic with DNAT 前两种需要用域名访问,并且DNS服务器在外网,通过改写DNS记录,实际做了源地址转换,用DMZ接口地址访问DM...
内网外网ip之间的通联关系
京东放养的爬虫
12-11 3576
首先解释一下“内网”与“外网”的概念:     内网:即所说的局域网,比如学校的局域网,局域网内每台计算机的IP地址在本局域网内具有互异性,是不可重复的。但两个局域网内的内网IP可以有相同的。     外网:即互联网,局域网通过一台服务器或是一个路由器对外连接的网络,这个IP地址是惟一的。也就是说内网里所有的计算机都是连接到这一个外网IP上,通过这一个外网IP对外进行交换数据
〖Network〗宿舍配置两路由器,同时访问校园内网和校园外网
weixin_34368949的博客
05-03 272
环境:   校园宿舍,   10.x.x.x 和 172.16.x.x~172.31.x.x是校园内网,本科教务系统什么的都在上边 路由器:   路由器1(校园内网):水星MR807   路由器2(拨号上网):TP Link WR740R 达成目标:   宿舍成员通过路由器2正常访问校园外网,同时,可以正常访问校园内网。 操作步骤:   一、配置路由器1(校园内网)     1...
DMZ原理[借鉴].pdf
10-11
DMZ 区域是一个独立的网络区域,位于外网内网之间,用于隔离外网内网,保护内网中的机密信息。 DMZ 的主要作用是把 WEB、Email 等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区...
高级配置—NAT和DMZ配置[归纳].pdf
10-12
它通常用来配置外网访问内网的服务器:内网服务器依旧使用私有地址,对外提供为其分配的公网IP地址给外部网络用户访问。 3. Passthrough:对指定的IP地址不做NAT,直接按路由方式转发,它经常用于一些会受NAT影响...
防火墙升级方案.docx
03-26
1. 安全域策略:将外网设定为 untrust 区域,将内网设定为 trust 区域,服务器区域为 DMZ。 2. 流量控制:整体流量控制将划分为第一层流控、第二层流控,每一层流控下再划分三个根管道,根管道下面再划分子管道,子...
用于设置端口映射的工具
06-14
端口映射是一种网络技术,它允许用户将一个或多个外部网络端口的连接重定向到内部网络中的不同端口,通常用于访问位于内网的服务器或者服务。这个压缩包文件包含了一个名为“映射工具”的实用程序,可能是用于帮助...
服务器能力测算.docx
06-25
1.5、DMZ区 又称非军事区,介于非安全区与安全区之间,此区域按需对外网用户提供部分服务。 1.6、FC SAN 指采用光纤通道的存储区域网络,是一种将存储设备、连接设备和服务器集成在一个高速网络中的技术,SAN作为...
DMZ区的介绍及连接图
weixin_34290631的博客
05-24 1218
DMZ称为“隔离区”,也称“非军事化区”。为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部...
dmz如何获取内网数据_前端如何优雅的使用jsonp获取接口数据
weixin_29168393的博客
01-18 635
点击上方“蓝字”,发现更多精彩。在进行前后端分离项目开发过程中,我们会不可避免的在一些情况下需要进行数据跨域请求,而最常见的就是jsonp方式,先说说jsonp基本原理,用大白话来讲,就是说你将一个js文件去外部引入到页面,不管那个js地址是本地还是远程cdn在线的,我们都是可以引入进来直接使用的,跨域情况下最突出特点就是你在地址栏输入接口地址,是可以拿到后端返回数据的的,但实际去用aj...
外网的交流安全(DMZ,网闸,防火墙)
qq_40398985的博客
08-06 5612
ARP ACL 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。 访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 VTY 虚拟终端(Virtual Teletype Terminal),用于实现远程登录路由器进行管理配置。 参考资料 vty http://www.luyouqiwang.net/luyouqixiansu451.html ...
内网DMZ外网之间访问规则
weixin_30879833的博客
06-17 2503
当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间访问关系,可以确定以下六条访问控制策略。 1.内网可以访问外网 内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。 2.内网可以访问DMZ 此策略是为了方便内网用户使用和管理DMZ中的服务器。 3.外网不能访问内网 很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。 4.外网可以访问DMZ...
华为防火墙外网访问dmz
07-28
华为防火墙的配置中,外网访问DMZ的步骤如下: 1. 首先,需要创建DMZ域并将接口添加到该域中。可以使用以下命令创建DMZ域并添加接口: firewall zone name DMZ add interface GigabitEthernet 1/0/2 2. 接下来,需要将内网办公区(trust域)的接口添加到信任域中。可以使用以下命令将接口添加到trust域: firewall zone trust add interface GigabitEthernet 1/0/1 3. 最后,需要将外网接口添加到非信任域(untrust域)中。可以使用以下命令将接口添加到untrust域: firewall zone untrust add interface GigabitEthernet 1/0/3 通过以上配置,外网就可以访问DMZ中的服务器了。请注意,这只是配置的基本步骤,具体的配置可能会因网络环境和需求而有所不同。\[3\] #### 引用[.reference_title] - *1* [华为防火墙做出口网关](https://blog.csdn.net/m0_63775189/article/details/125884715)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [华为防火墙USG6000V---内网访问外网---外网访问内网服务器(NAT服务器)示例配置](https://blog.csdn.net/lehe99/article/details/127677628)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值