DMZ 是英文“Demilitarized Zone”的缩写,中文名称为“隔离区”, 与军事区和信任区相对应,也称“非军事化区”,是为了解决外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。作用是把单位的 FTP服务器、E-Mail服务器等允许外部访问的服务器单独部署在此区域,使整个需要保护的内部网络接在信任区后,不允许任何外部网络的直接访问,实现内外网分离,满足用户的安全需求。
DMZ 区可以理解为一个不同于外网或内网的特殊网络区域,DMZ 内通常放置一些不含机密信息的公用服务器,比如 WEB 服务器、E-Mail 服务器、FTP 服务器等。这样来自外网的访问者只可以访问 DMZ 中的服务,但不可能接触到存放在内网中的信息等,即使 DMZ 中服务器受到破坏,也不会对内网中的信息造成影响。DMZ 区是信息安全纵深防护体系的第一道屏障,在企事业单位整体信息安全防护体系中具有举足轻重的作用。
针对不同资源提供不同安全级别的保护,就可以考虑 构建一个 DMZ 区域。如右图所示,我们可以看到网络被划分为三个区域:安全级别最高的 LAN Area(内网),安全级别中等的 DMZ 区域和安全级别最低的 Internet 区域(外网)。右图是一个典型的 DMZ 区的构建图,用户将核心的、重要的,只为内部网络用户提供服务的服务器部署在内网,将 WEB 服务器、E-Mail 服务器、FTP 服务器等需要为内部和外部网络同时提供服务的服务器放置到防火墙后的 DMZ 区内。通过合理的策略规划,使 DMZ 中服务器既免受到来自外网络的入侵和破坏,也不会对内网中的机密信息造成影响。DMZ 服务区好比一道屏障,在其中放置外网服务器,在为外网用户提供服务的同时也有效地保障了内部网络的安全。 [1]
原理
编辑
将部分用于提供对外服务的服务器主机划分到一个特定的子网——DMZ内,在DMZ的主机能与同处DMZ内的主机和外部网络的主机通信,而同内部网络主机的通信会被受到限制。这使DMZ的主机能被内部网络和外部网络所访问,而内部网络又能避免外部网络所得知。
DMZ能提供对外部入侵的防护,但不能提供内部破坏的防护,如内部通信数据包分析和欺骗。