DMZ区域的作用与原理
为什么设置DMZ区?
为了安全(哈哈!)。做个假设,如果你公司的内网可以从互联网被访问的话,那么还存在什么安全?但是有些对外的服务还必须要能够从外网进行访问,在这种情况下“DMZ区”就应运而生了。
DMZ区是一个区域,她提供了对外服务器存放的位置,有了安全,也有了方便。通过下面DMZ区布置图可以加深理解.
第一种防火墙设置
第二种防火墙设置
1.概念:
DMZ是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器(如企业Web服务器、FTP服务器和论坛等);另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。
DMZ区域可以理解为一个不同于外网和内网的特殊网络区域
在一个用路由器连接的局域网中,我们可以将网络划分为三个区域:
安全级别最高的LAN Area(内网);
安全级别中等的DMZ区域;
安全级别最低的Internet区域(外网)。
三个区域因担负不同的任务而拥有不同的访问策略。
2.DMZ原理:
将部分用于提供对外服务的服务器主机划分到一个特定的子网——DMZ内,在DMZ的主机能与同处DMZ内的主机和外部网络的主机通信,而同内部网络主机的通信会被受到限制。这使DMZ的主机能被内部网络和外部网络所访问,而内部网络又能避免外部网络所得知。
3.两个防火墙之间的空间被称为DMZ:
我们在配置一个拥有DMZ区的网络的时候,通常定义以下的访问控制策略以实现DMZ区的屏蔽功能:
1、内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2、内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。
3、外网不能访问内网
很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4、外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5、DMZ不能访问内网
很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
6、DMZ不能访问外网
此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。
4.服务配置:
1、DMZ提供的服务是经过了网络地址转换(NAT)和受安全规则限制的,以达到隐蔽真实地址、控制访问的功能。首先要根据将要提供的服务和安全策略建立一个清晰的网络拓扑,确定DMZ区应用服务器的IP和端口号以及数据流向。通常网络通信流向为禁止外网区与内网区直接通信,DMZ区既可与外网区进行通信,也可以与内网区进行通信,受安全规则限制。
地址转换
2、DMZ区服务器与内网区、外网区的通信是经过网络地址转换(NAT)实现的。网络地址转换用于将一个地址域(如专用Internet)映射到另一个地址域(如Internet),以达到隐藏专用网络的目的。DMZ区服务器对内服务时映射成内网地址,对外服务时映射成外网地址。采用静态映射配置网络地址转换时,服务用IP和真实IP要一一映射,源地址转换和目的地址转换都必须要有。
DMZ区域的作用与原理相关推荐
- 华为usg6000配置手册_带你了解防火墙安全区域的作用及简单的配置,小白不要错过了...
上一篇文章<防火墙入门基础之登录Web配置界面>已经简单的介绍了关于华为防火墙的如何配置Web登录,也开始接触了关于防火墙安全区域的基本概念.其实防火墙安全区域是一个非常重要的概念,简称为 ...
- Java之String系列--intern方法的作用及原理
原文网址:Java之String系列--intern方法的作用及原理_IT利刃出鞘的博客-CSDN博客 简介 本文介绍Java的String的intern方法的原理. 常量池简介 在 JAVA 语言中 ...
- volatile关键字的作用、原理
在只有双重检查锁,没有volatile的懒加载单例模式中,由于指令重排序的问题,我确实不会拿到两个不同的单例了,但我会拿到"半个"单例. 而发挥神奇作用的volatile,可以当之 ...
- Bundler 的作用及原理
Bundler 的作用及原理 翻译 · yesmeck · Created at one year ago · Last by teacafe2000 Replied at one year ago ...
- JAVA基础加强(张孝祥)_类加载器、分析代理类的作用与原理及AOP概念、分析JVM动态生成的类、实现类似Spring的可配置的AOP框架...
1.类加载器 ·简要介绍什么是类加载器,和类加载器的作用 ·Java虚拟机中可以安装多个类加载器,系统默认三个主要类加载器,每个类负责加载特定位置的类:BootStrap,ExtClassLoader ...
- Batch Normalization的作用及原理
目录 声明 BN是什么[1] 为什么提出BN[1, 2] BN的作用及原理 加速训练,提高收敛速度[1] 缓解梯度消失(梯度爆炸)[3] 缓解过拟合[4] 其他相关问题 BN和激活函数的顺序问题[5] ...
- 【原创】uC/OS 中LES BX,DWORD PTR DS:_OSTCBCur的作用及原理
1 LES BX, DWORD PTR DS:_OSTCBCur ;OSTCBCur->OSTCBStkPtr = SS:SP!!! 2 MOV ES:[BX+2], SS ;将当前SS(栈的基 ...
- python super()方法的作用_详解python的super()的作用和原理
Python中对象方法的定义很怪异,第一个参数一般都命名为self(相当于其它语言的this),用于传递对象本身,而在调用的时候则不必显式传递,系统会自动传递.uz0免费资源网 今天我们介绍的主角是s ...
- 主从复制面试之作用和原理
主从复制面试之作用和原理 有些同学连集群和主从都分不清楚的,这里我说一下他们最本质的区别,其实也就是data-sharing和nothing-sharing的区别.集群是共享存储的.主从复制中没有任何 ...
- 常见企业拓扑Cisco配置:三层交换机互联、DHCP配置、路由器交换机配置、NAT静态地址转换、DMZ区域的ACL配置
常见企业拓扑Cisco配置:三层交换机互联.DHCP配置.路由器交换机配置.NAT静态地址转换.DMZ区域的ACL配置 网络拓扑及要求 任务一:建立三层交换机互联拓扑,A楼静态,B楼DHCP 任务二: ...
最新文章
- 编程入门python语言是多大孩子学的-Python 适合初学编程的人学吗?
- ajax、offset
- 增强型的for循环linkedlist_Java: 增强for循环针对list的时候,是严格按照list的顺序依次遍历的吗?...
- Django学习手册 - ORM 数据创建/表操作 汇总
- python删除列表中的元素
- WEB中的java.lang.ClassNotFoundException: com.mysql.jdbc.Driver
- 蔚来汽车5月份交付6711辆电动汽车 同比增长95.3%
- 。。。,带着这三点疑问,让我们层层深入的对HTTPS原理进行剖析!
- python自动化测试xpath_selenium自动化测试:5.xpath八种定位方式
- 【C++】max_element() 和 min_element()
- xmpp服务器linux,Prosody搭建xmpp服务器
- windows网卡初始化
- win7共享文件提示输入网络密码
- PCL库中I/O操作
- 本科生如何学习计算机科学与技术
- python爬b站视频_python代码福利:用requests爬取B站视频封面
- 发展智慧城市,需要重点解决哪三大问题?
- java-从菜鸟到大神
- java毕业设计大学生创业众筹系统mybatis+源码+调试部署+系统+数据库+lw
- 统计一篇英语文章每个单词出现的频率
热门文章
- 基于Python的植被覆盖度时空变化规律分析
- Linux磁盘管理(添加磁盘,分区、删除分区、格式化、挂载、卸载)
- #今日说码栏目#第四集 各类选择器
- 谷歌小恐龙PHP代码,Chrome小恐龙前端修改代码代码总结
- 判断分解的无损连接性和保持函数依赖
- python的cubes怎么使用_Python measure.marching_cubes方法代碼示例
- springBoot17_缓存:环境搭建、原理、Cacheable、CachePut、CacheEvit、Caching、阿里云镜像加速、整合redis作为缓存、缓存原理、自定义缓存
- 信息最全--MySQL循环插入测试用户数据--姓名
- GOOGLE:单一模式背后
- 热点综述 | 空间组学技术如何全面解码肿瘤微环境