
你好,这里是网络技术联盟站。
DMZ是计算机网络中一个重要概念,通常是指与其他设备和区域在物理或逻辑上隔离的区域。
在本文中,我们将描述什么是 DMZ、DMZ 的工作原理以及我们为什么需要使用 DMZ。
DMZ 是介于军事区和公共区之间的中间区,FW上配置的DMZ区域在逻辑上和物理上与内网和外网是分开的。
DMZ(非军事区)起源于军事,是介于严格军事区和控制松散的公共区之间的部分控制区,DMZ 充当这两个区域之间的缓冲区。计算机网络引用该术语来指代在逻辑上和物理上与内部和外部网络分开的安全区域。

DMZ
内部网络中的流量和接入设备通常被视为安全可信,而外部网络中的流量和接入设备则被视为潜在威胁,相比之下,外部网络上的流量和访问设备被视为潜在威胁,而 DMZ 则介于两者之间,充当安全和不安全区域之间的桥梁。
在讨论 DMZ 的工作原理之前,我们需要了解计算机网络安全中的一些概念。
假设我们要访问我们内网上的一个服务器,我们的流量会通过互联网到达服务器所在网络的公共出口防火墙,在这种情况下,由于我们的 Internet 区域是 Untrust 区域,出于安全考虑,我们的流量会被定向到 DMZ 区域中的服务器,然后 DMZ 区域中的服务器会访问 Trust 区域中的数据。
信任区的服务器将我们需要的数据返回给DMZ区的这个“代理服务器”,然后“代理服务器”返回给我们,在这个过程中,我们在内网服务器上获取了我们需要的数据,但是我们没有直接访问服务器的权限。DMZ 区域充当中间的隔离器。

当黑客攻击站点时,攻击流量会被转发到DMZ区域,从而阻断,防止真实数据受到攻击。
一般来说,DMZ区可以带来以下好处:
通常,区域间的流动就像瀑布的水,只能从安全性高的区域流向安全性低的区域。

默认情况下,DMZ 区域的安全级别低于内部网络,因此 LAN 网络无法访问。
但是也有一些特殊情况:比如WEB服务器放在DMZ区,而后端数据库放在局域网中,这就需要DMZ中的某些服务器可以访问局域网特殊机器上的特殊端口.
出于安全考虑,我们还将防火墙配置为只允许DMZ内的特定服务器访问内网特定数据库的特定端口,从而降低安全风险。
另一方面,设备通常允许管理员配置策略以允许流量从 Untrust 区域或 DMZ 区域流向 Trust 区域。
对于一些家用路由器或ONT设备,如华为EG8245H5,它为管理员提供了DMZ选项,以便管理员可以在DMZ区域中设置一些服务器,并隔离DMZ区域和内部区域。

在这种情况下,如果您有独立的服务器,并且想通过 Internet 访问它,建议您启用 DMZ 区域,这种网络架构比传统的网络架构更安全,另一方面,如果服务器或服务是在您自己的PC上实现的,则无需启用DMZ,因为对于唯一的PC,将其放入信任区或DMZ区没有什么区别。