首页
|
/
服务咨询
ITSS运维技术服务
人工智能技术服务
培训技术服务
油水井智能硬件服务
油水井智能平台技术服务
|
/
产品中心
人工智能剩余油分析专家
油井压裂效果人工智能分析顾问
油水井智能管家
油水井智能工作站
智能注水医生
智能综合调整方案辅助决策
全球油气藏大数据舆情情报中心
|
/
关于正方
公司简介
视听正方
行业咨询
院士工作站
|
/
联系我们
网络建设实践
2021-04-09 11:15
网络建设实践
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器等。DMZ防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是非常安全的。同时它提供了一个区域放置公共服务器,从而又能有效地避免一些互联应用需要公开,而与内部安
全策略相矛盾的情况发生。
一般网络分成内网和外网,也就是LAN和WAN,那么,当你有1台物理位置上的1台服务器,需要被外网访问,并且,也被内网访问的时候,那么,有2种方法,一种是放在LAN中,一种是放在DMZ。因为防火墙默认情况下,是为了保护内网的,所以,一般的策略是禁止外网访问内网,许可内网访问外网。但如果这个服务器能被外网所访问,那么,就意味着这个服务器已经处于不可信任的状态,那么,这个服务器就不能(主动)访问内网。所以,如果服务器放在内网(通过端口重定向让外网访问),一旦这个服务器被攻击,则内网将会处于非常不安全的状态。
但DMZ就是为了让外网能访问内部的资源,也就是这个服务器,而内网呢,也能访问这个服务器,但这个服务器是不能主动访问内网的。DMZ就是这样的一个区域。为了让物理位置在内网的,并且,希望能被外网所访问的这样的一个区域。
一个典型的
DMZ
区的应用图,用户将
Web
、
Mail
、
FTP
等需要为内部和外部网络提供服务的服务器放置到防火墙的
DMZ
区内。通过合理的策略规划,使
DMZ
中服务器既免受到来自外网络的入侵和破坏,也不会对内网中的机密信息造成影响。
DMZ
服务区好比一道屏障,在其中放置外网服务器,在为外网用户提供服务的同时也有效地保障了内部网络的安全。
DMZ
应用
在一个用路由器连接的局域网中
,
我们可以将网络划分为三个区域:安全级别最高的
LAN Area
(内网)
,
安全级别中等的
DMZ
区域和安全级别最低的
Internet
区域(外网)。三个区域因担负不同的任务而拥有不同的访问策略。我们在配置一个拥有
DMZ
区的网络的时候通常定义以下的访问控制策略以实现
DMZ
区的屏障功能。
1、
内网可以访问外网
内网的用户需要自由地访问外网。在这一策略中,防火墙需要执行
NAT
。
2
、内网可以访问
DMZ
此策略使内网用户可以使用或者管理
DMZ
中的服务器。
3
、外网不能访问内网
这是防火墙的基本策略了,内网中存放的是公司内部数据,显然这些数据是不允许外网的用户进行访问的。如果要访问,就要通过
VPN
方式来进行。
4
、外网可以访问
DMZ
DMZ
中的服务器需要为外界提供服务,所以外网必须可以访问
DMZ
。同时,外网访问
DMZ
需要由防火墙完成对外地址到服务器实际地址的转换。
5
、
DMZ
不能访问内网
如不执行此策略,则当入侵者攻陷
DMZ
时,内部网络将不会受保护。
6
、
DMZ
不能访问外网
此条策略也有例外,比如我们的例子中,在
DMZ
中放置邮件服务器时,就需要访问外网,否则将不能正常工作。
在没有
DMZ
的技术之前,需要使用外网服务器的用户必须在其防火墙上面开放端口(就是
Port Forwarding
技术)使互联网的用户访问其外网服务器,显然,这种做法会因为防火墙对互联网开放了一些必要的端口降低了需要受严密保护的内网区域的安全性,黑客们只需要攻陷外网服务器,那么整个内部网络就完全崩溃了。
DMZ
区的诞生恰恰为需用架设外网服务器的用户解决了内部网络的安全性问题
。
DMZ
技术在正方软件油水井团队得到了广泛的应用,正方软件油水井团队数据采集方面也是通过D
MZ
技术实现中国石油内部外部网络的安全传输,大大的提高了互联网安全传输标准。
电话咨询:020-000000
QQ咨询:258506508
微信客服
扫码咨询