DMZ

From wikipedia

DMZ,正式名称'De Militarized Zone'，译名为“非军事区”，一种网络主机的布置方案，就是在不信任的外部网络和可信任的内部网络之间建立一个面向外部网络的物理或逻辑子网，该子网能安放用于对外部网络的服务器主机。

该方案主要用于解决使用防火墙后处于内部网络的服务器无法被外部网络访问的问题。除外，由于从外部网络进入内部网络必须要经过隔离DMZ与外部网络和隔离内部网络与DMZ之间的隔离设备（如防火墙）和处于DMZ的主机（不一定经过），比一般的防火墙方案，从外部网络入侵内部网络的难度会有所增加，从而提供对内部网络的保护。对于外部网络来说，只能访问到DMZ内的主机。

 

原理

将部分用于提供对外服务的服务器主机划分到一个特定的子网——DMZ内，在DMZ的主机能与同处DMZ内的主机和外部网络的主机通信，而同内部网络主机的通信会被受到限制。这能使DMZ的主机能被内部网络和外部网络所访问，而内部网络又能避免外部网络所得知。

DMZ能提供对外部入侵的防护，但不能提供内部破坏的防护，如内部通信数据包分析和欺骗。

网络间的访问策略

无论实现方式如何，基本上DMZ，外部网络和内部网络间根据以下的访问策略实现连接的

1.内部网络可以访问外部网络

内部网络的用户显然需要自由地访问外部网络。在这一策略中，防火墙需要进行源地址转换。

2.内部网络可以访问DMZ的主机

此策略是为了方便内部网络用户使用和管理DMZ中的服务器主机，同时也能享受这些服务器提供的服务。

3.外部网络可以访问DMZ的主机

DMZ中的服务器本身就是要给外界提供服务的，所以外部网络必须可以访问DMZ。同时，外部网络访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

4.外部网络不可以访问内部网络

很显然，内部网络中存放的是公司内部数据，这些数据不允许外部网络的用户进行访问。

5.DMZ不可以访问内部网络

很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内部网络的重要数据。

6.DMZ不可以访问外部网络

此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外部网络，否则将不能正常工作。在网络中，DMZ是指为不信任系统提供服务的孤立网段，其目的是把敏感的内部网络和其他提供访问服务的网络分开，阻止内部网络和外部网络直接通信，以保证内部网络安全。

实现架构

以下为两种基本的架构——单防火墙和双防火墙，当然，可以根据实际网络的情况，使其结构更为复杂。

单防火墙

由一个具有三个网络端口的防火墙实现，三个端口分别接入内部网络，DMZ和外部网络。防火墙按照以上访问策略实现过滤不同网络间的通信。防火墙是这个网络结构的关键节点，其必须能保护内部网络和DMZ的通信安全。

双防火墙

由两个具有两个网络端口的防火墙实现，第一层防火墙分别连接外部网络和DMZ，为外部防火墙，只负责DMZ的访问控制；第二层防火墙分别连接内部防火墙和DMZ,为内部防火墙，负责DMZ和内部网络的访问控制。 这是个比较常用的架构布置，因为外部网络要经过两层防火墙才能进入内部网络，即使外部防火墙被攻破，内部防火墙仍能发挥防护作用，能提供相对较高的防护效果，当然，该架构的成本也比较高。

家用路由器提供的DMZ

在一些家用路由器中，DMZ是指一部所有端口都暴露在外部网络的内部网络主机，除此以外的端口都被转发。严格来说这不是真正的DMZ，因为该主机仍能访问内部网络，并非独立于内部网络之外的。但真正的DMZ是不允许访问内部网络的，DMZ和内部网络是分开的。 这种DMZ主机并没有真正DMZ所拥有的子网划分的安全优势，其常常以一种简单的方法将所有端口转发到另外的防火墙或NAT设备上。