• DMZ 是一种边界网络,可保护组织的内部局域网免受不可信流量的侵害。
  • 公共网站需要可访问的 Web 服务器,这些服务器应通过具有强安全措施的 DMZ 与内部网络隔离开来。

本文将介绍 DMZ 网络的定义、工作原理和优势。

什么是 DMZ 网络?

DMZ,也称为隔离区,是一种中间网络,可保护组织的内部局域网免受不可信流量的影响,从而增强安全性。DMZ 网络的主要目标是在允许访问互联网等不可信网络的同时,保护组织专用局域网的安全。通常,面向外部的服务和关键服务器(如 DNS、FTP、邮件、代理、VoIP 和 Web 服务器)部署在 DMZ 中,以加强安全措施。

另请阅读: 云计算的三大安全风险

另请阅读: 最紧迫的网络安全威胁

它是如何工作的?

运营面向客户的公共网站的企业需要其 Web 服务器可在互联网上访问。为了保护内部企业网络,这些 Web 服务器部署在与内部资源隔离的独立计算机上。DMZ 有助于在受保护的业务资产(如内部数据库)与来自互联网的授权流量之间进行安全通信。DMZ 网络充当互联网与组织专用网络之间的缓冲,由防火墙或类似的安全网关保护,负责过滤 DMZ 与局域网之间的流量。DMZ 通常包含由另一个防火墙保护的服务器,该防火墙过滤来自外部网络的传入流量。

DMZ 的理想位置是位于两个防火墙之间,这种设置可确保传入的网络数据包在经过安全措施的审查后才能到达托管在 DMZ 中的服务器。这种设置增加了一层额外的防御:即使攻击者攻破了外部防火墙,他们也必须先破坏 DMZ 内经过加固的服务,然后才能访问关键业务系统。如果攻击者渗透了外部防火墙并破坏了 DMZ 系统,他们仍必须穿越内部防火墙才能访问敏感的企业数据。尽管熟练的攻击者可能会攻破安全的 DMZ,但其中的内部资源应触发警报,为任何正在进行的攻击提供早期预警。遵守监管要求(如 HIPAA)的组织可以在 DMZ 中部署代理服务器。这可以简化用户活动的监控和记录,集中进行 Web 内容过滤,并确保员工通过受控制的系统安全地访问互联网。

使用优势

DMZ 的主要优势在于通过限制对敏感数据和服务器的访问,为内部网络提供高级安全层。

  • 便于访问控制:企业允许用户通过公共互联网访问外部服务,同时利用 DMZ 进行网络分段,以防止对专用网络的未经授权访问。DMZ 可以集成代理服务器,以集中内部流量并简化对此类活动的监控和记录。
  • 阻止网络侦察:DMZ 位于互联网与专用网络之间,起到缓冲作用,可防止攻击者进行侦察以识别潜在目标。DMZ 中的服务器公开暴露,但受到防火墙的保护,该防火墙会阻止对内部网络的可见性。即使 DMZ 服务器遭到破坏,内部防火墙也会将专用网络与 DMZ 隔离开来,从而增强安全性并使外部侦察工作复杂化。