2023-03-21 · 百度认证:IT168官方账号,优质数码领域创作者
dmz主机,英语是demilitarizedzone,中文为“非军事区”,为一种网络架构的布置方案,常用的架设方案是在不信任的外部网络和可信任的内部网络外,创建一个面向外部网络的物理或逻辑子网,该子网能设置用于对外部网络的服务器主机。
DMZ网络是一种外围网络,可保护组织的内部局域网并为其添加额外的安全层,使其免受不受信任的流量的影响。常见的DMZ是位于公共互联网和专用网络之间的子网。DMZ的最终目标是允许组织访问不受信任的网络,例如互联网,同时确保其专用网络或LAN保持安全。组织通常在DMZ中存储面向外部的服务和资源,以及用于域名系统(DNS)、文件传输协议(FTP)、邮件、代理、互联网协议语音(VoIP)和Web服务器的服务器。
2024-10-10 广告
DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带。网络设备开发商,利用这一技术,开发出了相应的防火墙解决方案,称“非军事区结构模式”。
也就是把你局网的这个IP地址的机器完全暴露在因特网中.比方说你这个机器有FTP服务器,直接输入你外网IP就直接连到你的FTP服务器上.否则连接不上,其实就是把所有端口映射到路由器上。
1、你局域网内的一台电脑(以IP地址划分)透过内网限制,映射到外网去,这样下载BT或电驴或迅雷速度会很快,跟UPNP功能有些类似,但比UPNP要强。不过由于DMZ直接把内网IP映射到外网,很容易受到攻击,所以防火墙一定要装。
2、DMZ无疑是网络安全防御体系中重要组成部分,再加上入侵检测和基于主机的其他安全措施,将极大地提高公共服务及整个系统的安全性。
3、针对不同资源提供不同安全级别的保护,可以考虑构建一个叫做“Demilitarized Zone”(DMZ)的区域。DMZ可以理解为一个不同于外网或内网的特殊网络区域。DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。
这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。
扩展资料:
DMZ的控制策略,当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。
1、内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2、内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。
3、外网不能访问内网
很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4、外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5、DMZ不能访问内网
很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
6、DMZ不能访问外网
此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。
参考资料来源:百度百科-DMZ主机
DMZ主机,全写Demilitarized Zone,译名为“非军事区”,又名Perimeter network,即“边界网络”、周边网络]或“对外网络”,为一种网络架构的布置方案。
常用的架设方案是在不信任的外部网络和可信任的内部网络外,创建一个面向外部网络的物理或逻辑子网,而DMZ主机子网能设置用于对外部网络的服务器主机。
例如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
扩展资料
常见的家用路由器的DMZ主机
在一些家用路由器中,DMZ是指一部所有端口都暴露在外部网络的内部网络主机,除此以外的端口都被转发。严格来说这不是真正的DMZ,因为该主机仍能访问内部网络,并非独立于内部网络之外的。但真正的DMZ是不允许访问内部网络的,DMZ和内部网络是分开的。
这种 DMZ主机并没有真正DMZ所拥有的子网划分的安全优势,其常常以一种简单的方法将所有端口转发到另外的防火墙或NAT设备上。
参考资料
2013-08-30
广告 您可能关注的内容 |