DMZ (Demilitarized Zone) 就是一個放置於「內部網域」及「網際網域」之間作為緩衝區域的小型網域。通常要 提供給外界存取的 Server,會放到 DMZ,例如:Web、FTP、DNS 等等,而這些 Server 都有幾個共同點:

1. 提供服務給外界存取。

2. Server 內沒有任何機密資料。

3. 這些 Server 是可以被入侵的,可以被病毒感染的。

並不是說放在 DMZ 的 Server 就是直接對外,還是要開 port 還是要應對 IP,因此基本的安全性還是有的,但是這些 Server(Web、FTP、DNS)提供服務給外界「所有人」存取(包含駭客、病毒),因此這些 Server 的風險是比較高的。如果將這些高風險的電腦,跟資料庫或是其他機密資料放在同一個區域,會有更危險的問題,因此在「兩害取其輕」的原則下,才會有 DMZ 這個區域的誕生。

等於 DMZ 是和 LAN 切開,不屬於同一個網段,所以被侵入的話,並不影響 LAN 的運作,DMZ 也仍然受防火牆的管制。

DMZ 只是個概念,並不是真的有個實體區域或設備叫 DMZ。如同 LAN 或 WAN 兩字所要表達的概念是同一類的。凡是符合以下規範的,都算是 DMZ:

1. LAN 和 WAN 到 DMZ 均可通(外至內通訊全開)

2. DMZ 到 LAN 和 WAN 均不通(內至外通訊全關)

所以要達成以上的方法很多,只是一般防火牆多會將以上規則設定在一個實體 port 上,所以接到這 port 的所有電腦,其網路環境就會同時受到以上規範,也就是都處在 DMZ 中了!

【參考資料】
1. 到底什麼是 DMZ(轉貼,網管知識)
2. 一般來說哪些SERVER會規劃到DMZ裡面?DMZ又要怎麼使用?!
3. DMZ是硬體還是軟體

文章標籤
創作者介紹

chi0*: 騏格子

騏騏 發表在 痞客邦 PIXNET 留言(0) 人氣()