通常要提供給外界存取的 Server 我會把它放到 DMZ,例如:Web, FTP, DNS 等等,而這些 Server 都有幾個共同點:
- 提供服務給外界存取。
- Server 內沒有任何機密資料。
- 這些 Server 是可以被入侵的,可以被病毒感染的。
並不是說放在 DMZ 的 Server 就是直接對外,你還是要開 port 還是要應對 IP,因此基本的安全性還是有的,但是這些 Server (Web, FTP, DNS) 又提供服務給外界『所有』人存取(包含駭客、病毒),因此這些 Server 的風險是比較高的。
如果將這些高風險的電腦,跟你的資料庫,或是其他機密資料放在同一個區域,這樣豈不是更危險呢?因此,在『兩害取其輕』的原則下,才會有 DMZ 這個區域的誕生。
等於DMZ是和LAN切開,不屬於同一個網段,
所以被侵入的話,並不影響LAN的運作,DMZ也仍然受防火牆的管制。
DMZ 只是個概念,並不是真的有個實體區域或設備叫 DMZ。如同LAN 或WAN兩字所要表達的概念是同一類的。凡是符合以下規範的,都算是dmz:
- LAN和WAN 到DMZ均可通(外至內通訊全開)
- DMZ到LAN和WAN 均不通(內至外通訊全關)
所以要達成以上的方法很多,只是一般防火牆多會將以上規則設定在一個實體PORT上
所以接到這port的所有電腦,其網路環境就會同時受到以上規範,也就是都處在DMZ中了!
參考資料:
到底什麼是 DMZ(轉貼,網管知識)
一般來說哪些SERVER會規劃到DMZ裡面?DMZ又要怎麼使用?!
DMZ是硬體還是軟體
沒有留言:
張貼留言