什么是DMZ？

　　DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内能够放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另外一方面，经过这样一个DMZ区域，更加有效地保护了内部网络，由于这种网络部署，比起通常的防火墙方案，对***者来讲又多了一道关卡。 　　网络设备开发商，利用这一技术，开发出了相应的防火墙解决方案。称“非军事区结构模式”。DMZ一般是一个过滤的子网，DMZ在内部网络和外部网络之间构造了一个安全地带。 　　DMZ防火墙方案为要保护的内部网络增长了一道安全防线，一般认为是很是安全的。同时它提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用须要公开，而与内部安全策略相矛盾的状况发生。在DMZ区域中一般包括堡垒主机、Modem池，以及全部的公共服务器，但要注意的是电子商务服务器只能用做用户链接，真正的电子商务后台数据须要放在内部网络中。 　　在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的***，并管理全部内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还能够起到保护内部网络的功能。而局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个***必须经过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才可以到达局域网。***难度大大增强，相应内部网络的安全性也就大大增强，但投资成本也是最高的。 　　若是你的机器不提供网站或其余的网络服务的话不要设置．DMZ是把你电脑的全部端口开放到网络 。 　　一：什么是DMZ 　　DMZ(Demilitarized Zone)即俗称的非军事区，与军事区和信任区相对应,做用是把WEB,e-mail,等容许外部访问的服务器单独接在该区端口，使整个须要保护的内部网络接在信任区端口后，不容许任何访问，实现内外网分离，达到用户需求。DMZ能够理解为一个不一样于外网或内网的特殊网络区域，DMZ内一般放置一些不含机密信息的公用服务器，好比Web、Mail、FTP等。这样来自外网的访问者能够访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等，即便DMZ中服务器受到破坏，也不会对内网中的机密信息形成影响。 　　二：为何须要DMZ 　　在实际的运用中，某些主机须要对外提供服务，为了更好地提供服务，同时又要有效地保护内部网络的安全，将这些须要对外开放的主机与内部的众多网络设备分隔开来，根据不一样的须要，有针对性地采起相应的隔离措施，这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。针对不一样资源提供不一样安全级别的保护，能够构建一个DMZ区域，DMZ能够为主机环境提供网络级的保护，能减小为不信任客户提供服务而引起的危险，是放置公共信息的最佳位置。在一个非DMZ系统中，内部网络和主机的安全一般并不如人们想象的那样坚固，提供给Internet的服务产生了许多漏洞，使其余主机极易受到***。可是，经过配置DMZ，咱们能够将须要保护的Web应用程序服务器和数据库系统放在内网中，把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中，这样就为应用系统安全提供了保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到***，***者即便初步***成功，还要面临DMZ设置的新的障碍。 　　三：DMZ网络访问控制策略 　　当规划一个拥有DMZ的网络时候,咱们能够明确各个网络之间的访问关系,能够肯定如下六条访问控制策略。 　　1.内网能够访问外网 　　内网的用户显然须要自由地访问外网。在这一策略中，防火墙须要进行源地址转换。 　　2.内网能够访问DMZ 　　此策略是为了方便内网用户使用和管理DMZ中的服务器。 　　3.外网不能访问内网 　　很显然，内网中存放的是公司内部数据，这些数据不容许外网的用户进行访问。 　　4.外网能够访问DMZ 　　DMZ中的服务器自己就是要给外界提供服务的，因此外网必须能够访问DMZ。同时，外网访问DMZ须要由防火墙完成对外地址到服务器实际地址的转换。 　　5.DMZ不能访问内网 　　很明显，若是违背此策略，则当***者攻陷DMZ时，就能够进一步进攻到内网的重要数据。 　　6.DMZ不能访问外网 　　此条策略也有例外，好比DMZ中放置邮件服务器时，就须要访问外网，不然将不能正常工做。在网络中，非军事区(DMZ)是指为不信任系统提供服务的孤立网段，其目的是把敏感的内部网络和其余提供访问服务的网络分开，阻止内网和外网直接通讯，以保证内网安全。 　　四：DMZ服务配置 　　DMZ提供的服务是通过了地址转换（NAT）和受安全规则限制的，以达到隐蔽真实地址、控制访问的功能。首先要根据将要提供的服务和安全策略创建一个清晰的网络拓扑，肯定DMZ区应用服务器的IP和端口号以及数据流向。一般网络通讯流向为禁止外网区与内网区直接通讯，DMZ区既可与外网区进行通讯，也能够与内网区进行通讯，受安全规则限制。 　　1 地址转换 　　DMZ区服务器与内网区、外网区的通讯是通过网络地址转换（NAT）实现的。网络地址转换用于将一个地址域（如专用Intranet）映射到另外一个地址域（如Internet），以达到隐藏专用网络的目的。DMZ区服务器对内服务时映射成内网地址，对外服务时映射成外网地址。采用静态映射配置网络地址转换时，服务用IP和真实IP要一一映射，源地址转换和目的地址转换都必需要有。 　　2 DMZ安全规则制定 　　安全规则集是安全策略的技术实现，一个可靠、高效的安全规则集是实现一个成功、安全的防火墙的很是关键的一步。若是防火墙规则集配置错误，再好的防火墙也只是摆设。在创建规则集时必须注意规则次序，由于防火墙大多以顺序方式检查信息包，一样的规则，以不一样的次序放置，可能会彻底改变防火墙的运转状况。若是信息包通过每一条规则而没有发现匹配，这个信息包便会被拒绝。通常来讲，一般的顺序是，较特殊的规则在前，较普通的规则在后，防止在找到一个特殊规则以前一个普通规则便被匹配，避免防火墙被配置错误。 　　DMZ安全规则指定了非军事区内的某一主机（IP地址）对应的安全策略。因为DMZ区内放置的服务器主机将提供公共服务，其地址是公开的，能够被外部网的用户访问，因此正确设置DMZ区安全规则对保证网络安全是十分重要的。 　　FireGate能够根据数据包的地址、协议和端口进行访问控制。它将每一个链接做为一个数据流，经过规则表与链接表共同配合，对网络链接和会话的当前状态进行分析和监控。其用于过滤和监控的IP包信息主要有：源IP地址、目的IP地址、协议类型（IP、ICMP、TCP、UDP）、源TCP/UDP端口、目的TCP/UDP端口、ICMP报文类型域和代码域、碎片包和其余标志位（如SYN、ACK位）等。 　　为了让DMZ区的应用服务器能与内网中DB服务器（服务端口400四、使用TCP协议）通讯，需增长DMZ区安全规则， 这样一个基于DMZ的安全应用服务便配置好了。其余的应用服务可根据安全策略逐个配置。 　　DMZ无疑是网络安全防护体系中重要组成部分，再加上***检测和基于主机的其余安全措施，将极大地提升公共服务及整个系统的安全性。