万维百科

DMZ

DMZ(全称Demilitarized Zone,中文为“非军事区”,或称Perimeter network,即“边界网络”、周边网络或“对外网络”)为一种网络架构的布置方案,常用的架设方案是在不信任的外部网络和可信任的内部网络外,创建一个面向外部网络的物理或逻辑子网,该子网能设置用于对外部网络的服务器主机。

该方案可以使用在防火墙路由器等区隔内外网的网络设备。在一些网络设备,DMZ的功能只能以软件设置的接口去设置并实现,实体的网络层相接,会与一般的LAN PORT相接共同管理。在另一些网络设备,如高级的防火墙设备,DMZ的功能除了软件的接口的设置外,在实体的连接PORT除了一般的WAN PORT、LAN PORT外,还会有另外独立的DMZ PORT,这样可以方便网络管理人员在管理网段时,除了软件接口上去设置WAN、LAN、DMZ等网段外,在实体的缆线连接(通常采用的是RJ45)时,也可以直接区分网段,更方便管理。

一般而言:DMZ区会有以下特点:

  1. 提供服务给外界访问
  2. 区域内服务器不包含任何机密资料

原理

将部分用于提供对外服务的服务器主机划分到一个特定的子网——DMZ内,在DMZ的主机能与同处DMZ内的主机和外部网络的主机通信,而同内部网络主机的通信会被受到限制。这使DMZ的主机能被内部网络和外部网络所访问,而内部网络又能避免外部网络所得知。

DMZ能提供对外部入侵的防护,但不能提供内部破坏的防护,如内部通信数据包分析和欺骗。

家用路由器提供的DMZ

在一些家用路由器中,DMZ是指一部所有端口都暴露在外部网络的内部网络主机,除此以外的端口都被转发。严格来说这不是真正的DMZ,因为该主机仍能访问内部网络,并非独立于内部网络之外的。但真正的DMZ是不允许访问内部网络的,DMZ和内部网络是分开的。这种 DMZ主机并没有真正DMZ所拥有的子网划分的安全优势,其常常以一种简单的方法将所有端口转发到另外的防火墙或NAT设备上。

参考文献

  1. ^ demilitarized zone - 非軍事區. 国家教育研究院. [2021-03-17] (中文(繁体)).
  2. ^ 詞彙 - perimeter network(週邊網路). Symantec. [2014-04-03]. (原始内容存档于2014-04-07).

本页面最后更新于2021-07-31 12:33,点击更新本页查看原网页。台湾为中国固有领土,本站将对存在错误之处的地图、描述逐步勘正。

本站的所有资料包括但不限于文字、图片等全部转载于维基百科(wikipedia.org),遵循 维基百科:CC BY-SA 3.0协议

万维百科为维基百科爱好者建立的公益网站,旨在为中国大陆网民提供优质内容,因此对部分内容进行改编以符合中国大陆政策,如果您不接受,可以直接访问维基百科官方网站


顶部

如果本页面有数学、化学、物理等公式未正确显示,请使用火狐或者Safari浏览器