dmz主機(dmz主機開啟好還是禁用好)

dmz主機，英語是demilitarized zone，中文為“非軍事區(qū)”，為一種網(wǎng)絡(luò)架構(gòu)的布置方案，常用的架設(shè)方案是在不信任的外部網(wǎng)絡(luò)和可信任的內(nèi)部網(wǎng)絡(luò)外，創(chuàng)建一個面向外部網(wǎng)絡(luò)的物理或邏輯子網(wǎng)，該子網(wǎng)能設(shè)置用于對外部網(wǎng)絡(luò)的服務(wù)器主機。

DMZ 網(wǎng)絡(luò)是一種外圍網(wǎng)絡(luò)，可保護組織的內(nèi)部局域網(wǎng)并為其添加額外的安全層，使其免受不受信任的流量的影響。常見的 DMZ 是位于公共互聯(lián)網(wǎng)和專用網(wǎng)絡(luò)之間的子網(wǎng)。

DMZ 的最終目標是允許組織訪問不受信任的網(wǎng)絡(luò)，例如互聯(lián)網(wǎng)，同時確保其專用網(wǎng)絡(luò)或 LAN 保持安全。組織通常在 DMZ 中存儲面向外部的服務(wù)和資源，以及用于域名系統(tǒng) (DNS)、文件傳輸協(xié)議 (FTP)、郵件、代理、互聯(lián)網(wǎng)協(xié)議語音 (VoIP) 和 Web 服務(wù)器的服務(wù)器。

這些服務(wù)器和資源是隔離的，并被授予對 LAN 的有限訪問權(quán)限，以確保它們可以通過 Internet 訪問，但內(nèi)部 LAN 不能。因此，DMZ 方法使黑客更難通過 Internet 直接訪問組織的數(shù)據(jù)和內(nèi)部服務(wù)器。

擁有客戶使用的公共網(wǎng)站的企業(yè)必須使他們的網(wǎng)絡(luò)服務(wù)器可以從互聯(lián)網(wǎng)訪問。這樣做意味著將他們的整個內(nèi)部網(wǎng)絡(luò)置于高風險之中。為了防止這種情況，組織可以向托管公司付費以在防火墻上托管網(wǎng)站或其公共服務(wù)器，但這會影響性能。因此，公共服務(wù)器托管在獨立且隔離的網(wǎng)絡(luò)上。

DMZ 網(wǎng)絡(luò)在 Internet 和組織的專用網(wǎng)絡(luò)之間提供緩沖。DMZ 由安全網(wǎng)關(guān)（例如防火墻）隔離，該網(wǎng)關(guān)過濾 DMZ 和 LAN 之間的流量。默認 DMZ 服務(wù)器由另一個安全網(wǎng)關(guān)保護，該網(wǎng)關(guān)過濾來自外部網(wǎng)絡(luò)的流量。

它理想地位于兩個防火墻之間，DMZ 防火墻設(shè)置確保傳入的網(wǎng)絡(luò)數(shù)據(jù)包在進入 DMZ 中托管的服務(wù)器之前被防火墻或其他安全工具觀察到。這意味著即使老練的攻擊者能夠通過第一道防火墻，他們也必須訪問 DMZ 中的強化服務(wù)，然后才能對企業(yè)造成損害。

如果攻擊者能夠穿透外部防火墻并破壞 DMZ 中的系統(tǒng)，那么他們還必須通過內(nèi)部防火墻才能訪問敏感的公司數(shù)據(jù)。技術(shù)高超的不良行為者很可能能夠破壞安全的 DMZ，但其中的資源應(yīng)該發(fā)出警報，提供大量警告，表明正在發(fā)生破壞。