组织往往使用受限局域网 (LAN) 来确保所有连接设备的安全。这在连接到其他位置时可能会导致问题,尤其是通过互联网。这时,各种网络功能和协议可以在不牺牲安全性的情况下为客户端提供访问权限。DMZ 网络就是这样一种选择。我将解释 DMZ 的含义以及为什么您可能希望在组织网络上使用它。
什么是 DMZ?
Lenovo ThinkServer SR250 V2的标准端口
网络世界中的非军事区 (DMZ) 与战争无关。DMZ 是一种外围网络,可增强 LAN 的安全性,防止不必要的流量。在 LAN 上配置的 DMZ 旨在允许客户端访问外部位置(例如 Internet),而不会损害整体安全性。这对于电子邮件、文件传输、Web 服务器和其他主要关注不受信任流量的外部解决方案尤其有用。
DMZ 内的任何服务器或设备都只能有限地访问 LAN,充当防火墙,阻止不受欢迎的流量访问内部网络,同时又不妨碍对服务的访问。DMZ 通常被视为更安全的解决方案,使恶意方难以强行进入 LAN。DMZ 将过滤 LAN 和 Internet 之间的流量,只允许授权访问。可以将其视为网络中的网络,或与 LAN 分开且相邻的网络。
面向用户的服务(例如网站、电子邮件和 DNS 服务器)暴露于外部世界,并且设计为开放的。这与专用网络的安全协议不匹配。通过过滤 WAN 和 LAN 之间的流量,DMZ 可以充当路由器来分割外部和内部接口,使它们保持分离。LAN 上的客户端可以连接到 Internet,并且可以允许授权的外部访问 LAN。DMZ 与 LAN 分开,可以处理外部流量。