DMZ: demiliatarized zone
隔离区,也称为“非军事化区”。
他是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设置,如企业Web服务器,FTP服务器和论坛等。
另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
网络设备开发商,利用这一技术,开发出响应的防火墙解决方案。称为“非军事区结构模式”。DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带。
DMZ防火墙为要保护的内部网络增加了一道安全防线,通常认为是非常安全的。同事它提供了一个区域放置公共服务器,从而又能有效地避免一些互联应用需要公开,而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机,Modem池,以及所有的公共服务器,但要注意的是电子商务服务器只能用作用户连接,真正的电子商务后台数据需要放在内部网络中。
在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时候,它还可以起到保护内部网络的功能。而局域网内部,对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的安全性也就大大加强,但投资成本也是最高的。
在信息化时代,“云服务+本地化部署”部署的模式,简而言之是以云提供各类融媒体中应用服务,本地实现数据的同步和本地化存储为设计基础,充分发挥云平台的大规模、高可靠性、高扩展性、高易用性的优点,结合本地部署的易管控性,为融媒体提供稳定而高效的服务。
云+本地的部署整体体系架构:由云+本地组成的混合部署模式通常由以下基础部分组成,包括公有云内网区、公有云DMZ区、本地应用区、本地DMZ区,区域的划分取决于区域中待处理数据的特性。以下图为例:
中科闻歌“云+本地部署”架构
如图所示,公有云和本地环境间通过公网进行数据交互,公有云内部网络采用Vnat划分。将公有云划分成一个虚拟网络下多个网络组,分别为DMZ区(本区域用与对外发布业务)和内网区(分布式存储组、数据库组以及计算组,该区域用于保障核心数据的安全处理),各区域中间由vSwitch连接,并在每个网路组上层添加Vfirewall进行安全防护;本地部署的部分通过交换机(或Vswitch)划分成应用区(本区域主要用于用户通过内网访问)和DMZ区(本区域主要用于用户在外网访问),由本地防火墙、交换机、网闸、日志审计、主机防病毒、入侵检测等进行互联互通和安全防护。
值得一提的是,在建设“云服务”为主或“云服务+本地化部署”模式的融媒体中心时,因平台以全网大数据为依托,其信息化管理水平和安全防范能力尤为重要。以中科闻歌的“红旗”融媒体平台为例,今年4月通过了国家网络安全等级保护三级测评,意味着平台在系统安全、数据安全、管理安全等指标上的升级。
整体的数据流转:对于云+本地的混合部署数据流转,与单独使用公用云或本地部署模式的数据流转差异不大,区别在于混合部署的数据流转过程中经过了公网传输。对于业务数据流而言,简单来说,数据需要经过统计、模型处理后,为上层应用系统所提供最终数据。
DMZ区是防火墙或路由器上直接通外网的端口,防火墙对内网LAN口的限制不会应用于DMZ区,也称为非军事化区,用来连接服务器。
而局域网内部,对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的安全性也就大大加强,但投资成本也是最高的。
结构:
在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。
内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时候,它还可以起到保护内部网络的功能。
理论上可以无限个。
理论上DMZ是一个区域,设置无限多主机都可以,实际看你设备能够承受几个。
两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。
DMZ是英文"demilitarized zone"的缩写,中文名称为"隔离区",也称"非军事化区"。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。
Web服务器。
DMZ区是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
扩展资料:
构建DMZ
一、使用防火墙创建DMZ
这种方法使用一个有3个接口的防火墙去创建隔离区,每个隔离区成为这个防火墙接口的一员。防火墙提供区与区之间的隔离。这种机制提供了许多关于DMZ安全的控制。图1显示了怎样使用一个防火墙创建DMZ一个防火墙也可以有多个接口,允许创建多个DMZ。此种方式是创建DMZ最常用的方法。
二、在防火墙之外的公共网络和防火墙之间创建DMZ
在这种配置中,DMZ暴露在防火墙的公共面一侧。通过防火墙的流量,首先要通过DMZ。一般情况下不推荐这种配置,因为DMZ中能够用来控制设备安全的控制非常少。这些设备实际上是公共区域的一部分,它们自身并没有受到真正的保护。
以上就是关于隔离区(DMZ)全部的内容,包括:隔离区(DMZ)、云+本地的部署模式整个体系架构是怎么样的整体的数据流转是怎么样的、DMZ区/ServerFarm区分别是什么啊等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)