DMZ的功用

何为DMZ？

DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。

      它是介于两个防火墙之间的空间。与Internet相比，DMZ可以提供更高的安全性，但是其安全性比内部网络低。

      它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、邮件服务器（Mail）、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网的攻击者来说又多了一道关卡。

      由于开放DMZ，同时开放了所有端口，因此在DMZ内一般放置不含机密信息的公用服务器；这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等，即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。

DMZ作用

      在实际的运用中，某些主机需要对外提供服务，为了更好地提供服务，同时又要有效地保护内部网络的安全，将这些需要对外开放的主机与内部的众多网络设备分隔开来，根据不同的需要，有针对性地采取相应的隔离措施，这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。针对不同资源提供不同安全级别的保护，可以构建一个DMZ区域，DMZ可以为主机环境提供网络级的保护，能减少为不信任客户提供服务而引发的危险，是放置公共信息的最佳位置。在一个非DMZ系统中，内部网络和主机的安全通常并不如人们想象的那样坚固，提供给Internet的服务产生了许多漏洞，使其他主机极易受到攻击。但是，通过配置DMZ，我们可以将需要保护的Web应用程序服务器和数据库系统放在内网中，把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中，这样就为应用系统安全提供了保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击，攻击者即使初步入侵成功，还要面临DMZ设置的新的障碍。

服务配置

      DMZ提供的服务是经过了网络地址转换（NAT）和受安全规则限制的，以达到隐蔽真实地址、控制访问的功能。首先要根据将要提供的服务和安全策略建立一个清晰的网络拓扑，确定DMZ区应用服务器的IP和端口号以及数据流向。通常网络通信流向为禁止外网区与内网区直接通信，DMZ区既可与外网区进行通信，也可以与内网区进行通信，受安全规则限制。

DMZ分类

      VMware的《在VMware基础架构中实现DMZ虚拟化》白皮书指出，一个虚拟化的DMZ提供了与物理DMZ同样程度的安全性，从而生成一个同样安全的虚拟DMZ网络。在过去几年中，虚拟化技术的使用有着长足的增长；虚拟机（VM）现在已经可以代替物理服务器。同样的趋势也发生在DMZ领域上，为了让网络保持正确的隔离及安全性，物理DMZ正在不断被虚拟DMZ替代着。