DMZ

可以接受外部訪問的子網,獨立於内部網絡

DMZ(全稱Demilitarized Zone,中文為「非軍事區[1],或稱Perimeter network,即「邊界網絡」、周邊網絡[2]或「對外網絡」)為一種網絡架構的佈置方案,常用的架設方案是在不信任的外部網絡和可信任的內聯網外,建立一個面向外部網絡的物理或邏輯子網絡,該子網絡能設置用於對外部網絡的伺服器主機。

該方案可以使用在防火牆路由器等區隔內外網的網絡裝置。在一些網絡裝置,DMZ的功能只能以軟件設置的介面去設置並實作,實體的網絡層相接,會與一般的LAN PORT相接共同管理。在另一些網絡裝置,如進階的防火牆裝置,DMZ的功能除了軟件的介面的設置外,在實體的連接PORT除了一般的WAN PORT、LAN PORT外,還會有另外獨立的DMZ PORT,這樣可以方便網絡管理人員在管理網段時,除了軟件介面上去設置WAN、LAN、DMZ等網段外,在實體的纜線連接(通常採用的是RJ45)時,也可以直接區分網段,更方便管理。

一般而言:DMZ區會有以下特點:

  1. 提供服務給外界存取
  2. 區域內伺服器不包含任何機密資料

原理

將部分用於提供對外服務的伺服器主機劃分到一個特定的子網絡——DMZ內,在DMZ的主機能與同處DMZ內的主機和外部網絡的主機通訊,而同內聯網主機的通訊會被受到限制。這使DMZ的主機能被內聯網和外部網絡所訪問,而內聯網又能避免外部網絡所得知。

DMZ能提供對外部入侵的防護,但不能提供內部破壞的防護,如內部通訊封包分析和欺騙。

家用路由器提供的DMZ

在一些家用路由器中,DMZ是指一部所有埠都暴露在外部網絡的內聯網主機,除此以外的埠都被轉發。嚴格來說這不是真正的DMZ,因為該主機仍能訪問內聯網,並非獨立於內聯網之外的。但真正的DMZ是不允許訪問內聯網的,DMZ和內聯網是分開的。這種 DMZ主機並沒有真正DMZ所擁有的子網絡劃分的安全優勢,其常常以一種簡單的方法將所有通訊埠轉發到另外的防火牆或NAT裝置上。

參考文獻

  1. ^ demilitarized zone - 非軍事區. 國家教育研究院. [2021-03-17] (中文(繁體)). [失效連結]
  2. ^ 詞彙 - perimeter network(週邊網路). Symantec. [2014-04-03]. (原始內容存檔於2014-04-07).