Entry № 335
隔离区 (DMZ)
隔离区 (DMZ) 是什么?
隔离区 (DMZ)位于内外网络之间的缓冲网段,用于承载对外暴露的服务,并与内网隔离,以限制被攻陷后的影响范围。
DMZ 是位于两道防火墙(或多腿防火墙)之间的边界子网,用于放置必须从互联网可达的系统,例如 Web 服务器、邮件中继、反向代理或 VPN 集中器。外层防火墙允许预定义的入站流量进入 DMZ,而内层防火墙则严格限制 DMZ 向内网发起的连接,理想情况下只允许特定应用协议到特定主机。这种架构限制了被攻陷后的影响范围:即便攻击者控制了 DMZ 中的主机,仍需面对严格的策略边界才能到达内部数据。现代设计还会叠加零信任控制、WAF 和微分段进一步加固这一边界。
● 示例
- 01
DMZ 中的 Web 服务器可通过 TCP/443 从互联网访问,但不能向内部数据库发起连接。
- 02
DMZ 中的邮件中继通过单一 SMTP 规则将邮件转发到内部 Exchange。
● 常见问题
隔离区 (DMZ) 是什么?
位于内外网络之间的缓冲网段,用于承载对外暴露的服务,并与内网隔离,以限制被攻陷后的影响范围。 它属于网络安全的 网络安全 分类。
隔离区 (DMZ) 是什么意思?
位于内外网络之间的缓冲网段,用于承载对外暴露的服务,并与内网隔离,以限制被攻陷后的影响范围。
如何防御 隔离区 (DMZ)?
针对 隔离区 (DMZ) 的防御通常结合技术控制与运营实践,详见上方完整定义。
隔离区 (DMZ) 还有哪些其他名称?
常见的别称包括: 边界网络, 非军事区。