我对 DMZ 网络的正确术语和含义有疑问。我们公司有以下网络堆栈:
- 内部客户端网络 192.168.0.0/24 我们称之为公司局域网
- 服务器网络 10.10.0.0/16
- 测试局域网 192.168.234.0/24
现在,内部网络用于同事的设备,并且受到具有出站和入站规则和限制的防火墙的保护。
测试局域网是我们用来测试和使用外部设备的网络(比如插入客户设备进行更新和各种测试),该网络在防火墙上的出站限制规则较少,例如(TestLAN 到任何)。
现在我们正在对我们的网络堆栈进行一些增强,我的同事建议我们必须将 TestLAN 重命名为 DMZ。
我反对这个想法,因为我对 DMZ 的定义是与通常的 LAN 分离的网络,主要用于在防火墙前隔离服务器,以授予从互联网到 DMZ 中托管在那些服务器上的服务的自由访问权限,而不仅仅是没有出站限制的 LAN,就像我们的 TestLAN 一样。
那么您对此有何看法,这个测试 LAN 的正确术语是什么,它是否有资格被定义为 DMZ?
答案1
传统上,DMZ 包含实际上不属于两个区域之一但(在合理范围内)两个区域都可以自由访问的所有内容。这种类比同样适用于国家和 LAN。
然而,我个人认为,这个问题没有正确答案,因为许多人使用 DMZ 一词来涵盖非常广泛的可能配置 - 从完全开放和对称到非常不对称的配置。任何人对 DMZ 的期望可能在很大程度上取决于个人喜好。
仅仅因为这个原因,我会避免在您描述的设置中使用该术语。