网络上是否必须有 DMZ 机器或区域?

网络上是否必须有 DMZ 机器或区域?

网络上是否必须有 DMZ 机器或区域?

设立 DMZ 机器或区域的原因是什么?

如果 DMZ 区域无法与站点的正常网络进行通信,那为什么要有它呢?

答案1

是否需要有 DMZ 机器或区域

不。如果您没有在网络上提供任何公共服务,并且您的网络足够小,以至于相同的防火墙策略适用于所有机器,那么您实际上不需要 DMZ

设立 DMZ 机器或区域的原因是什么?

如果您有一个复杂的网络,并且需要设置一些面向公众的服务,而您不完全信任这些服务不会被互联网上的恶意者滥用,那么您可能需要设置某种 DMZ。

如果 DMZ 区域无法与站点的正常网络进行通信,那为什么要有它呢?

在更复杂的网络中,防火墙策略必须分层设置。每层之间通常都有某种屏障,如防火墙,限制哪些计算机可以相互通信。

请记住,大多数 DMZ 的设置使得内部主机可以连接到 DMZ,但 DMZ 无法连接到内部主机。从内部主机的角度来看,DMZ 计算机通常看起来就像您从 Internet 连接一样,但这并不总是正确的,确切的策略取决于特定的服务和网络。

假设你经营一家医院。你可能会将所有患者记录保存在高度安全的网络上。假设你还想支持某种基于网络的支持论坛,人们可以在那里互相交流。你几乎肯定希望原始患者文件和公共论坛之间没有任何联系。

相关内容