我一直在阅读有关内部网、外部网、DMZ 和 VPN 的文章,我需要一些有关外部网和 DMZ 的说明。我知道它们是不同类型的概念 - 外部网允许对某些内部网资源进行有限的访问,而 DMZ 是位于互联网和内部网之间并托管面向外部的服务的子网。但是,我想知道在通常的设置中它们在实践中的区别是什么?维基百科关于外联网的文章文章指出,外部网络与 DMZ 类似,因为它们的用途相同(提供对某些服务/资源的访问,而不会暴露整个内部网络)。文章还指出,外部网络是 VPN 的一部分,并且这篇 TechNet 文章还指出,外联网访问的实现方式通常与远程内联网访问类似,例如使用 VPN。TechNet 文章还指出,外联网通常托管在 DMZ 内。这篇 Pearson 文章表示“尽管 [DMZ] 从技术上讲位于内部网内,但它也可以用作外部网”。这有点令人困惑。
考虑一下这种情况:一家公司在 DMZ 中托管了一个 B2C 网站。该网站可以从任何地方访问,但需要用户身份验证。底层 Web 应用程序的数据库位于内联网内,并且还与托管在内联网内的某些 Web 服务进行交互(即访问内联网资源)。在我看来,该网站确实有效地提供了对内联网的受限访问。但它可以被视为外联网吗?如果我们从字面上理解维基百科对外联网的定义 - “外联网是允许从组织内联网外部进行受控访问的计算机网络” - 我认为可以。
假设上述内容不能被视为外部网络。如果我们稍微改变一下场景,假设这是一个 B2B 网站,其中访问权限仅限于来自特定业务合作伙伴的连接(例如,通过使用站点到站点 VPN)。在这种情况下,它肯定是一个外部网络,对吗?如果是这样,那么外部网络服务与 DMZ 中托管的任何其他服务之间的区别仅仅是访问限制?
答案1
这些都是学术上的区别。在现实世界中,你会发现所有这些概念都有不同的组合。
在某些组织中,DMZ 具有单独的 ISP 网络连接,并且无法访问内部资源。在其他组织中,DMZ 中存在已加入域的计算机,这些计算机可以与一组受限的内部计算机进行通信。有时内部和 DMZ 具有单独的防火墙。有时它们在同一防火墙上有单独的接口。
重要的是要知道为什么有人应该使用外部网络或 DMZ,因为这些是重要的安全概念。从那里,您可以选择如何允许访问某些资源。它实际上叫什么并不重要。在某些情况下,这是吹毛求疵。
答案2
我认为我最近没有听说过教科书和教室之外的外部网络。
A非军事区是一种常见的网络拓扑结构,其网络段通过防火墙与内部网络隔离,并且不受信任的外部网络(又名互联网)。
相比之下外联网如果它实际上包含在网络设计中,则意味着它连接到 VPN 或实际的专用网络,而不是整个更大的互联网。
许多公司拥有多个 DMZ 网络,并认为具有 VPN 网关/路由器或私有互连的网络只是另一个 DMZ。
更常见的情况是,外联网并不是一种网络拓扑,而是一种独立于内部网络的服务,它只为有限的、有点受信任、已知和/或经过验证的外部用户、公司和网络提供。
从网络角度来看,您的网络服务器应位于 DMZ 网络中。您的网站允许经销商登录、浏览您的目录、查看库存和订购,这意味着您的网站将被称为外联网由营销部门负责。开发成本将从$$增加到$$$。
答案3
对我来说,我将其归结为安全策略。我们制定了一项政策,即除非获得特定例外授权,否则任何可公开访问的系统都不能对内联网进行入站访问。我们还有一个政策,即 DMZ 不能对我们的内联网进行入站访问,而我们的外联网可以。例如,我们有一个带有后端数据库的 Web 服务器,该服务器必须与基于内联网的数据库同步数据。我们将 Web 服务器放在 DMZ 上,将后端数据库放在外联网上,并与生产内联网数据库同步。因此,对于信任评级,公共网络为 0,DMZ 为 1,外联网为 2,内联网为 3。