家商业 dmz死了吗？不完全的

dmz死了吗？不完全的

2024

视频: æ½®å·å¸å´ä¸é¶ç·æéå¬å¸ä¼ä¸å®£ä¼ ç (十一月 2024)

今天，非军事区（DMZ）最好的例子是韩国人烟稠密的土地带。朝鲜和韩国之间边界的任何一侧都是为了防止每个国家意外地发动战争。在计算中，DMZ在概念上相似之处在于，它提供了一个使不受信任的Internet世界脱离组织内部网络的位置，同时仍为外部世界提供服务。长期以来，任何构建几乎任何类型的Internet连接网络的IT专业人员都理所当然地将DMZ组合在一起。但是云改变了这一切。

原因是云消除了大多数公司托管自己的Web服务器的需求。过去，如果您有一个向公众开放的内部Web服务器，那么您希望该服务器位于DMZ中。同样，您可能希望电子邮件服务器在那里，以及其他任何面向外部的服务器，例如远程访问网关，身份验证服务器，代理服务器，甚至是Telnet服务器。这些都是必须可从Internet访问但提供组织服务的设备。当然，今天，大多数公司都使用托管电子邮件提供商以及部署软件即服务（SaaS）应用程序，从而无需在数据柜中容纳面向外部的Web服务器。

2017年企业采取的其他安全措施

如果您仍在运行DMZ，那么您会发现它是网络分段的典型示例。仔细观察，您通常会发现防火墙和路由器的某种组合。在大多数情况下，DMZ将由边缘安全设备（通常是防火墙）创建，然后由另一台路由器或防火墙备份，以保护内部网络的安全。

尽管大多数组织不再需要DMZ来保护自己免受外界干扰，但是将有价值的数字资产与网络其余部分分离的概念仍然是有效的安全策略。如果完全在内部应用DMZ机制，那么仍然有一些有意义的用例。一个例子是保护对有价值的数据存储，访问控制列表或类似宝库的访问；您将希望任何潜在的未经授权的用户在获得访问权限之前都尽可能多地跳越圈。

DMZ如何工作

DMZ的工作方式如下：将有一个面对开放式互联网恐怖的边缘防火墙。之后将是DMZ和另一个保护您公司局域网（LAN）的防火墙。防火墙的后面将是您的内部网络。通过添加此额外的中间网络，您可以实施其他安全层，这些恶意层必须先将其破坏，然后才能到达您的实际内部网络-大概不仅网络访问控制而且端点保护套件也涵盖了所有内容。

在第一个防火墙和第二个防火墙之间，您通常会找到一个交换机，该交换机为需要Internet可用的服务器和设备提供网络连接。交换机还提供与第二个防火墙的连接。

应该将第一个防火墙配置为仅允许需要到达内部局域网和DMZ中服务器的流量。内部防火墙应仅允许通过内部网络运行所必需的特定端口进行通信。

在DMZ中，应将服务器配置为仅接受特定端口上的流量，并仅接受特定协议。例如，您只想将端口80上的流量限制为仅超文本传输协议（HTTP）。您还需要配置这些服务器，以便它们仅运行使其正常运行所需的服务。您可能还希望入侵检测系统（IDS）监视DMZ中服务器上的活动，以便可以检测并阻止通过防火墙进行的恶意软件攻击。

内部防火墙应该是下一代防火墙（NGFW），它可以对通过防火墙中开放端口的流量进行检查，并寻找入侵或恶意软件的迹象。这是保护您网络中最重要的东西的防火墙，因此它不是一个容易被忽视的地方。 NGFW的制造商包括Barracude，Check Point，Cisco，Fortinet，Juniper和Palo Alto等。

以太网端口作为DMZ端口

对于较小的组织，还有另一种成本较低的方法仍然可以提供DMZ。许多家用和小型企业路由器都包含一项功能，使您可以将一个以太网端口指定为DMZ端口。这使您可以在该端口上放置诸如Web服务器之类的设备，该设备可以共享您的IP地址，但也可供外界使用。不用说，该服务器应尽可能地被锁定，并且仅运行绝对必要的服务。要充实您的网段，您可以在该端口上附加一个单独的交换机，并在DMZ中具有多个设备。

使用这种指定的DMZ端口的不利之处在于，只有一个故障点。尽管这些路由器中的大多数还包括嵌入式防火墙，但它们通常不包括NGFW的全部功能集。另外，如果路由器被破坏，您的网络也将被破坏。

虽然基于路由器的DMZ可以正常工作，但它可能不如您希望的那样安全。至少，您可能要考虑在其后添加第二个防火墙。这将花费一些额外的费用，但不会比数据泄露花费的费用高。这种设置的另一个主要后果是管理起来更加复杂，并且考虑到可能使用这种方法的小型公司通常没有IT人员，因此您可能需要聘请顾问来进行设置并进行管理它不时。

DMZ的安魂曲

2019年最佳VPN服务2019年最佳VPN服务
2019年最佳托管端点保护和安全软件2019年最佳托管端点保护和安全软件
2019年最佳网络监控软件2019年最佳网络监控软件

如前所述，您不会发现仍有太多的DMZ在野外运行。原因是DMZ旨在填补当今大多数业务功能正在云中处理的功能。您部署的每个SaaS应用程序和托管的每个服务器都将面向外部的基础架构移出数据中心并移至云中，而DMZ一直在发展。这意味着您可以选择一个云服务，启动一个包含Web服务器的实例，并使用云提供商的防火墙保护该服务器，然后就可以设置好了。无需将单独配置的网段添加到您的内部网络，因为无论如何一切都在发生。此外，您可以在DMZ中使用DMZ可能使用的其他功能，这样一来，您将更加安全。

不过，作为一般安全策略，这是完全可行的措施。在防火墙后面创建DMZ样式的网段具有与以前在局域网和Internet之间挤压一个网段时相同的好处：另一个网段意味着更多的保护，您可以迫使坏人入侵之前，必须侵入它们。他们真正想要的是什么。而且它们工作的时间越长，您或威胁检测和响应系统发现它们并做出反应的时间就越长。