DMZ區
在實際的運用中,某些主機需要對外提供服務,爲了更好地提供服務,同時又要有效地保護內部網絡的安全,將這些需要對外開放的主機與內部的衆多網絡設備分隔開來,根據不同的需要,有針對性地採取相應的隔離措施,這樣便能在對外提供友好的服務的同時最大限度地保護了內部網絡。針對不同資源提供不同安全級別的保護,可以構建一個DMZ區域,DMZ可以爲主機環境提供網絡級的保護,能減少爲不信任客戶提供服務而引發的危險,是放置公共信息的最佳位置。在一個非DMZ系統中,內部網絡和主機的安全通常並不如人們想象的那樣堅固,提供給Internet的服務產生了許多漏洞,使其他主機極易受到攻擊。但是,通過配置DMZ,我們可以將需要保護的Web應用程序服務器和數據庫系統放在內網中,把沒有包含敏感數據、擔當代理數據訪問職責的主機放置於DMZ中,這樣就爲應用系統安全提供了保障。DMZ使包含重要數據的內部系統免於直接暴露給外部網絡而受到攻擊,攻擊者即使初步入侵成功,還要面臨DMZ設置的新的障礙。
