缓冲区的界定在创建安全性网络全过程中起着尤为重要的功效。DMZ (Demilitarized Zone)是网络安全性中最重要的系统分区专业术语。由于DMZ包括机器设备特性,因此 将其同网络的别的一部分隔开起来。这种机器设备一般是必须从公共网络上浏览的网络服务器,不允许在他们所属的地区完成太严苛的安全设置,因此必须分离出来起来。

DMZ一般是停留于专用型网络和公共网络中间的一个子网,从公共网络的联接到DMZ机器设备停止:这种网络服务器也常常被相对性安全性的专用型网络机器设备浏览。

创建DMZ的方式有很多,如何创建DMZ依赖于网络的安全性要求,创建DMZ的最常见的方式以下4种。

一、应用防火墙创建DMZ

这类方式应用一个有3个插口的防火墙去创建危险标志,每一个危险标志变成这一防火墙插口的一员。防火墙出示区与区中间的防护。这类体制出示了很多有关DMZ安全性的操纵。图1显示信息了怎样使用一个防火墙创建DMZ一个防火墙还可以有好几个插口,容许创建好几个DMZ。此类方法是创建DMZ最常见的方式。

怎样在不同网络安全需求下创建DMZ区的4种常用方法 创建DMZ区 安全其它  第1张
应用防火墙创建DMZ

二、在防火墙以外的公共网络和防火墙中间创建DMZ

在这类配备中,DMZ曝露在防火墙的公共性面一侧。根据防火墙的总流量,最先要根据DMZ。一般状况下不强烈推荐这类配备,由于DMZ中可以用于控制系统安全性的操纵很少。这种机器设备事实上是公共区域的一部分,他们本身并沒有遭受真实的维护。图2显示信息了创建DMZ的方式。

怎样在不同网络安全需求下创建DMZ区的4种常用方法 创建DMZ区 安全其它  第2张
防火墙之夕随公共网络和防火墙中间创建DMZ

三、在防火墙以外且没有公共网络和防火墙中间创建DMZ

这类种类的配备同第二种方式相近(如图所示3所显示),仅有的差别是:这儿的DMZ并不是坐落于防火墙和公共网络中间,只是坐落于联接防火墙同公共网络的边缘路由器的一个防护插口。这类种类的配备向DMZ网络中的机器设备出示了十分小的安全系数,可是这类配备使防火墙有从没维护和易受攻击的DMZ网络的防护性。这类配备中的边缘路由器可以用以回绝全部从DMZ子网到防火墙所属的子网的浏览。而且,防护的VLAN可以容许防火墙所属的子网和DMZ子网间有第二层的防护。当坐落于DMZ子网的服务器遭受伤害,而且网络攻击刚开始应用这一服务器对防火墙和网络启动更进一步进攻的情况下这种类的配备是有效的。

怎样在不同网络安全需求下创建DMZ区的4种常用方法 创建DMZ区 安全其它  第3张
在防火墙以外且没有公共网络和防火墙中间的创建DMZ

四、在堆叠防火墙中间创建DMZ

在这类体制(如图4所显示)下,2个防火墙堆叠置放,浏览专用型网络时,全部的总流量务必历经2个堆叠防火墙,2个防火墙中间的网络作为DMZ。因为DMZ前边的防火墙使它得到 了很多的安全系数,可是它的缺点是全部专用型网络到公共网络中间的数据流分析务必历经DMZ,一个被攻占的DMZ机器设备可以使网络攻击以不一样的方式阻截和进攻这一总流量。能够在防火墙中间设定专用型VLAN缓解这类风险性。

系统分区是安全性设计方案中的一个关键定义,应用设计方案优良的DMZ隔离方法,在一个低缓冲区机器设备损伤时,包括在替他地区机器设备损伤的风险性也不大。

怎样在不同网络安全需求下创建DMZ区的4种常用方法 创建DMZ区 安全其它  第4张
在堆叠防火墙中间创建DMZ