跳转到主要内容

DMZ

本文约需 2 分钟阅读

DMZ (DeMilitarized Zone,非军事区) 是设置在内部网络与外部网络 (互联网) 之间的缓冲区。通过将 Web 服务器、邮件服务器等需要从外部访问的服务器放置在 DMZ 中,即使这些服务器万一被攻陷,也能防止对内部网络的直接入侵。它是与防火墙结合实现纵深防御的基本网络设计模式。截至 2025 年,在云环境中 VPC 的公有/私有子网结构继承了 DMZ 的概念,并推荐与零信任架构配合使用。

现场使用案例

“Web 服务器虽然被攻陷了,但 DMZ 与内部网络之间的防火墙发挥了作用,成功阻止了对客户数据库的访问。如果没有设置 DMZ,攻击者就会从 Web 服务器直接到达数据库。”

DMZ 网络结构

互联网
外部防火墙
DMZ (Web 服务器、邮件服务器)
内部防火墙
内部网络 (数据库、业务系统)

DMZ 的配置模式

在单防火墙配置中,在一台防火墙上设置三个网络接口,将外部、 DMZ 与内部分离。在双防火墙配置中,将 DMZ 放置在外部防火墙与内部防火墙之间,实现更牢固的隔离。在云环境中,VPC 的公有子网相当于 DMZ,并通过安全组和网络 ACL 来控制通信。DMZ 设计相关书籍 (Amazon)可以用来学习这些配置模式。

实务中的设计场景

运营电商网站的企业会将 Web 服务器和反向代理放置在 DMZ 中,而应用服务器和数据库服务器则放置在内部网络中。从 DMZ 到内部网络的通信仅允许特定端口 (例如应用服务器的 8080 端口),并禁止直接访问数据库。通过这种设计,即使 Web 服务器被攻陷,也能防止对客户数据库的直接访问。企业的安全策略中也会定义针对 DMZ 内服务器的访问控制规则。

设计要点

应将 DMZ 内服务器到内部网络的通信限制到最低限度,并将从内部到 DMZ 的管理访问限定为经由跳板服务器进行。请用强随机密码保护 DMZ 内的所有服务器和网络设备,并将多因素认证作为管理访问的强制要求。在零信任安全的理念中,推荐采用不仅验证 DMZ 边界防御、还验证各服务器之间通信的设计。网络安全指南 (Amazon)也很有参考价值。

相关术语

这篇文章对您有帮助吗?

XHatena