DMZ(Demilitarized Zone,隔离区)

在计算机网络术语中,它是指网络中利用防火墙同其他系统隔绝开的部分,而该防火墙只支持固定类型的网络通信进出。

两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。

它是为了解决安装防火墙后,外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。放置如WEB服务器、FTP服务器、MAIL服务器等必须公开的服务器设施。

在一个用路由器连接的局域网中,我们可以将网络划分为三个区域:安全级别最高的LAN Area(内网),安全级别中等的DMZ区域和安全级别最低的Internet区域(外网)。三个区域因担负不同的任务而拥有不同的访问策略。

在配置一个拥有DMZ区的网络的时候通常定义以下的访问控制策略以实现DMZ区的屏障功能:
① 内网可以访问外网
② 内网可以访问DMZ
③ 外网不能访问内网
④ 外网可以访问DMZ
⑤ DMZ访问内网有限制
⑥ DMZ不能访问外网