DMZ - 維基百科
發表於 : 2014-05-31, 17:19
DMZ,全寫 Demilitarized Zone,譯名為「非軍事區」,又名 Perimeter network,即「邊界網路」、周邊網路或「對外網路」,為一種網路架構的布置方案,常被使用的架設方案是在不信任的外部網路和可信任的內部網路外,建立一個面向外部網路的物理或邏輯子網,該子網能設置用於對外部網路的伺服器主機。
該方案可以使用在防火牆、路由器等區隔內外網的網路設備。在一般比較低階的網路設備,DMZ 的功能只能以軟體設定的介面去設定並實作,實體的網路層相接,會與一般的 LAN PORT 相接共同管理。不過在一般比較高階的網路設備,如高階的防火牆設備,DMZ 的功能除了軟體的介面的設定外,在實體的連接 PORT 除了一般的 WAN PORT、LAN PORT 外,還會有另外獨立的 DMZ PORT,這樣可以方便網路管理人員在管理網段時,除了軟體介面上去設定 WAN、LAN、DMZ 等網段外,在實體的纜線連接 (通常採用的是 RJ45) 時,也可以直接區分網段,更方便管理。
原理
將部分用於提供對外服務的伺服器主機劃分到一個特定的子網——DMZ 內,在 DMZ 的主機能與同處 DMZ 內的主機和外部網路的主機通信,而同內部網路主機的通信會被受到限制。這使 DMZ 的主機能被內部網路和外部網路所訪問,而內部網路又能避免外部網路所得知。
DMZ 能提供對外部入侵的防護,但不能提供內部破壞的防護,如內部通信數據包分析和欺騙。
--
資料來源:
http://zh.wikipedia.org/wiki/DMZ
該方案可以使用在防火牆、路由器等區隔內外網的網路設備。在一般比較低階的網路設備,DMZ 的功能只能以軟體設定的介面去設定並實作,實體的網路層相接,會與一般的 LAN PORT 相接共同管理。不過在一般比較高階的網路設備,如高階的防火牆設備,DMZ 的功能除了軟體的介面的設定外,在實體的連接 PORT 除了一般的 WAN PORT、LAN PORT 外,還會有另外獨立的 DMZ PORT,這樣可以方便網路管理人員在管理網段時,除了軟體介面上去設定 WAN、LAN、DMZ 等網段外,在實體的纜線連接 (通常採用的是 RJ45) 時,也可以直接區分網段,更方便管理。
原理
將部分用於提供對外服務的伺服器主機劃分到一個特定的子網——DMZ 內,在 DMZ 的主機能與同處 DMZ 內的主機和外部網路的主機通信,而同內部網路主機的通信會被受到限制。這使 DMZ 的主機能被內部網路和外部網路所訪問,而內部網路又能避免外部網路所得知。
DMZ 能提供對外部入侵的防護,但不能提供內部破壞的防護,如內部通信數據包分析和欺騙。
--
資料來源:
http://zh.wikipedia.org/wiki/DMZ