networking - 无法理解 DMZ

DMZ 最常见的形式是您的所有客户端都连接到的 Intranet (LAN) 和 WAN 之间的一种“代理”网络。想象一下，您有一个网络，其中包含一些 Web 服务器、笔记本电脑或工作站等 PC，以及具有数据库或类似内容的一些其他服务器或服务。在您的 LAN 前面，有一个防火墙创建了通往 WAN 的网关。

如果一切都在同一个网络内，您将遇到安全问题，因为如果一台机器受到威胁，基本上一切皆有可能。

只要您在同一子网中进行通信，假设 C 类网络 192.168.0.0（IP 范围从 192.168.0.1 - 192.168.0.254），流量就不会路由到您的网关，这通常是您的网关防火墙。这意味着您从 192.168.0.2 到 192.168.0.3 执行的每个请求都不会受到防火墙的监视和/或限制。这是一个问题。

例如，Web 服务器必须可以从外部访问。如果攻击者可以访问服务器，他可能会弄乱您网络中的任何内容。

现在您介绍一个 DMZ，基本上是您的 LAN 和 WAN 之间的代理网络（至少在大多数情况下）。由于它是一个自己的子网，因此流量将通过您的网关（防火墙）路由，因此您的规则适用。此外，要进入 Intranet，数据必须通过两个防火墙（或两次相同的防火墙）。您现在可以创建防火墙规则，允许或禁止来自服务器或客户端的通信，反之亦然，在 DMZ 中与您的实际 LAN 进行通信。通过这种方式，您可以定义默认情况下拒绝与 LAN 的每次通信，然后开始添加规则以允许通信，例如，如果某些服务必须连接到 LAN 中的数据库或类似的数据库。

许多网络仅以这种方式过滤入站流量，但在我看来，您还应该拒绝所有出站流量，直到得到防火墙规则的批准。

此外，根据具体情况，客户端通常位于 DMZ 中，因为只有关键基础设施位于您的实际 Intranet 中。在这种情况下，通常只有管理用户才能“完全”访问 Intranet 本身。一般来说，将客户端放在一个单独的、受限制的网络中是个好主意，因为您经常会遇到客户端是您网络的最大漏洞的地方（比如喜欢打开 word 文档的用户显然是某种欺诈和相似的）