详述DMZ(非军事区)的部署与配置.doc
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
详解DMZ的部署与配置:ISA2006系列之二十九DMZ的部署及配置
DMZ是Demilitarized Zone的缩写,俗称非军事化隔离区。DMZ是一个位于内网和外网之间的特殊区域,一般用于放置公司对外开放的服务器,例如Web服务器,Ftp服务器,邮件服务器等。其实从ISA的角度来看,DMZ就是一个网络。有些朋友可能会有些疑问,为什么不把这些服务器直接放到内网呢?为什么需要DMZ这 个单独的网络呢?被发布的服务器放在内网是可以的,我们在前面的博文中已经讨论了技术上的可能性。但把发布服务器放在内网并非最佳选择,因为内网中还有其 他的计算机,这些计算机和发布服务器的安全设置并不相同。例如内网中的域控制器并不适合开放给外网用户,财务室人员使用的工作站更是要严加防护。但如果这 些计算机和发布服务器都放在内网,对我们进行访问控制是不利的。一旦发布服务器出现安全问题,有可能会危及内网其他计算机的安全。因此比较安全的解决方法 是把发布的服务器放在一个单独的隔离网络中,管理员针对隔离网络进行有别于内网的安全配置,这样一来的话显然对安全更加有利。
下面我们用一个实例来为大家介绍一下如何利用ISA2006部署和配置DMZ,拓扑如下图所示,Beijing是ISA2006服务器,Beijing有三块网卡,分别连接内