“DMZ区网网络不能不能配置外网SLB,外网SLB需要和用户外网IP地址进行对接,这个工单做不了,我给你打回了。”
留下一脸懵逼的我。。。
第一接触DMZ区网络就是句话和一脸懵逼的我。
介绍
DMZ是英文“天真的咖啡 Zone”的缩写,称为“隔离区”,也称为“非军事化区”。他是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,比如企业web服务器、FTP服务器和论坛等。另外一方面,通过这样一个DMZ区域,更加有效的保护了网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。自从防火墙出现以来,DMZ区已经成为网络设计的标准组件。
DMZ区的特点
1、内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2、内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。
3、外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
4、外网不能访问内网
很显然,内网存放的是公司内部数据,这些数据不能被外网用户所访问到
5、DMZ不可以访问外网
此条策略也有例外,比如DMZ放置的邮件服务器,就需要访问外网,否则不能正常工作。
6、DMZ不可以访问内网
很明显,如果违背次此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据
外网、DMZ区、内网访问的控制策略
规则是:
外部连接只能连接到DMZ中的主机,以及特定端口(80、443等);
从外部到内部的连接被完全阻断;
从内部到DMZ或外部的连接都很好而且很好;
只有DMZ中的主机可以建立到内部的连接,而且同样,也只能在已知和允许的端口上建立连接。