DMZ主機策略（隔離區(qū)）

DMZ通常是一個過濾的子網(wǎng)，DMZ在內部網(wǎng)絡和外部網(wǎng)絡之間構造了一個安全地帶。

控制策略
當規(guī)劃一個擁有DMZ的網(wǎng)絡時候,我們可以明確各個網(wǎng)絡之間的訪問關系,可以確定以下六條訪問控制策略。
1.內網(wǎng)可以訪問外網(wǎng)

內網(wǎng)的用戶顯然需要自由地訪問外網(wǎng)。在這一策略中，防火墻需要進行源地址轉換。

2.內網(wǎng)可以訪問DMZ

此策略是為了方便內網(wǎng)用戶使用和管理DMZ中的服務器。

3.外網(wǎng)不能訪問內網(wǎng)

很顯然，內網(wǎng)中存放的是公司內部數(shù)據(jù)，這些數(shù)據(jù)不允許外網(wǎng)的用戶進行訪問。

4.外網(wǎng)可以訪問DMZ

DMZ中的服務器本身就是要給外界提供服務的，所以外網(wǎng)必須可以訪問DMZ。同時，外網(wǎng)訪問DMZ需要由防火墻完成對外地址到服務器實際地址的轉換。

5.DMZ不能訪問內網(wǎng)

很明顯，如果違背此策略，則當入侵者攻陷DMZ時，就可以進一步進攻到內網(wǎng)的重要數(shù)據(jù)。

6.DMZ不能訪問外網(wǎng)

此條策略也有例外，比如DMZ中放置郵件服務器時，就需要訪問外網(wǎng)，否則將不能正常工作。在網(wǎng)絡中，非軍事區(qū)(DMZ)是指為不信任系統(tǒng)提供服務的孤立網(wǎng)段，其目的是把敏感的內部網(wǎng)絡和其他提供訪問服務的網(wǎng)絡分開，阻止內網(wǎng)和外網(wǎng)直接通信，以保證內網(wǎng)安全。

地址轉換
內外與dmz做映射，外網(wǎng)與dmz做映射

DMZ區(qū)服務器與內網(wǎng)區(qū)、外網(wǎng)區(qū)的通信是經(jīng)過網(wǎng)絡地址轉換（NAT）實現(xiàn)的。網(wǎng)絡地址轉換用于將一個地址域（如專用Intranet）映射到另一個地址域（如Internet），以達到隱藏專用網(wǎng)絡的目的。DMZ區(qū)服務器對內服務時映射成內網(wǎng)地址，對外服務時映射成外網(wǎng)地址。采用靜態(tài)映射配置網(wǎng)絡地址轉換時，服務用IP和真實IP要一一映射，源地址轉換和目的地址轉換都必須要有。

總結

以上是生活随笔為你收集整理的DMZ主机策略的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。