DMZ或周界网络是一个为内部局域网提供额外安全的好方法,但一些DMZ的扩张性更强。在最初布置DMZ的时候,记得为将来的扩张留下余地,这样可为以后节省时间和精力。
随着组织不断发展,网络变得更大更复杂,你就越有可能运行一些开放本地网络的服务,从而受到攻击与安全威胁。例如,一些小型公司经常依靠ISP或主机服务为他们提供电子邮件、网站主机等服务。
但随着公司规模扩大,你建立一个IT部门,利用IT技术来处理这些工作,你可能希望将这些功能内部化,运行自己的电子邮件及网络服务器。你因此获得更大的控制权,而且还能节省成本——但它也带来新的安全风险。
根据定义,服务器与其它计算机建立连接,并允许这些计算机访问它的资源。当其它计算机与互联网建立连接——如你拥有一个公共网站或接收局域网以外用户的电子邮件时——你对它们的控制力随之降低,因而变得容易受到攻击。渗透互联网服务器的攻击就可能对整个网络制造破坏,除非你采取步骤来保护它。
为那些需要与外部计算机交互的系统建立一个独立的子网,是保护内部计算机的一种机制。不仅在互联网边缘配置一个防火墙来保护它们免受外部威胁,而且在子网与内部局域网之间安装一个防火墙,保证侵入子网的攻击不会危及局域网。以这种方式建立的子网叫做边界网络,屏蔽子网或DMZ(最流行的叫法)。
|
|
|
|
|
|
|
|
|
