Entry № 335隔离区 (DMZ).审核人Florian Amette·Cybersecurity entrepreneur & security researcher
隔离区 (DMZ) 是什么?隔离区 (DMZ) — 位于内外网络之间的缓冲网段,用于承载对外暴露的服务,并与内网隔离,以限制被攻陷后的影响范围。
DMZ 是位于两道防火墙(或多腿防火墙)之间的边界子网,用于放置必须从互联网可达的系统,例如 Web 服务器、邮件中继、反向代理或 VPN 集中器。外层防火墙允许预定义的入站流量进入 DMZ,而内层防火墙则严格限制 DMZ 向内网发起的连接,理想情况下只允许特定应用协议到特定主机。这种架构限制了被攻陷后的影响范围:即便攻击者控制了 DMZ 中的主机,仍需面对严格的策略边界才能到达内部数据。现代设计还会叠加零信任控制、WAF 和微分段进一步加固这一边界。
● 示例01DMZ 中的 Web 服务器可通过 TCP/443 从互联网访问,但不能向内部数据库发起连接。
02DMZ 中的邮件中继通过单一 SMTP 规则将邮件转发到内部 Exchange。
● 常见问题›隔离区 (DMZ) 是什么?位于内外网络之间的缓冲网段,用于承载对外暴露的服务,并与内网隔离,以限制被攻陷后的影响范围。 它属于网络安全的 网络安全 分类。
›隔离区 (DMZ) 是什么意思?位于内外网络之间的缓冲网段,用于承载对外暴露的服务,并与内网隔离,以限制被攻陷后的影响范围。
›如何防御 隔离区 (DMZ)?针对 隔离区 (DMZ) 的防御通常结合技术控制与运营实践,详见上方完整定义。
›隔离区 (DMZ) 还有哪些其他名称?常见的别称包括: 边界网络, 非军事区。
● 相关术语防火墙下一代防火墙(NGFW)网络分段微分段零信任网络反向代理● 另见/蜜罐/无状态防火墙← 返回词典/ Reviewed · Florian Amette