防火牆的規則是單行道的設計,進與出的規則是獨立的,也就說是:
外網 → DMZ區 ← 內網,需要對外網服務的伺服器(WEB/FTP...等)置放在DMZ區裡面,
他們受到防火牆一定程度的保護,DMZ區不能對內網做任何存取,如果DMZ區的伺服器被攻破
(非防火牆被攻破)或是系統漏洞所造成的攻破,此時這部伺服器就不會被當成跳板來存取內網,
時下IP分享器的DMZ區看看就好,IP分享器附帶的防火牆是最簡陋的,如果您用的是CISCO、
Juniper、Fortinet的防火牆系統,那麼您就會知道DMZ區的設計方式是不一樣的,一般DMZ區
的設計是:外網 → 防火牆 → DMZ區 ← 防火牆 ← 內網,防火牆為同一台,進階的DMZ區設計
是採用二部防火牆,而且是不同品牌的防火牆,其實現今的防火牆已經是不夠用了,一定還要再
加上IPS系統來強化。
concall81 wrote:
正確. DMZ很方便, 但也相對危險, 要小心使用.
