5、边界网络设计与防火墙技术解析

边界网络设计与防火墙技术解析

1. 为何需要 DMZ 网络

在网络安全架构中，防火墙应全力用于数据包的检查和传输。然而，即便精心配置和打补丁的应用程序也可能存在未公开的漏洞，在防火墙上运行服务会影响性能和安全。那么，将公共服务置于何处，才能既不直接或间接暴露内部网络，又不影响防火墙的安全和性能呢？答案是 DMZ（非军事区）网络。

2. DMZ 网络架构类型

• “三宿主防火墙”DMZ 架构
  • 简单来说，DMZ 是可被公众访问但与内部网络隔离的网络，理想情况下还受防火墙保护。
  • 采用三宿主主机作为防火墙，提供公共服务的主机位于独立网络并与防火墙专用连接，企业网络其余部分面对防火墙的不同接口。
  • 防火墙评估流量时使用不同规则：
    • 从互联网到 DMZ
    • 从 DMZ 到互联网
    • 从互联网到内部网络
    • 从内部网络到互联网
    • 从 DMZ 到内部网络
    • 从内部网络到 DMZ
  • 尽管看似管理开销大，但 DMZ 可视为单一逻辑实体，相比内部托管或防火墙托管服务可能更简单。

graph LR classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-