【51CTO.com 獨家翻譯】談到DMZ（非軍事區(qū)）時，我們已經(jīng)走過了漫長的DMZ設計之路，如果你的組織需要DMZ，它不再是一個麻煩的問題，現(xiàn)在的問題是你應該如何設計一個安全的DMZ。

在計算機安全領域，DMZ是一個物理或邏輯的子網(wǎng)，它里面駐留著組織提供給外部用戶的服務，并負責暴露給更大，不可信的網(wǎng)絡 – 通常指的是互聯(lián)網(wǎng)，最初的DMZ設計就是從內(nèi)部網(wǎng)絡獨立出一個簡單的子網(wǎng)，凡是要開放給互聯(lián)網(wǎng)的服務全部扔到這個子網(wǎng)中。

現(xiàn)在許多DMZ設計就象設計公路上行駛的交通工具一樣，例如，設計運輸貨物的卡車時最重要的就是要盡可能降低貨物運輸成本，設計經(jīng)濟型汽車時就是要省錢，設計精致型汽車時，就是要讓買車人的朋友嫉妒，DMZ設計和設計汽車的道理一樣，盡管存在各種可能的變化，但它們目的都是相同的。

我們今天使用的網(wǎng)絡名稱有千千種，但基本上都離不開內(nèi)部網(wǎng)絡，外部網(wǎng)絡和DMZ，它們可能被叫做合作伙伴網(wǎng)絡，供應商網(wǎng)絡，內(nèi)部DMZ或安全區(qū)，實際上它們都是混合了各種設備，連接和風險的DMZ。51CTO編者按：如果你看過盜夢空間這部電影，你會發(fā)現(xiàn)網(wǎng)絡設計者的工作和造夢師差不多。

DMZ設計的目標

如果你問10個網(wǎng)絡架構師如何設計DMZ，你可能會得到10個完全不同的答案，雖然變化會增加生活的樂趣，但作為一個特殊的行業(yè)，我們應該遵循DMZ設計領域一些公認的做法。

DMZ設計的核心原則是根據(jù)風險隔離設備、系統(tǒng)、服務和應用程序，最終目標是隔離風險，當一個設備或系統(tǒng)被黑時，可以有效保護其它設備或系統(tǒng)不受牽連，除了按風險隔離外，其它四種常見的DMZ設計方法分別是：按操作系統(tǒng)隔離，按數(shù)據(jù)分類方案隔離，按信任級別隔離和按業(yè)務部門隔離。

如果你了解審計和法規(guī)遵從要求，你會發(fā)現(xiàn)對技術設計的要求越來越多，在某些新需求中，我們發(fā)現(xiàn)需要將Web和應用程序與數(shù)據(jù)庫隔離，這是一個非常好的主意，此外，我們也發(fā)現(xiàn)許多組織希望服務器的用途單一化，例如，Web服務器不能同時用作DNS服務器，這些都是很好的想法。

DMZ設計的四個級別

我們將DMZ設計分為四個級別，一級是最簡單的設計，后面的級別可以提供更細粒度的安全控制。當我們想建立一個基本的DMZ時，通常會從單個網(wǎng)段的防火墻開始著手，在我們的DMZ設計書籍中我們將其稱為一級設計，如果需要開放給互聯(lián)網(wǎng)訪問的服務器數(shù)量較少，這種設計方法可以應付得過來，但如果你要做電子商務交易，必須用更高級的設計方法。

許多設計師都容易犯同樣的錯誤，他們將Web服務器和應用程序服務器放在DMZ中，將數(shù)據(jù)庫放在內(nèi)部網(wǎng)絡中，這種設計其實是最不安全的，因為數(shù)據(jù)庫攻擊變得更有針對性，如果將其部署在內(nèi)部網(wǎng)絡中，需要更復雜的設計，來自內(nèi)部的攻擊更加危險。

共4頁: 1 [2] [3] [4] 下一頁 【內(nèi)容導航】 第 1 頁：DMZ設計的目標和第一級設計 第 2 頁：二級DMZ設計 第 3 頁：三級DMZ設計 第 4 頁：四級DMZ設計和小結