聽說一些Server 可以把它放在DMZ區,但聽朋友說DMZ也不是絕對安全的,
我知道有些Hardware Firewall 會有WAN.LAN.DMZ port,軟體好像也可以
做出DMZ但我不太清楚要如何做.
不過DMZ到是它的作用及功能是什麼呢?它是如何運作的?
大家討論看看.
聽說一些Server 可以把它放在DMZ區,但聽朋友說DMZ也不是絕對安全的,
我知道有些Hardware Firewall 會有WAN.LAN.DMZ port,軟體好像也可以
做出DMZ但我不太清楚要如何做.
不過DMZ到是它的作用及功能是什麼呢?它是如何運作的?
大家討論看看.
K.L.P.P長篇鬼故事。不要學電腦,不要學英文。治療癌症的第三條路。擇偶有時候不要太挑。上班族物語。
天下有兩難~登天難,求人更難 地上有兩苦~黃蓮苦,貧窮更苦 世間有兩險~江湖險,人心更險 人間有兩薄~春冰薄,人情更薄 知其難、忍其苦、測其險、耐其薄,可處事矣!
就我所知的DMZ來回答一下
一般要建立DMZ區域需要一台主機3張網卡來區隔
一張位址是實際Internet IP負責聯外
一張也是實際Internet IP負責連到DMZ區域
一張則是連到私人虛擬網路上,也就是一般公司行號用的非正式IP
要達到DMZ建立至少Internet IP要擁有到可以切割使用
這樣才能將一部份IP指派為DMZ區域
而DMZ本來就不是安全區域,他只是個緩衝區域
區隔Internet使用者不致闖入公司內部而已
以上面架構而言,瓶頸在於DMZ的網卡
這是簡單說明,很籠統
但一時之間說不清楚,因為還有其他方式更加嚴密的DMZ
請問既然DMZ算是不安全的區域,那為什麼有些server會要把它放在DMZ區呢?最初由 casio2800 發表
就我所知的DMZ來回答一下
一般要建立DMZ區域需要一台主機3張網卡來區隔
一張位址是實際Internet IP負責聯外
一張也是實際Internet IP負責連到DMZ區域
一張則是連到私人虛擬網路上,也就是一般公司行號用的非正式IP
要達到DMZ建立至少Internet IP要擁有到可以切割使用
這樣才能將一部份IP指派為DMZ區域
而DMZ本來就不是安全區域,他只是個緩衝區域
區隔Internet使用者不致闖入公司內部而已
以上面架構而言,瓶頸在於DMZ的網卡
這是簡單說明,很籠統
但一時之間說不清楚,因為還有其他方式更加嚴密的DMZ
(這就是我不了解的地方)
K.L.P.P長篇鬼故事。不要學電腦,不要學英文。治療癌症的第三條路。擇偶有時候不要太挑。上班族物語。
天下有兩難~登天難,求人更難 地上有兩苦~黃蓮苦,貧窮更苦 世間有兩險~江湖險,人心更險 人間有兩薄~春冰薄,人情更薄 知其難、忍其苦、測其險、耐其薄,可處事矣!
如果嚴格說起來,公司內部網路有時也會因網管或系統人員錯誤而被Internet駭客得知
那你說哪裡安全?
其實因為DMZ也是位於Internet上的地區,在外防守的防火強設定不恰當或是管理有問題
或是OS/AP本身就有漏洞,當然就不安全
公司內部網路會較安全原因在於位址轉換,如果他從Internet上無法實際接觸你公司內部
那除了透過安裝後門程式與病毒外,大概就沒輒
所以當無法來到大門前正面踢館時,當然會較安全
而當它可以穿過你的管制與保護,到達大門時,已經兵臨城下了
所以DMZ會有不安全說也是其來有自
況且,他其實應該是定義於內外戰區的停戰區,但這停戰區有可能隨時被攻陷的
嗯!這麼說server放在DMZ也是不太安全的,而DMZ主要是保護內部網路最初由 casio2800 發表
如果嚴格說起來,公司內部網路有時也會因網管或系統人員錯誤而被Internet駭客得知
那你說哪裡安全?
其實因為DMZ也是位於Internet上的地區,在外防守的防火強設定不恰當或是管理有問題
或是OS/AP本身就有漏洞,當然就不安全
公司內部網路會較安全原因在於位址轉換,如果他從Internet上無法實際接觸你公司內部
那除了透過安裝後門程式與病毒外,大概就沒輒
所以當無法來到大門前正面踢館時,當然會較安全
而當它可以穿過你的管制與保護,到達大門時,已經兵臨城下了
所以DMZ會有不安全說也是其來有自
況且,他其實應該是定義於內外戰區的停戰區,但這停戰區有可能隨時被攻陷的
(一般公司內部192.168.XXX.XXX),而server主要還是要靠Firewall來保護.
大致上來說是不是:
DMZ --> 保護公司內部網路
Firewall --> 保護Server &管理公司網路(流量.port的開放....)
K.L.P.P長篇鬼故事。不要學電腦,不要學英文。治療癌症的第三條路。擇偶有時候不要太挑。上班族物語。
天下有兩難~登天難,求人更難 地上有兩苦~黃蓮苦,貧窮更苦 世間有兩險~江湖險,人心更險 人間有兩薄~春冰薄,人情更薄 知其難、忍其苦、測其險、耐其薄,可處事矣!
"嗯!這麼說server放在DMZ也是不太安全的"
事實上Server放在哪裡都有安全顧慮,如果網路連接設定不適當,系統人員將系統設定錯誤,都還是會遭Internet使用者不當侵入,甚至會因公司內使用者使用不當,引入後門程式或病毒,導致伺服器遭入侵、公司內部資料流出等等後果。
而事實上DMZ設置作用,像之前我所說的有點像防火巷,要隔絕外部入侵,又要將一些必要資料放置在網路上提供利用,但又要將一些重要資料隱藏起來,所以才設置DMZ,來作為緩衝區,利用DMZ伺服器連接內外。
"而server主要還是要靠Firewall來保護."
保護伺服器要靠管理者,FireWall只能過濾封包/AP/甚至病毒,無法過濾OS/AP本身缺陷,向前陣子所談論到資料隱碼攻擊手法,就是利用合法手段取的非法資料
感謝你,學到DMZ的知識了.最初由 casio2800 發表
"嗯!這麼說server放在DMZ也是不太安全的"
事實上Server放在哪裡都有安全顧慮,如果網路連接設定不適當,系統人員將系統設定錯誤,都還是會遭Internet使用者不當侵入,甚至會因公司內使用者使用不當,引入後門程式或病毒,導致伺服器遭入侵、公司內部資料流出等等後果。
而事實上DMZ設置作用,像之前我所說的有點像防火巷,要隔絕外部入侵,又要將一些必要資料放置在網路上提供利用,但又要將一些重要資料隱藏起來,所以才設置DMZ,來作為緩衝區,利用DMZ伺服器連接內外。
"而server主要還是要靠Firewall來保護."
保護伺服器要靠管理者,FireWall只能過濾封包/AP/甚至病毒,無法過濾OS/AP本身缺陷,向前陣子所談論到資料隱碼攻擊手法,就是利用合法手段取的非法資料
K.L.P.P長篇鬼故事。不要學電腦,不要學英文。治療癌症的第三條路。擇偶有時候不要太挑。上班族物語。
天下有兩難~登天難,求人更難 地上有兩苦~黃蓮苦,貧窮更苦 世間有兩險~江湖險,人心更險 人間有兩薄~春冰薄,人情更薄 知其難、忍其苦、測其險、耐其薄,可處事矣!
我自己提供的只是很粗淺的資料而已
甚至有些言不達意
希望不要因為我的內容造成以後的誤解
DMZ只要去學習有關防火牆的知識就會有相關資料
提供一個簡單圖示
剛剛看了D-Link的說明
DMZ (DeMilitarized Zone) 是指一台不受防火牆保護的主機,它將暴露於網際網路,並可不受限制地做雙向通訊,以便讓某些網際網路遊戲,視訊會議,網路電話,以及其他特殊的應用程式可以執行。
書籤