|
贊助商連結 頁 :
[1]
2
randy927 2002-08-21, 03:46 PM 聽說一些Server 可以把它放在DMZ區,但聽朋友說DMZ也不是絕對安全的, 我知道有些Hardware Firewall 會有WAN.LAN.DMZ port,軟體好像也可以 做出DMZ但我不太清楚要如何做. 不過DMZ到是它的作用及功能是什麼呢?它是如何運作的? 大家討論看看. 贊助商連結 casio2800 2002-08-22, 03:03 PM 就我所知的DMZ來回答一下 一般要建立DMZ區域需要一台主機3張網卡來區隔 一張位址是實際Internet IP負責聯外 一張也是實際Internet IP負責連到DMZ區域 一張則是連到私人虛擬網路上,也就是一般公司行號用的非正式IP 要達到DMZ建立至少Internet IP要擁有到可以切割使用 這樣才能將一部份IP指派為DMZ區域 而DMZ本來就不是安全區域,他只是個緩衝區域 區隔Internet使用者不致闖入公司內部而已 以上面架構而言,瓶頸在於DMZ的網卡 這是簡單說明,很籠統 但一時之間說不清楚,因為還有其他方式更加嚴密的DMZ randy927 2002-08-22, 05:46 PM 最初由 casio2800 發表 就我所知的DMZ來回答一下 一般要建立DMZ區域需要一台主機3張網卡來區隔 一張位址是實際Internet IP負責聯外 一張也是實際Internet IP負責連到DMZ區域 一張則是連到私人虛擬網路上,也就是一般公司行號用的非正式IP 要達到DMZ建立至少Internet IP要擁有到可以切割使用 這樣才能將一部份IP指派為DMZ區域 而DMZ本來就不是安全區域,他只是個緩衝區域 區隔Internet使用者不致闖入公司內部而已 以上面架構而言,瓶頸在於DMZ的網卡 這是簡單說明,很籠統 但一時之間說不清楚,因為還有其他方式更加嚴密的DMZ 請問既然DMZ算是不安全的區域,那為什麼有些server會要把它放在DMZ區呢? (這就是我不了解的地方) casio2800 2002-08-23, 08:12 AM 如果嚴格說起來,公司內部網路有時也會因網管或系統人員錯誤而被Internet駭客得知 那你說哪裡安全? 其實因為DMZ也是位於Internet上的地區,在外防守的防火強設定不恰當或是管理有問題 或是OS/AP本身就有漏洞,當然就不安全 公司內部網路會較安全原因在於位址轉換,如果他從Internet上無法實際接觸你公司內部 那除了透過安裝後門程式與病毒外,大概就沒輒 所以當無法來到大門前正面踢館時,當然會較安全 而當它可以穿過你的管制與保護,到達大門時,已經兵臨城下了 所以DMZ會有不安全說也是其來有自 況且,他其實應該是定義於內外戰區的停戰區,但這停戰區有可能隨時被攻陷的 randy927 2002-08-23, 08:44 AM 最初由 casio2800 發表 如果嚴格說起來,公司內部網路有時也會因網管或系統人員錯誤而被Internet駭客得知 那你說哪裡安全? 其實因為DMZ也是位於Internet上的地區,在外防守的防火強設定不恰當或是管理有問題 或是OS/AP本身就有漏洞,當然就不安全 公司內部網路會較安全原因在於位址轉換,如果他從Internet上無法實際接觸你公司內部 那除了透過安裝後門程式與病毒外,大概就沒輒 所以當無法來到大門前正面踢館時,當然會較安全 而當它可以穿過你的管制與保護,到達大門時,已經兵臨城下了 所以DMZ會有不安全說也是其來有自 況且,他其實應該是定義於內外戰區的停戰區,但這停戰區有可能隨時被攻陷的 嗯!這麼說server放在DMZ也是不太安全的,而DMZ主要是保護內部網路 (一般公司內部192.168.XXX.XXX),而server主要還是要靠Firewall來保護. 大致上來說是不是: DMZ --> 保護公司內部網路 Firewall --> 保護Server &管理公司網路(流量.port的開放....) casio2800 2002-08-23, 09:54 AM "嗯!這麼說server放在DMZ也是不太安全的" 事實上Server放在哪裡都有安全顧慮,如果網路連接設定不適當,系統人員將系統設定錯誤,都還是會遭Internet使用者不當侵入,甚至會因公司內使用者使用不當,引入後門程式或病毒,導致伺服器遭入侵、公司內部資料流出等等後果。 而事實上DMZ設置作用,像之前我所說的有點像防火巷,要隔絕外部入侵,又要將一些必要資料放置在網路上提供利用,但又要將一些重要資料隱藏起來,所以才設置DMZ,來作為緩衝區,利用DMZ伺服器連接內外。 "而server主要還是要靠Firewall來保護." 保護伺服器要靠管理者,FireWall只能過濾封包/AP/甚至病毒,無法過濾OS/AP本身缺陷,向前陣子所談論到資料隱碼攻擊手法,就是利用合法手段取的非法資料 randy927 2002-08-23, 12:57 PM 最初由 casio2800 發表 "嗯!這麼說server放在DMZ也是不太安全的" 事實上Server放在哪裡都有安全顧慮,如果網路連接設定不適當,系統人員將系統設定錯誤,都還是會遭Internet使用者不當侵入,甚至會因公司內使用者使用不當,引入後門程式或病毒,導致伺服器遭入侵、公司內部資料流出等等後果。 而事實上DMZ設置作用,像之前我所說的有點像防火巷,要隔絕外部入侵,又要將一些必要資料放置在網路上提供利用,但又要將一些重要資料隱藏起來,所以才設置DMZ,來作為緩衝區,利用DMZ伺服器連接內外。 "而server主要還是要靠Firewall來保護." 保護伺服器要靠管理者,FireWall只能過濾封包/AP/甚至病毒,無法過濾OS/AP本身缺陷,向前陣子所談論到資料隱碼攻擊手法,就是利用合法手段取的非法資料 感謝你,學到DMZ的知識了. casio2800 2002-08-23, 01:07 PM 我自己提供的只是很粗淺的資料而已 甚至有些言不達意 希望不要因為我的內容造成以後的誤解 DMZ只要去學習有關防火牆的知識就會有相關資料 casio2800 2002-08-23, 01:08 PM 提供一個簡單圖示 gx21 2002-10-29, 11:10 PM 剛剛看了D-Link的說明 DMZ (DeMilitarized Zone) 是指一台不受防火牆保護的主機,它將暴露於網際網路,並可不受限制地做雙向通訊,以便讓某些網際網路遊戲,視訊會議,網路電話,以及其他特殊的應用程式可以執行。 |
|
|