什么是DMZ
Linux网络
DMZ 这个词来自军事领域,原意是 非军事区(Demilitarized Zone)。在网络架构里,DMZ(隔离区/缓冲区) 是指位于企业内网和外部网络(通常是互联网)之间的一块“中立”区域。
DMZ 的核心概念
- 它不是直接连在内网里的,而是独立出来的一个子网。
- 用来放置那些 既要对外提供服务、又要避免直接暴露内网 的系统。
- 常见做法:在 外部防火墙 和 内部防火墙 之间划分一个网络区域,就是 DMZ。
DMZ 里通常放什么?
- Web 服务器(对外提供 HTTP/HTTPS)
- 邮件服务器
- DNS 服务器
- 反向代理 / 负载均衡设备
- API 网关
这些系统要让外部访问,但又不能直接进公司内网,所以放在 DMZ。
工作方式举例
外部用户访问 Web 服务:
- 请求先打到外部防火墙 → DMZ 里的 Web 服务器 → 如果需要数据,再由 Web 服务器去访问内网数据库。
黑客攻击:
- 如果攻击成功攻陷了 DMZ 的服务器,他也只是进入 DMZ,并没有直接进入企业内网,还要过内部防火墙这一关。
一个形象的比喻
- 内网:你家的卧室(私密区域,最需要保护)。
- DMZ:你家的客厅,客人可以来,但不能随便进卧室。
- 互联网:你家大门外的大街。