Question

针对 DMZ 区的互联网应用安全防护体系，我们将上面提到的各种管控技术方案进行抽象，并考虑实际落地运营情况，形成一个互联网 DMZ 区安全管控标准，供大家参考，见表 11-1。

表 11-1　互联网 DMZ 区安全管控标准

当然，除了表 11-1 所提到的技术点之外，还涉及上线流程管控、防分布式拒绝服务攻击（DDoS）等。常规的上线流程管控包括主机上线前扫描、应用上线前扫描、日志采集、安全防护软件部署、堡垒机纳管等各个环节，建议与 ITIL 流程结合在一起。而 DDoS 对抗也是一个很专业的细分领域，我们后面会在 18.1 节中介绍。最后，在互联网 DMZ 区可能还会部署类似 VPN、邮件等系统，考虑到这些更多的是为企业内部员工使用，所以我们将在第 13 章中进行阐述。