网络中的DMZ是什么？

Question

我必须配置一个托管在公司网络中的 Java 应用程序。那么什么是DMZ以及如何打通来暴露服务呢？

Answer 1

DMZ 区域是本地（家庭或公司）网络的一个区域，可从外部（互联网）访问。

通常，在家庭路由器中，有一个配置允许您指定哪台计算机 (IP) 位于 DMZ 中，并且路由器会将来自互联网的请求转发到该计算机。然后，该计算机可以托管可供互联网使用的服务（http、ftp、ssh...）。根据路由器的不同，这或多或少是可配置的。

就你的情况而言，我不认为在java应用程序中需要做任何特殊的事情（除了将服务器套接字绑定到正确的IP上......如果你有多个，但你可能没有）。您必须配置公司路由器（或要求 IT 人员）才能将您的计算机添加到 DMZ。他们可能会给您一个外部 IP（与您的计算机内部 IP 匹配），可用于从互联网访问您的服务。

Answer 2

您需要 DMZ 的原因及其提供的好处。总体思路是，将面向公众的服务器放在“DMZ 网络”中，以便可以将它们与私有的、受信任的网络分开。用例是，因为您的服务器具有公共面孔，所以可以远程获取 root 权限。如果发生这种情况，并且恶意方获得了对您服务器的访问权限，他应该被隔离在 DMZ 网络中，并且不能直接访问私有主机（或数据库服务器，例如位于私有网络内部而不是在非军事区）。

如何做到这一点：有多种方法，但“书本示例”是利用两个防火墙（当然，您可以使用一个防火墙和智能配置达到相同的结果，尽管硬件隔离更好）。您的主防火墙位于互联网和服务器之间，第二个防火墙位于服务器和专用网络之间。在第二个防火墙上，理想情况下，从服务器到专用网络的所有访问都将被禁止（当然，它将是一个全状态防火墙，因此如果您启动从专用网络到服务器的连接，它将起作用）。

因此，这是 DMZ 的相当高层次的概述。如果您想要更多技术细节，请相应地编辑您的问题。

从堆栈交换网站复制：https://security.stackexchange.com/questions/3667/what-is-the-real-function-and-use-of-a-dmz-on-a-network

Answer 3

DMZ（网络）：

在计算机安全中，DMZ 或非军事区是一个物理或逻辑子网，其中包含组织的外部服务并将其公开给更大的不受信任的网络（通常是 Internet）。 IT 专业人员通常将该术语称为 DMZ。它有时被称为外围网络。 DMZ 的目的是为组织的局域网 (LAN) 添加额外的安全层；外部攻击者只能访问 DMZ 中的设备，而不能访问网络的任何其他部分。