您现在的位置: 
问:我们的Web、FTP(文件传输协议)和DNS(域名系统)服务器都是设置在DMZ内部的,并且只允许几个特定的端口从外部区域进行访问。如果我还把服务器放在内部,然后允许外部访问端口,这样有什么不同?特别是我们在思科的PIX防火墙上使用相同的命令,允许端口从较低的安全区域访问较高的安全区域。
答:不错的问题。把服务器放置在DMZ内部,而不是网络内部,是为了防御来自网络内部或外部的攻击。研究表明,大部分的安全事故是由内部引起的。内部和外部的访问使用同样的规则有意义吗?分离服务器和DMZ的另外一个原因是,为了帮助保护内部网络。比如,现在,在端口80上,有很多的正在运行的攻击,而你需要为Web服务器开放开放端口80 。通过把服务器放置砸DMZ内部,就可以对DMZ开放端口80,但是可能会对内部网络关闭。如果在内部网络上有服务器,就不能关闭端口。你总是需要拒绝任何流量,然后允许需要的内容。通过把服务器放置在DMZ内部,在应用安全公理的时候就有了更多的间隔尺寸。
