DMZ 就是非軍事區或是非武裝區
如有規劃系統主機
可以參考這樣的方式
來增加資料的安全性
所謂的非軍事區就是在公司的規範之下,開放給公司以外或是讓外部需要的人
可以方便的做查詢。
以正常來說這些區域內的相關資料都不包含機密性的資料,
對於比較有機密性的資料,大致上都不會放到 DMZ 的範圍內
例如:產品的介紹、客戶服務的內容、資料庫查詢系統......等等。
這些都是放在 DMZ 區域範圍內。
這樣的規劃,對於機密性的資料安全也提高許多
其實 DMZ 只是一個有別於防火牆內部跟外部以外的實體隔離區域,
視防火牆的設計,
有時會有2個或更多的 DMZ 出現,
至於實際規劃建置上,
DMZ 區放置的主機性質因安全風險規劃考量上會有不同的結果,
以小弟服務的單位,
除了流量較大或核心資訊系統是放在內部網路外,
其餘所有的主機都全部放在 DMZ,
之所以有如此規劃是因為考量到來自內部網路的資安威脅遠大於外部,
這種規劃方式是教科書較少提到的部分!
提供大家一個參考.
這種應用方式還滿新奇的~
第一次聽到ㄟ
不過你也提到內部網路的資安威脅遠大於外部
應該從這方面下手
這種方式真的是顛覆我以前的概念了
不曉得 cooch 方不方便再描述清楚一點?
若能另以專文分享, 或加個範例, 那就太棒了!
不同的問題,不同的考量,不同的解決方式!
把多數主機放到 DMZ 的方式也是如此,
這不是什麼新觀念,
只是比較少人使用而已!
就如withsr所說,
應該從問題源頭解決(您的意思應該是這樣吧!),
但用戶端的問題其實很多,
我們服務單位對於使用者的電腦環境不做太多的限制,
可以任意使用隨身碟,
可以用自己的 Notebook 接到內部區網...
經過防火牆和入侵防禦系統的防護,
外部網路的資安威脅其實很低,
但是內部網路呢???
主機跟用戶端電腦之間是赤裸相見...
(是誇張了點..)
既沒有防火牆也沒有入侵防禦的機制..
市面上當然有很多解決方案來處裡這種問題,
但要能有效降低問題的方案都所費不貲..
在我們單位將主機放到 DMZ 是解決這種問題最快最有效的方式,
大部分主機提供服務的網路流量都很低,
有一些主機不直接提供服務給用戶端,
這種方式以 PIX 515R 還能輕鬆應付!
剩下少數流量較大( File Server )
和核心資訊系統(..就是不允許中斷的資訊系統..%$#$)
就放在內部區網..
iThome鐵人賽
看影片追技術