什么是去矿化区？

在网络安全领域，人们经常使用非军事区这一概念。 非军事区将内部网络与互联网隔离开来，这类非军事区通常存在于企业网络中。 DMZ通常位于公司的内部网络中，其作用是将公司与外部威胁隔离开来。 虽然这个名称听起来可能有些负面，但实际上，DMZ可以成为网络安全的有效工具。 DMZ是一种网络屏障，用于区分公司内部的私有网络与公共网络之间的可信与不可信区域。 DMZ起到了保护层的作用，使得外部用户无法访问公司的数据。

DMZ会接收来自外部用户或公共网络的请求，这些请求都是为了获取该公司的信息或网站内容。对于这类请求，DMZ会在公共网络上建立会话连接。不过，DMZ无法在私有网络上建立会话连接。如果有人试图对DMZ进行恶意攻击，那么网页可能会被破坏，但其他信息仍然保持安全状态。
DMZ的目的是通过确保私有网络的安全性，从而让未经信任的网络能够访问该网络。虽然使用DMZ并不是必须的，但与其不使用DMZ，不如将其与防火墙一起使用，这样效果会更好。

非军事区设计与建筑

DMZ的设计与架构涉及多个要素，其中包括防火墙、路由器以及服务器等。其主要目标是确保对内部网络的访问受到严格控制，同时能够通过DMZ中的服务器向外部世界提供服务。

• 单防火墙DMZ架构：在单防火墙配置中，DMZ被设置为一个独立的网络，该网络与单防火墙相连。单防火墙负责控制进出网络的流量。
• 双防火墙DMZ架构：这种架构使用两个防火墙，一个用于外部网络，另一个用于内部网络。外部防火墙可以过滤来自外部的流量，从而限制对DMZ服务器的访问。而内部防火墙则能够阻止任何未经授权的流量从DMZ进入内部网络。

DMZ架构的组成部分

• 周边路由器：它位于外部网络与防火墙之间，负责将流量路由到DMZ区域，同时执行基本的过滤操作。
• 外部防火墙：该工具能够管理互联网与DMZ之间的流量，过滤掉不需要的流量，只允许必要的流量通过。HTTP和HTTPS.
• 非军事区服务器：这些服务器负责运行各种网络服务器、应用程序服务器，以及任何其他可供外部用户使用的服务。
• 内部防火墙：这些控制机制负责在DMZ与内部局域网之间实现流量传输，从而确保没有未经授权的访问行为发生。

Demiltarized Zone的主要特点

• DMZ可以为您的计算机系统提供与外部世界的隔离层。在创建网络时，必须确定您的计算机系统应该部署在何处。

• 在您的系统与互联网之间创建一个缓冲区，可以让您正常运作，同时避免受到外部攻击的威胁。将内部系统置于DMZ中，还可以有效防止黑客窃取数据或破坏公司的网络系统。因此，大多数组织在构建安全的计算机系统时都会采用DMZ策略。

• DMZ为道德黑客提供了攻击目标。黑客人们通常会选择那些计算机安全体系较为薄弱的公司。因此，许多组织都会使用DMZ来保护自己的内部系统。

• 那些拥有强大安全措施的公司，通常不会通过自行在计算机或IT环境中设置非军事化区域来导致网络出现漏洞。

• DMZ的存在，使得事情变得容易多了。道德黑客寻找/找到漏洞/缺陷一旦进入缓冲区，他们就可以访问指定的目标。通过了解哪些系统的安全性较弱，然后针对这些系统进行攻击，道德黑客可以在不进一步破坏公司网络的情况下，进行必要的维护工作。

DMZ网络是如何工作的呢？

• 交通过滤：防火墙会监控来自互联网的流量，并根据预先定义的规则，将这些流量引导到DMZ中的相应服务器上。
• 孤立的访问方式：如果外部用户试图访问像位于DMZ中的Web服务器这样的服务，那么外部防火墙会允许该请求通过，而内部防火墙则会阻止对内部网络的访问。
• 安全层次结构：即使攻击者成功攻破了DMZ服务器，内部系统仍然可以正常运行。防火墙它保护了敏感的内部网络，从而增加了一层防御机制。
• 入站和出站访问：DMZ允许外部网络对DMZ中的服务器进行访问，但从DMZ到内部网络的访问则受到严格的控制，甚至可能被完全阻止。

非军事区网络的重要性：它们是如何被使用的？

• 抵御外部攻击：通过将面向公众的服务隔离起来，DMZ可以降低攻击者在公共服务器受到攻击时获取敏感内部系统数据的风险。

• 确保公共服务的可靠性：那些需要与外部网络进行交互的服务器，比如Web服务器、电子邮件服务器以及DNS服务器，都被安置在DMZ中。这样，这些公共服务就能得到有效的保护，不会影响到内部网络的安全。

• 交通管制：位于DMZ中的防火墙和路由器负责控制流量流动，从而确保恶意数据被过滤掉，只有合法的请求才能进入内部网络。

• 最大限度地减少内部网络的暴露风险：通过将外部服务部署在DMZ中，可以最大限度地减少内部网络受到攻击的风险。即使DMZ中的服务遭到破坏，内部网络仍然能够保持隔离和安全性。

• 安全的VPN访问：许多组织都将DMZ作为安全的接入点。VPN这种访问方式使得外部员工能够连接到内部网络，而无需直接将内部网络暴露在互联网上。

结论

非军事区可以充当内部计算机与互联网之间的缓冲地带。在进行黑客攻击等任务时，这些区域也可以被用作攻击目标。社会工程学。最后，非军事区也可以被用于进行物理渗透测试。