当前位置:首页 > 信息安全 > 正文

DMZ为啥叫DMZ

众所周知,DMZ(全称:Demilitarized Zone),中文叫:非军事管理区。


这个名字优点拗口,那为啥叫 “非军事管理区” 呢?
“非军事管理区” 也就是没有军队保护的区域,很危险!
为啥危险?:
这个可以从一个实际的例子来体会一下,例如有如下的网络拓扑:
DMZ为啥叫DMZ 第1张
在局域网中连接了3个设备(笔记本、手机、nas),其中nas用来做照片视频备份等服务。
此时,你在外面旅游,拍了很多照片,手机上快存不下了,想到家里有个nas,可以把手机上的照片存到nas里,然后清除手机里的。
但是,因为nas是在家里的局域网环境中,远在外面的你无法连接到nas保存照片,怎么办呢?
解决方法:把nas作为DMZ主机!
DMZ为啥叫DMZ 第2张
作为DMZ主机后,就相当于把nas完全暴露在公网上,访问路由器的公网IP地址,就相当于访问到了nas主机,这样一来,照片就可以及时地备份到家里的nas硬盘上了,听起来很好很方便。
某一天,你想登录nas主机上看看磁盘利用率,或者想在nas主机上安装一个web应用,于是你打开了ssh(22端口),通过远程登录的方式登录上去,登出的时候忘记了关闭22端口。
危险来了:因为nas主机是作为DMZ主机暴露在公网上的,所以22端口也是暴露在公网上,于是不停地有黑客扫描你的22端口,尝试用户名密码连接。
又不巧你设置的用户名密码又特别简单,被猜中了,黑客直接登录上你的nas主机,于是把你存在nas上的照片全部加密,并留下一句话:“请缴纳xxx个比特币到yyy账户,不然你的硬盘上的照片将再也打不开!”。
DMZ为啥叫DMZ 第3张
上图是实际生活中我的mysql服务被黑客登录后留下的一句话。虽然不是通过22端口进来的,但是原理是一样的(mysql是3306端口)。
这就非常危险,因为你在DMZ主机上暴露的端口都会直接暴露在公网上(防火墙不禁止的话)。就会时刻遭受黑客的攻击,而黑客只需要猜对用户名密码,就达到了入侵的目的!
这也就是DMZ为啥叫 “非军事管理区” 的原因,没有 “军队” 的保护,一切都是在裸奔!
如何解决调和危险性和易用性?
其实想要把内网中的服务暴露出去,除了使用DMZ来暴露之外,还可以使用NAT端口映射的方法。
DMZ为啥叫DMZ 第4张
访问到路由器的请求会根据端口不同,转发请求到内网里不同的主机上!
例如:
nas主机上开通了上传照片的端口为5000,在路由器的NAT映射中,我们可以配置8443端口访问映射到内部nas的5000端口。在外网上传照片的时候,通过路由器的公网IP+8443端口,就可以访问到内网的nas服务。
这样做的好处就是,无论nas主机开放了什么端口,都不会直接暴露在公网上,只有配置了NAT映射的端口才可以在公网正常访问!安全性得到了很大提升。


BY:https://mp.weixin.qq.com/s/4yFfEa_bdJujSCQe-SaM3A

相关文章

最新文章