網路世界的非軍事區 DMZ

閱讀時間約 5 分鐘

Internet & Intranet

Internet,這個名詞相信對大說數人來說應該不陌生。你可能也知道 Intranet (內部網路),甚至每天上班辦公都在使用它。那麼你聽過「DMZ」嗎?
每當要討論系統架構時,我的起手式就是直接在白板或紙上畫兩條長長的垂直線,一邊寫下 Inter 一邊寫著 Intra,而兩條垂直線的正中間就是我們這次要討論的 DMZ 。


穿越一下吧

想像有一天你在火車上吃著火鍋唱著歌,突然就讓麻匪給劫了。接著車廂內一陣天旋地轉你穿越到中世紀,並轉生成了一位公主或王子。你的家是一座城堡,城堡周圍有一道堅固的城牆,可以用來防止外來的入侵。
在城牆之外是一片自由的中土世界,雖然無拘無束但也充滿各種可能的威脅和危險。而城堡內部則是你的家,你的所有家當,重要的一切都放在城堡裡。

raw-image


某天你想要大撒幣辦一場如 Tomorrowland 的大型電音派對,但想了想,如果是在城牆外可能會有危險,辦在城堡內部人來人往的又不太方便,畢竟你可不想有酒鬼把你金碧輝煌的家吐得髒亂不堪,更不希望家裡遭遇宵小。

就在你一籌莫展之際,你的家臣向你進言:「殿下,咱家城堡與城牆間有一塊空地呀,何不就辦在那」。
此時你的目光看向了城堡與城牆間的那塊空地,突然茅塞頓開地說道:「對啊!辦在這塊空地既不用擔心危險,也不用煩惱家裡被弄亂呀」。
於是你龍心大悅,正式下令將這塊空地命名為【DMZ】。


什麼是 DMZ

回到現實,城牆之外就像是外部的網際網路,而城堡則像是企業的內部網路。雖然我們已經有了內外網路可以當作私有與公有領域的區分,但總有些需求既不適合放在內部網路也不適合放在外部。
這時就需要在城牆和城堡之間設立一個安全區域來扮演中繼站的角色,既可以讓城堡裡的人自由進出,又能與外部的人進行一些必要的交流互動。同時你依舊能夠享有城牆帶來的功用,阻止外部威脅直接進入城堡內部,從而保護了城堡的安全。

到這邊我們可以小結一下,DMZ 的主要功能就是提供一個額外的安全層,以防止外部對內部網路的直接訪問。透過將公共服務放置在 DMZ 中,企業可以確保內部網路不會因為外部攻擊而受影響。同時 DMZ 也可以幫助企業更好地管理內部網路使用者對外部服務的訪問,並減少潛在的安全風險。

就如同南北韓間的非軍事區承擔起了兩個實體之間的緩衝功能,將這片如夾心餅乾般的緩衝區域命名為 DMZ (Demilitarized Zone) 再適合不過了。

raw-image


一拍即合

現在你已經知道 DMZ 大概是怎麼一回事了,那麼接著你可能會好奇,什麼東西跟 DMZ 最速配呢?

以下列舉一些常見且適合放置在 DMZ 的服務:

  1. Web Server
    企業的網站通常是對外公開的,因此將網站伺服器放置在 DMZ 中是一個常見的做法。這樣可以防止攻擊者直接訪問到企業內部網路,同時仍然能夠向外部用戶提供網站服務。
  2. Mail Server
    企業的電子郵件服務通常需要與外部郵件服務進行溝通,因此將郵件伺服器放置在 DMZ 中是一個安全的做法。這樣可以防止垃圾郵件和惡意郵件進入企業內部網路。
  3. FTP Server
    企業可能需要將一些文件和資料提供給外部合作夥伴或客戶,因此將 FTP 伺服器放置在 DMZ 中可以方便外部用戶訪問這些資料,同時保護企業內部網路的安全。
  4. VPN
    企業的員工可能需要從外部訪問企業內部網路,以便遠端工作或者訪問公司資源。將 VPN 服務架設在 DMZ 中可以提供安全的遠端連線解決方案。
  5. DNS
    企業的內部網路可能需要使用公共的 DNS 服務來解析域名,將 DNS 伺服器放置在 DMZ 中可以提供這樣的功能,同時保護企業內部網路的安全。

從上述的例子中,可以發現到會放置在 DMZ 的,最好是那些企業需要面向外部,提供給外部網路使用的公共服務。這些服務應該是低機敏性的,並且不會直接影響到內部網路的安全性。


為安全而生

安全的建置觀念

建置 DMZ 是一個關鍵的安全任務。首先企業需要確定哪些服務要放置在 DMZ 中,以及它們需要與內部和外部網路進行溝通的連線方式。
接著企業需要設計和實施適當的防火牆策略,以確保 DMZ 中的服務只能與所需的網路進行連線,並限制其對內部網路的訪問 (裝機部署時 API 打不通或瀏覽不到網站有 87% 都是因為防火牆^_^)。此外,企業還應定期檢核和更新 DMZ 的安全配置,以應對不斷變化的安全威脅。

必要的安全原則

在規劃 DMZ 時,有幾個安全原則需要考量。

  1. DMZ 中的服務應盡可能地簡化和限制。
  2. DMZ 中的服務應與內部和外部網路進行嚴格的隔離,以減少潛在的攻擊風險。
  3. 企業應採取措施來監控和記錄 DMZ 中的活動,以便及時檢測和應對安全事件。


嘮叨幾句

身為前端工程師千萬別認為 DMZ 是 Infra 的工作而漠不關心,我們所開發的網站 (特別是 2C 性質) 幾乎都是部署在 DMZ。如果對此沒有基本的認知與資安意識,那麼你對於網站架設及其系統環境產生的影響,乃至於造成的網頁異常的解決能力,將會是模糊且不可靠的。
最後還是要強調一個觀念,DMZ 是保護內部網路安全的一個重要組成。建置 DMZ 需要仔細考慮和計劃,並遵循相應的安全原則。通過將公共服務放置在 DMZ 中,企業可以實現內外網路之間的安全隔離,同時提供必要的公共服務。
隨著科技日新月異,資安攻防也不斷地變化。或許吧,在未來我們可能還將看到更多創新的安全解決方案和最佳實踐的出現,以應對瞬息萬變的網路安全威脅。


順道一題,撰寫這篇文章時正值 Tomorrowland Winter 2024 期間唷​!放個 2023 年的影片嗨一下吧 🙌 🙌 🙌


Cheng's murmur

浴室乾濕分離的最大缺點就是,
冬天洗完澡走出淋浴間時,
每一秒都是煎熬。
2會員
5內容數
生活就是 早上 8 點的文湖線;晚上 8 點的 New York Sour;帶著一台 GR3X 意興闌珊的漫步;嚮往著午後草皮上陪拉布拉多 🐶 玩耍;拿起似有似無的筆開始敲打創作。
留言0
查看全部
發表第一個留言支持創作者!
你可能也想看
Google News 追蹤
Thumbnail
接下來第二部分我們持續討論美國總統大選如何佈局, 以及選前一週到年底的操作策略建議 分析兩位候選人政策利多/ 利空的板塊和股票
Thumbnail
🤔為什麼團長的能力是死亡筆記本? 🤔為什麼像是死亡筆記本呢? 🤨作者巧思-讓妮翁死亡合理的幾個伏筆
Thumbnail
「網路世界」,這個詞彙已經成為我們日常生活中不可或缺的一部分。從每天早上的社交媒體瀏覽,到網上購物和學習,我們與網路的互動讓我們能夠探索前所未有的數位之旅。這個無限的虛擬世界提供了無數的機會和挑戰,讓我們一同來探索這個精彩的網路世界吧!
現代人時常抱怨時間不夠多,錢不夠用彷彿所有的一切都不足夠。 但是當你捫心自問為什麼時答案往往心裡有數。 「手機要錢,網路要錢,充電要錢」所有的東西都需要錢,而我們必須花更多時間去賺錢,就只為了工作與生活。 手機成了生活不可或缺的一部分甚至代表了一個人的存在,當一個人不見了(死亡或離職)只要他的手機還
Thumbnail
以網路犯罪為主題,《禍駭:網路犯罪世界的第一手紀實》以一名記者的視角,帶領讀者看見網路犯罪的各個面向,小到個人的隱私侵犯、大至影響總統大選,藉由這些事件,我們也得以了解網路犯罪的嚴重性,及資安是如何被嚴重低估。
Thumbnail
前言 儘管世界各地紛紛高喊著民主自由、拒絕使用中國大陸的一切產品——因為人們害怕遭受「思想審查」。但你有想過現今全球最大的社交平台 Facebook、最大的搜尋引擎網站 Google 都紛紛被請到法庭上,只因他們沒有做好「內容控管」? 不只是微信、百度這類刻板印象的軟體作為國家機器操控的媒介,Fac
Thumbnail
駭客已經是一個產業。駭客不只是組織運作,已發展成有上下游的產業鏈運作的大型產業。在我們日常網路世界的「另一面」,有一個暗網在運作著,駭客工業在其中蓬勃的發展,每天用各種方式攻擊著我們的網路世界。 平均每39秒會有一個攻擊事件,一個沒有保護好的網站一放到網路上,18分鐘就會被攻破入侵。
Thumbnail
網路世界比現實世界豐富、便捷,我現在上網除了到臉書和部落格發文,主要是去尋找我想看的知識性資訊、影劇、風土民情。當我對周遭人事的興趣越來越淡薄、越無所期待後,我越來越專注於規劃自己在今天、下個月、明年、餘生要做什麼。我的生活圈子好像縮小了,但如此自歌自舞自徘徊,卻另有難得的自在安詳。
Thumbnail
H作家您好:我是一位大學生,約一個半月前在某大學生社群裡,遇見一位聊天對象。從談吐和視訊過程中,可以感覺到彼此的默契,時常不約而同地說出對方心裡話。我對他動了心,他說他也是,但是我們達成共識,等到見面才提這件事情;我不知道是什麼樣的勇氣,去讓我喜歡一位從未見過面的陌生人,或許是因為身旁許多事情相同,
Thumbnail
連勝文對媒體說道:「老柯是一個只能夠活在虛擬世界當中的英雄人物」,並建議柯文哲專心做網紅就好。 其實這評論的背後有一基本假設:一個人在網路上所擁有的特性,並不會等於其現實生活中的個人特徵。 但這是真的嗎?讓心理學研究來告訴你網路是否反映著真實。
Thumbnail
<p>在 Keren Elazari 的 TED Talk 中,描述了一個善加利用駭客的遠景,將破壞的力量疏導成正面的推力。她不屏棄駭客,認為這樣的行為正面鼓勵能形成社會改革無形且強大的力量。她的見解,被 TED 選為 2014 最具有創意的想法。</p>
Thumbnail
接下來第二部分我們持續討論美國總統大選如何佈局, 以及選前一週到年底的操作策略建議 分析兩位候選人政策利多/ 利空的板塊和股票
Thumbnail
🤔為什麼團長的能力是死亡筆記本? 🤔為什麼像是死亡筆記本呢? 🤨作者巧思-讓妮翁死亡合理的幾個伏筆
Thumbnail
「網路世界」,這個詞彙已經成為我們日常生活中不可或缺的一部分。從每天早上的社交媒體瀏覽,到網上購物和學習,我們與網路的互動讓我們能夠探索前所未有的數位之旅。這個無限的虛擬世界提供了無數的機會和挑戰,讓我們一同來探索這個精彩的網路世界吧!
現代人時常抱怨時間不夠多,錢不夠用彷彿所有的一切都不足夠。 但是當你捫心自問為什麼時答案往往心裡有數。 「手機要錢,網路要錢,充電要錢」所有的東西都需要錢,而我們必須花更多時間去賺錢,就只為了工作與生活。 手機成了生活不可或缺的一部分甚至代表了一個人的存在,當一個人不見了(死亡或離職)只要他的手機還
Thumbnail
以網路犯罪為主題,《禍駭:網路犯罪世界的第一手紀實》以一名記者的視角,帶領讀者看見網路犯罪的各個面向,小到個人的隱私侵犯、大至影響總統大選,藉由這些事件,我們也得以了解網路犯罪的嚴重性,及資安是如何被嚴重低估。
Thumbnail
前言 儘管世界各地紛紛高喊著民主自由、拒絕使用中國大陸的一切產品——因為人們害怕遭受「思想審查」。但你有想過現今全球最大的社交平台 Facebook、最大的搜尋引擎網站 Google 都紛紛被請到法庭上,只因他們沒有做好「內容控管」? 不只是微信、百度這類刻板印象的軟體作為國家機器操控的媒介,Fac
Thumbnail
駭客已經是一個產業。駭客不只是組織運作,已發展成有上下游的產業鏈運作的大型產業。在我們日常網路世界的「另一面」,有一個暗網在運作著,駭客工業在其中蓬勃的發展,每天用各種方式攻擊著我們的網路世界。 平均每39秒會有一個攻擊事件,一個沒有保護好的網站一放到網路上,18分鐘就會被攻破入侵。
Thumbnail
網路世界比現實世界豐富、便捷,我現在上網除了到臉書和部落格發文,主要是去尋找我想看的知識性資訊、影劇、風土民情。當我對周遭人事的興趣越來越淡薄、越無所期待後,我越來越專注於規劃自己在今天、下個月、明年、餘生要做什麼。我的生活圈子好像縮小了,但如此自歌自舞自徘徊,卻另有難得的自在安詳。
Thumbnail
H作家您好:我是一位大學生,約一個半月前在某大學生社群裡,遇見一位聊天對象。從談吐和視訊過程中,可以感覺到彼此的默契,時常不約而同地說出對方心裡話。我對他動了心,他說他也是,但是我們達成共識,等到見面才提這件事情;我不知道是什麼樣的勇氣,去讓我喜歡一位從未見過面的陌生人,或許是因為身旁許多事情相同,
Thumbnail
連勝文對媒體說道:「老柯是一個只能夠活在虛擬世界當中的英雄人物」,並建議柯文哲專心做網紅就好。 其實這評論的背後有一基本假設:一個人在網路上所擁有的特性,並不會等於其現實生活中的個人特徵。 但這是真的嗎?讓心理學研究來告訴你網路是否反映著真實。
Thumbnail
<p>在 Keren Elazari 的 TED Talk 中,描述了一個善加利用駭客的遠景,將破壞的力量疏導成正面的推力。她不屏棄駭客,認為這樣的行為正面鼓勵能形成社會改革無形且強大的力量。她的見解,被 TED 選為 2014 最具有創意的想法。</p>