外聯網和 DMZ 之間的區別
我現在一直在閱讀有關 Intranet、Extranet、DMZ 和 VPN 的資訊,我需要一些與 Extranet 和 DMZ 相關的說明。我理解它們是不同類型的概念——外聯網允許對某些內聯網資源進行有限訪問,而 DMZ 是位於網際網路和內聯網之間的子網,並託管面向外部的服務。但是,我想知道在通常的設置中它們在實踐中的區別是什麼?維基百科關於外聯網的文章說外聯網類似於 DMZ,因為它們用於相同的目的(提供對某些服務/資源的訪問而不暴露整個內聯網)。該文章還指出外聯網是 VPN 的一部分,而這篇 TechNet 文章還指出,外聯網訪問通常與遠端內聯網訪問類似,例如使用 VPN。TechNet 文章還說,外聯網通常託管在 DMZ 內。這篇 Pearson 文章說“雖然
$$ the DMZ $$技術上位於 Intranet 內,$$ it $$也可以用作外聯網”。這有點令人困惑。 考慮這種情況:一家公司在 DMZ 中託管了一個 B2C 網站。該網站可以從任何地方訪問,但需要使用者身份驗證。底層 Web 應用程序的數據庫位於 Intranet 內部,並且還與 Intranet 內部託管的一些 Web 服務進行互動(即,它訪問 Intranet 資源)。在我看來,該網站確實有效地提供了對 Intranet 的受限訪問。但它可以被視為外聯網嗎?如果我們從字面上理解外聯網的維基百科定義——“外聯網是允許從組織的內聯網外部進行受控訪問的電腦網路”——我認為它可以。
假設上述內容不能被視為外聯網。如果我們稍微改變一下場景,假設它是一個 B2B 網站,其中的訪問僅限於來自特定業務合作夥伴的連接(例如,通過使用站點到站點 VPN)。在這種情況下,它肯定是一個外聯網,對吧?如果是這種情況,那麼外網服務與託管在 DMZ 中的任何其他服務之間的區別僅僅是訪問限制嗎?
這些是學術上的區別。在現實世界中,您會發現所有這些概念的組合使用不同的術語。
在某些組織中,DMZ 具有單獨的 ISP 網路連接,並且無法訪問內部資源。在其他組織中,DMZ 中有加入域的機器可以與一組受限的內部機器進行通信。有時內部和 DMZ 有單獨的防火牆。有時它們在同一個防火牆上有不同的介面。
了解為什麼有人應該使用外聯網或 DMZ 很重要,因為這些是重要的安全概念。從那裡,您可以選擇如何允許訪問某些資源。它實際上叫什麼並不重要。在某些情況下,它正在分裂頭髮。