我一直在阅读有关内联网,外联网,DMZ和VPN的内容,而且我需要一些与外联网和DMZ相关的说明。 我知道它们是不同types的概念 – 外部网允许有限的访问一些内部网资源,而DMZ是位于互联网和内部网之间的一个子网,并承载外部服务。 但是,我想知道在通常的设置中他们在实践中的区别是什么? 关于外联网的维基百科文章说,外联网与DMZ类似,因为它们被用于相同的目的(提供访问一些服务/资源而不暴露整个内联网)。 文章还指出,外部networking是VPN的一部分, 这篇TechNet文章还指出,外部networking访问通常类似于远程内部网访问,例如使用VPN。 TechNet文章还指出,外联网通常位于DMZ内部。 Pearson的这篇文章说:“尽pipe[DMZ]技术上位于内联网之内,它也可以作为外联网”。 这有点混乱。
考虑这种情况:一个公司在DMZ中有一个B2C网站。 该网站可以从任何地方访问,但需要用户authentication。 底层Web应用程序在Intranet中有其数据库,并且还与Intranet中托pipe的一些Web服务(即访问Intranet资源)进行交互。 我的看法是,网站确实有效地提供了访问内部网的限制。 但是它可以被认为是一个外联网? 如果我们从维基百科定义一个外联网的字面意思 – “一个外联网是一个计算机networking,允许从外部组织的内部网的受控访问” – 我认为它可以。
假设上述内容不能被视为外联网。 如果我们稍微改变这个场景,并且说它是一个B2B网站,那么访问只限于来自特定业务合作伙伴的连接(例如使用站点到站点的VPN)。 在这种情况下,它肯定是一个外联网,对吧? 如果是这种情况,那么Extranet服务和DMZ中托pipe的任何其他服务之间的区别仅仅是访问限制?
这些是学术上的区别。 在现实世界中,你会发现所有这些概念都是按照不同的术语进行组合的。
在一些组织中,DMZ具有单独的ISPnetworking连接并且不能访问内部资源。 在其他组织中,在DMZ中有join域的机器可以与一组受限制的内部机器进行通信。 有时候内部和DMZ有单独的防火墙。 有时他们在同一个防火墙上有单独的接口。
了解为什么有人应该使用外联网或DMZ是很重要的,因为那些是重要的安全概念。 从那里,你可以select如何允许访问某些资源。 它实际上叫什么并不重要。 在某些情况下,它是分裂头发。
我不认为我最近听说过教科书和教室以外的外联网。
DMZ是一种常见的networking拓扑结构,其网段由来自内部networking和不可信外部networking(即互联网 )的防火墙隔离。
相反,如果外部networking实际上包含在networkingdevise中,则暗示它连接到VPN或实际的专用networking,而不是整个更大的互联网。
许多公司都有多个DMZnetworking,并且会考虑一个带有VPN网关/路由器的networking或另一个DMZ的专用互连。
更经常地,外联网不是networking拓扑结构,而是更多地暗示与内部networking分离的服务,这种服务是为有限的可信,已知和/或authentication的外部用户,公司和networking提供的。
从networking的angular度来看,您的networking服务器应驻留在DMZnetworking中。 您的网站允许您的经销商login,浏览您的目录,查看库存和订单,这意味着您的网站将被市场部门称为外联网 。 开发成本将从$$到$$$$。
对我来说,我把这个归结为安全策略。 我们已经制定了一项政策,除非特定的例外被授权,否则任何公共访问的系统都不能访问内部网。 我们也有一个政策,即非军事区不会有入境访问我们的内联网,而我们的外联网也是这样。 例如,我们有一个带有后端数据库的Web服务器,它必须与基于内联网的数据库同步数据。 我们把Web服务器放在外部networking上的DMZ,后端数据库,并与生产内部networking数据库同步。 因此,对于信任评级,公共networking为0,DMZ为1,Extranet为2,Intranet为3。