关于网络安全防护架构中的DMZ区

公司有一个网站群的业务，应用规模比较大，目前计划是从传统的虚拟机部署方式迁移到内部的私有云。

这种迁移的动作是一个很好的学习机会。在交流的时候的时候，领导有提到现有的架构基本上是参照中国人民银行发布的《网上银行系统信息安全通用规范2012版》中的网络防护架构来设计的。于是我找到了原文进行学习。

在附录A和附录B，文档提供了基本的和增强的网络防护架构参考图。

因为目前运维的应用不是web类的，因此对这个网络防护架构图进行了研究。

其中，DMZ区的概念不是很清楚，经过搜索了解到这其实是防火墙的知识点。

 

关于DMZ的原理不解？ - 知乎 (zhihu.com)

这篇回答介绍了防火墙的五种过滤规则，两种分类，以及三种部署形式。

DMZ原理与应用 - kosamino - 博客园 (cnblogs.com)

这篇文章介绍了防火墙的三个区域，DMZ的基本概念，以及DMZ区需要配置的六类访问策略。

 

简单来说，当我们需要提供一些服务让用户能够从互联网访问时，这个场景增加了安全风险，让内部网络可能更容易受到攻击。
因此，DMZ这一防火墙解决方案可以帮我们降低内部网络的安全风险。

最后，在更新的2020版《网上银行系统信息安全通用规范》中，这两部分附录的架构图被删去了，仅供学习参考吧。