Azure 安全网络篇 -- DMZ 区域设计实践

        应广大看官要求，今天为大家介绍如何在 Azure 上搭建 DMZ 区域。为什么讲这个话题，安全无小事，很多用户在上云的时候并没有做好安全的前期规划导致后期埋下了安全隐患。为什么专挑 DMZ 网络安全设计讲，要想富先修路，在云端跟 IDC 相同，要想富先修路，网络先行，同时 DMZ 区域是整个网络安全设计中的重点，流量属性最复杂，安全重要性最高。其次关于云原生，很多用户上云后希望更多采用云平台第一方的托管服务，过去一年多的时间 Azure 在安全产品上有很多新产品发布，也希望通过这篇文章，帮助用户了解 Azure 上有哪些牌，并将这副牌打好。在此次 DMZ 区域设计实践中，我们会涉及到 Azure 云上几个重要的安全产品，Azure VNET（虚拟网络服务），Azure DDoS（拒绝服务攻击防御服务），Azure WAF （WEB 安全防火墙服务），Azure Firewall （防火墙服务），Azure NSG（网络安全组服务），Azure Bastion（跳板机服务）。

        “DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网的攻击者来说又多了一道关卡。”  摘自百度百科

        简单来讲 DMZ 的概念就是分而治之，如果我们把运行在云端的应用服务按照服务对象来分类的话，一类是暴露给互联网用户使用的外网应用，一类是暴露给内网用户使用的内网应用。如果我们按照相同的安全策略进行管理，外网应用处于众矢之的，一旦被攻破其会成为渗透内网的跳板。其实整个网络安全中分而治之的概念贯穿在方方面面，Zero-Trust Sercurity（零信任安全）中做了任何人，应用都可能成为安全潜在危险的假设，所以在进行网络安全涉及的时候我们应该以按需分配的原则，为用户，应用系统进行分类，以最小权限分配原则将安全策略分配到用户，应用系统上。

标签：网络安全,--,网络,用户,安全,Azure,DMZ
来源： https://www.cnblogs.com/wekang/p/13450174.html