公网、防火墙、DMZ、企业内网常见的部署方案

在企业网络架构中，公网访问内网服务时会经历一条特定的路径，这条路径一般包括以下几个部分，按照访问顺序排列如下：

1. 公网 (Internet):

   • 用户或外部系统的请求首先从公网发起。

2. 防火墙 (Firewall):

   • 请求接着到达企业的防火墙，这是网络的第一层防御。
   • 防火墙负责过滤流量，允许或拒绝数据包进入企业网络，基于安全规则和策略。

3. DMZ (Demilitarized Zone):

   • 经过防火墙后，如果请求被允许，它将进入一个称为非军事区（DMZ）的特殊网络区域。
   • DMZ是一个受控的网络区域，通常用于放置对外提供服务的服务器，如Web服务器、邮件服务器等。
   • DMZ提供了一个额外的安全层，因为即使DMZ中的服务器被攻破，攻击者也难以直接访问企业的内部网络。

4. 企业内网 (Intranet):

   • 如果需要，请求可以从DMZ进一步路由到企业的内网，也就是企业的主要网络环境。
   • 企业内网通常包含敏感数据和关键业务系统，因此它通常受到额外的保护。
   • 访问内网的请求通常需要经过第二层防火墙的审查，这个防火墙专门用于DMZ和内网之间的通信。

整个流程可以用以下简化的顺序来描述：

公网 -> 防火墙 -> DMZ -> 第二层防火墙 -> 企业内网

在这个架构中，防火墙和DMZ的设置提供了多层次的安全防护，帮助企业防御外部威胁，同时允许合法的通信流量进入和出去。这种设置旨在最大化企业网络的安全性，同时维持必要的业务连通性。