外部网和DMZ之间的区别[关闭]

我现在一直在阅读有关Intranet，Extranet，DMZ和VPN的信息，并且需要对与Extranet和DMZ相关的一些说明。我知道它们是不同类型的概念-Extranet允许对某些Intranet资源的访问受限，而DMZ是位于Internet和Intranet之间并承载面向外部的服务的子网。但是，我想知道它们在通常设置中的实际区别是什么？在上外网维基百科的文章说，由于它们用于相同目的外联网类似的DMZ（提供访问某些服务/资源不暴露整个内部网络）。文章还指出，Extranet是VPN的一部分，并且此TechNet文章还指出，外部网访问通常类似于远程内部网访问（例如使用VPN）实现。TechNet文章还说，外部网通常托管在DMZ内部。皮尔森的这篇文章说：“尽管[DMZ]在技术上位于Intranet内，但[它]也可以充当Extranet”。这有点令人困惑。

考虑以下情况：一家公司在DMZ中托管了一个B2C网站。可以从任何地方访问该网站，但是需要用户身份验证。底层Web应用程序的数据库位于Intranet内部，并且还与Intranet内部托管的某些Web服务进行交互（即，它访问Intranet资源）。从我的角度来看，该网站确实有效地限制了对Intranet的访问。但是可以将其视为外部网吗？如果我们从字面上理解Wikipedia的Extranet定义-“ Extranet是一个允许从组织的Intranet外部进行受控访问的计算机网络”-我认为可以。

假设上述内容不能视为外部网。如果我们稍作更改方案，并说这是一个B2B网站，该访问仅限于来自特定业务合作伙伴的连接（例如，使用站点到站点VPN），该怎么办？在这种情况下，肯定是一个Extranet，对吗？如果是这种情况，那么Extranet服务与DMZ中托管的任何其他服务之间的区别就是访问限制吗？

这些是学术上的区别。在现实世界中，您会发现所有这些概念都有不同的组合。

在某些组织中，DMZ具有单独的ISP网络连接，并且无法访问内部资源。在其他组织中，DMZ中有加入域的计算机，它们可以与一组受限的内部计算机通信。有时内部和DMZ具有单独的防火墙。有时，它们在同一防火墙上具有单独的接口。

重要的是要知道为什么有人应该使用Extranet或DMZ，因为这些都是重要的安全概念。从那里，您可以选择如何允许访问某些资源。实际上所谓的没关系。在某些情况下，它会劈开头发。

我认为我最近没有听说过课本和教室外的Extranet。

甲DMZ是一种常见的网络拓扑与由从内部网络的防火墙和隔离网段不可信外部网络（又名互联网）。

相反，外联网，如果实际上包含在网络设计中，则暗示它已连接到VPN或实际的专用网络，而不是整个较大的Internet。

许多公司拥有多个DMZ网络，并且会考虑将具有VPN网关/路由器或专用互连的网络作为另一个DMZ。

更多情况下，外部网不是/而是网络拓扑，而是更隐含为与内部网络分离的服务，该服务是为受限制的一组受信任的，已知的和/或经过身份验证的外部用户，公司和网络提供的。

从网络角度来看，您的Web服务器应驻留在DMZ网络中。您的网站允许您的经销商登录，浏览目录，查看库存和订单的事实，这意味着营销部门将您的网站称为Extranet。开发成本将从$$变为$$$。

对我而言，我将其归结为安全策略。我们已制定书面政策，除非允许特定的例外情况，否则任何公开访问的系统都不能对Intranet进行入站访问。我们还有一项政策，即DMZ将无权访问Intranet，而Extranet则具有。例如，我们有一个带有后端数据库的Web服务器，该服务器必须与基于Intranet的数据库同步数据。我们将Web服务器放在DMZ上，将后端数据库放在Extranet上，并且它与生产Intranet数据库同步。因此，对于信任等级，公共网络将为0，DMZ将为1，Extranet将为2，Intranet将为3。