16.7.2　使用隔离区域（DMZ）

正如本章前面所提到的，我们的服务器和Web应用不仅存在被外部客户攻击的风险，还存在被内部恶意用户攻击的可能。尽管后者不会太多，但是他们通常具有公司运营的常识，会更具有破坏力。

降低这种风险的一个办法是实现隔离区域（demilitarized zone），或DMZ。在隔离区域中，我们可以将运行Web应用的服务器与外部互联网以及内部公司网络相隔离，如图16-3所示。

图　16-3　设置隔离区域（DMZ）

DMZ具有如下两个主要优点：

■它可以保护服务器和Web应用，防止内部和外部攻击。

■通过在公司网络和互联网之间增加防火墙和安全层，它可以进一步保护内部网络。

DMZ的设计、安装和维护必须通过为你的Web应用提供主机服务的网络管理员协调完成。