🔐 “DMZ 边界服务器不出网” 到底是什么意思?在企业网络中: - “不出网” 并不代表这个服务器完全不能发送任何网络请求;
- 它的含义是:“不能主动访问互联网公网”,特别是 HTTP、HTTPS、FTP、SSH 等协议,对外发起连接被阻断或限制;
- 更准确的说法应该是:“受限出网”,通常指 禁止主动访问外部 IP 地址或域名。
🌐 那为什么还能提供 HTTP 服务?具体分析: | 类型 | 主动 / 被动 | 网络行为 |
|---|
| “出网” | ✅ 主动 | 服务器主动访问公网地址 | | “提供 HTTP 服务” | ❌ 被动 | 服务器被公网客户端访问,服务器做出响应 |
所以: 🧠 提供 HTTP 服务 ≠ 出网 服务端接收请求、发送响应 是被动的、允许的行为,不会触发出网控制策略。
🏗️ 举个例子你访问: http://www./api/user
背后过程是:- 浏览器发请求 → 到公司防火墙 → 转发给 DMZ 区的 Web 服务;
🔍 为什么要“限制出网”?安全意义:- 📉 减少反序列化、命令执行漏洞中的远程加载风险(如
rmi://evil.com/obj)。
⚠️ 那 DNS 呢?出网吗?- DNS 查询行为常被允许,因为它是“出网”的最基础形式;
- 但攻击者可以滥用(如 FastJSON 反序列化时出网 DNSLog);
- 所以高安全环境会使用:内网 DNS 缓存/转发 + 外部白名单解析服务器,并限制非 53 端口解析行为。
具体分析👉 DNS 一响,漏洞登场!FastJSON 不出网探测全攻略
✅ 边界网络部署拓扑示例很多刚入门小白可能对网络拓扑不太熟悉,可参考下面:
🌐 互联网(公网)
|
(访问 Web 服务,如 HTTP/HTTPS 请求)
↓
+--------------------------[ 防 火 墙 ]--------------------------+
| |
| DMZ 区(边界缓冲区) |
| |
| +----------------+ +----------------------------+ |
| | Web Server | <------ | 公网请求(被动接收) | |
| | 192.168.10.10 | +----------------------------+ |
| | 提供 HTTP 服务 | |
| | 禁止主动出网 | ✖───X───→ (不允许主动访问公网) |
| +----------------+ |
| |
+--------------------------[ 第二道防火墙 ]---------------------+
|
↓
内网区(受保护的核心系统)
+----------------+ +------------------+
| 业务系统服务器 | <--> | 数据库服务器等 |
| 192.168.20.X | | 192.168.30.X |
+----------------+ +------------------+
🔍 解释说明:
|
