企业架构中最容易误解的概念:DMZ 不出网 ≠ 无法被访问

admin
admin
admin
139422
文章
114
评论
2025年4月25日00:01:23评论0 views字数 1943阅读6分28秒阅读模式

🔐 “DMZ 边界服务器不出网” 到底是什么意思?

在企业网络中:

  • “不出网” 并不代表这个服务器完全不能发送任何网络请求;
  • 它的含义是:“不能主动访问互联网公网”,特别是 HTTP、HTTPS、FTP、SSH 等协议,对外发起连接被阻断或限制
  • 更准确的说法应该是:“受限出网”,通常指 禁止主动访问外部 IP 地址或域名

🌐 那为什么还能提供 HTTP 服务?

具体分析:

类型 主动 / 被动 网络行为
“出网” ✅ 主动 服务器主动访问公网地址
“提供 HTTP 服务” ❌ 被动 服务器被公网客户端访问,服务器做出响应

所以:

🧠 提供 HTTP 服务 ≠ 出网 服务端接收请求、发送响应 是被动的、允许的行为,不会触发出网控制策略。

🏗️ 举个例子

你访问:

http://www.geekserver.top/api/user

背后过程是:

  1. 使用公网客户端;(比如游览器)
  2. 浏览器发请求 → 到公司防火墙 → 转发给 DMZ 区的 Web 服务;
  3. Web 服务器被动接收请求并响应
  4. 完成一次 HTTP 通信,它并未主动“出网”

🔍 为什么要“限制出网”?

安全意义:

  1. 🧱 防止被打穿后横向访问公网 C2;
  2. 🔍 降低数据泄露风险;
  3. ❌ 阻止 WAF 被绕过直接请求恶意外链;
  4. 📉 减少反序列化、命令执行漏洞中的远程加载风险(如 rmi://evil.com/obj)。

⚠️ 那 DNS 呢?出网吗?

  • DNS 查询行为常被允许,因为它是“出网”的最基础形式;
  • 但攻击者可以滥用(如 FastJSON 反序列化时出网 DNSLog);
  • 所以高安全环境会使用:内网 DNS 缓存/转发 + 外部白名单解析服务器,并限制非 53 端口解析行为。

具体分析👉 DNS 一响,漏洞登场!FastJSON 不出网探测全攻略

✅ 边界网络部署拓扑示例

很多刚入门小白可能对网络拓扑不太熟悉,可参考下面:

                          🌐 互联网(公网)                                  |                    (访问 Web 服务,如 HTTP/HTTPS 请求)                                  ↓+--------------------------[ 防 火 墙 ]--------------------------+|                                                               ||                     DMZ 区(边界缓冲区)                      ||                                                               ||    +----------------+         +----------------------------+  ||    | Web Server     | <------ |  公网请求(被动接收)       |  ||    | 192.168.10.10  |         +----------------------------+  ||    | 提供 HTTP 服务 |                                         ||    | 禁止主动出网  |     ✖───X───→ (不允许主动访问公网)     ||    +----------------+                                         ||                                                               |+--------------------------[ 第二道防火墙 ]---------------------+                                  |                                  ↓                        内网区(受保护的核心系统)                +----------------+      +------------------+                | 业务系统服务器 | <--> | 数据库服务器等    |                | 192.168.20.X   |      | 192.168.30.X     |                +----------------+      +------------------+

🔍 解释说明:

区域 描述
🌐 公网 来自互联网上的用户访问
🧱 防火墙 控制公网与 DMZ 之间通信,仅允许 HTTP/HTTPS
🟡 DMZ 区 放置暴露在公网的服务,如 Web、邮件、FTP
❌ 禁止出网 DMZ 区内服务器不能主动访问公网(比如 curl、wget)
🔐 第二道防火墙 控制 DMZ 与内网之间通信
🏠 内网区 核心系统、数据库等绝对不应直接暴露

✅ 总结

🔐 “不出网” ≠ “不能响应请求” 它指的是:“不能主动向公网发起连接” 即便不能出网,仍然可以通过公网访问暴露服务的 80/443 端口提供 HTTP 响应,因为这是 被动通信

  • 渗透中若看到能访问 attacker.com 域名,说明有“出网能力”或“DNS未封”;
  • 很多 RCE/反序列化漏洞的第一步就是验证“能不能出网”,所以 DNS 验证是突破口之一
  • 目前集团 DNS 主要采用:
    • 只允许根服务器解析
    • 白名单解析域名

原文始发于微信公众号(季升安全):企业架构中最容易误解的概念:DMZ 不出网 ≠ 无法被访问

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月25日00:01:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   企业架构中最容易误解的概念:DMZ 不出网 ≠ 无法被访问https://cn-sec.com/archives/3992254.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息