基于漏洞成因將其分為以下類型：

• 內存破壞類：此類漏洞的共同特征是由于某種形式的非預期的內存越界訪問，可控程度較好的情況下可執行攻擊者指定的任意指令，其他的大多數情況下會導致拒絕服務或信息泄露。對內存破壞類漏洞再按來源細分，可以分出如下子類型：棧緩沖區溢出、堆緩沖區溢出、靜態數據區溢出、格式串問題、越界內存訪問、釋放后重用和二次釋放。

• 邏輯錯誤類：涉及安全檢查的實現邏輯上存在的問題，導致設計的安全機制被繞過。

• 輸入驗證類：漏洞來源都是由于對來自用戶輸入沒有做充分的檢查過濾就用于后續操作，威脅較大的有以下幾類SQL注入、跨站腳本執行、遠程或本地文件包含、命令注入和目錄遍歷。

• 設計錯誤類：系統設計上對安全機制的考慮不足導致在設計階段就已經引入安全漏洞。

• 配置錯誤類：系統運行維護過程中以不正確的設置參數進行安裝，或被安裝在不正確的位置。

避免漏洞的方法有以下這些：

• 更換默認密碼：如此之多的設備和應用程序使用的還是默認的用戶名和密碼，這種情況多少有些令人驚訝。網絡攻擊者也清楚地認識到這一點。如果不相信的話，可以在網上搜索默認密碼，就會明白更換它們的重要性了。采用有效的密碼策略是最好的辦法;對于網絡安全來說，任何字符串密碼與默認密碼相比，都是向正確方向邁出的一大步。

• 不要重復使用密碼：相同的用戶名/密碼組合被頻繁地重復使用，這樣做可以帶來很大的方便。但不法之徒也會了解到這一點。如果他們獲得了一個用戶名/密碼組合，就會在其它地方進行嘗試。不要為他們提供方便。很多有用的密碼助手只需要記住可以進入的主密碼就可以了。此后，只要選擇對應的項目就可以完成整個操作。

• 在員工離職時，立即禁用其帳戶：當攻擊者獲得內部信息的時間，更容易造成安全漏洞。因此，必須在員工離開的時間，禁用其使用的所有帳戶。這與員工的整個離職過程是否友好并沒有關系。

• 審查安全日志：優秀的系統管理員了解基線的位置并且會天天對系統日志進行審查。由于本文講述的是安全漏洞的相關內容，因此，在這里，特別強調安全日志，因為它們是安全的第一道防線。舉例來說，當審查Windows服務器安全日志時，系統管理員發現了529起事件(未知用戶名或錯誤密碼導致的登陸失敗)。這就是一個警告。系統管理員應該確認是有用戶忘記了密碼，還是攻擊者正試圖進行連接。

• 定時進行網絡掃描：對于系統基線目錄來說，對網絡掃描結果進行對比是非常重要的。它可以讓系統管理員了解網絡的實際情況，并在流氓設備出現于網絡中時立即給予警告。掃描網絡的一種方法是使用微軟內置的net view命令。另一種方法是采用免費工具。他們采用了圖形用戶截面，擁有的功能也更加豐富。

• 監控網絡外部流量：惡意軟件正在變得越來越隱蔽，以防止被發現。對其進行監測的一種方法就是監控網絡外部流量。當外部數據流量偏離正常的基線時，就需要提高警惕了。說實話，這可能是敏感信息被竊取或電子郵件群發器正在濫發郵件的唯一跡象了。

• 定期安裝補丁和更新軟件：保證操作系統及應用軟件的及時更新，是挫敗來自網絡外部邊界(因特網)攻擊企圖的最佳方式。就這么簡單。如果操作系統和應用軟件不存在缺陷，漏洞就無法起作用。

傳統企業和互聯網企業在安全建設需求上的差異有以下兩種：

• 管理手段上的差異：傳統企業和互聯網企業在安全建設需求上的差異是傳統企業的安全建設在管理手段上比較重視ISMS（信息安全管理體系）的建設，重視制度流程、重視審計，有些行業也必須做等級保護以及滿足大量的合規性需求。而互聯網企業的安全建設互聯網公司基本不太會考慮等保、合規需求，只從最實際的角度出發，這一點是比傳統企業更務實的地方。

• 信息安全管理上的差異：與辦公網絡和雇員信息安全管理相比，互聯網公司的文化比較開放，一般不太會維持激進的安全政策（對雇員做太多信息安全方面的管制和限制），這點也是跟傳統企業差別比較大的地方。

傳統企業安全需要應對如下問題：

• IT資產相對固定。

• 業務變更不頻繁。

• 網絡邊界比較固定。

• IDC規模不會很大，甚至沒有。

• 使用基于傳統的資產威脅脆弱性的風險管理方法論加上購買和部署商業安全產品（解決方案）通常可以搞定。

大型互聯網企業需要應對如下問題：

• 海量IDC和海量數據。

• 完全的分布式架構。

• 應對業務的頻繁發布和變更。

• 同時架構層面需要關注：高性能、高可用性、（水平）擴展性、TCO（ROI）。

傳統企業和互聯網企業在安全建設需求上的差異

1.從安全建設上來看傳統企業的安全建設是在邊界部署硬件防火墻、IPS/IDS、WAF、商業掃描器、堡壘機，在服務器上安裝防病毒軟件，集成各種設備、終端的安全日志建設SOC，當然購買的安全硬件設備可能遠不止這些。在管理手段上比較重視ISMS（信息安全管理體系）的建設，重視制度流程、重視審計，有些行業也必須做等級保護以及滿足大量的合規性需求。互聯網企業的生產網絡中，安全解決方案基本上都是以攻防為驅動的，怕被黑、怕拖庫、怕被劫持就是安全建設的最直接的驅動力。互聯網公司基本不太會考慮等保、合規這種形而上的需求，只從最實際的角度出發，這一點是比傳統企業更務實的地方。

2.自研或對開源軟件進行二次開發+無限水平擴展的軟件架構+構建于普通中低端硬件之上（PC服務器甚至是白牌）+大數據機器學習的方式，是目前大型互聯網公司用來應對業務持續性增長的主流安全解決方案。是否真的到了機器學習階段這個有點難說，但是安全進入大數據時代則是肯定的。

與辦公網絡和雇員信息安全管理相比，互聯網公司的文化比較開放，一般不太會維持激進的安全政策（對雇員做太多信息安全方面的管制和限制），這點也是跟傳統企業差別比較大的地方。

安全保護等級由業務信息安全和系統服務安全兩個方面確定，并不是想定幾級就定幾級，也不是定級越低越好。

首先系統到底定幾級是根據受侵害的客體以及對客體侵害的程度來確定的，是以事實為根據，而不是拍腦袋決定的。系統等級定低了，乍一看可能工作上是容易做了，但是反而是我們沒有落實好網絡安全保護義務的直接表現，系統等級低了相應的安全防護要求也低了，那么萬一你的系統不小心被攻擊破壞造成一定不良影響，在主管部門進行責任認定追查時，很有可能就會因為系統定級不合理，安全責任沒有履行到位而被處罰。得不償失，還是安安穩穩把自己該做的工作做好。

2020年11月1日正式實施的《GBT 22240-2020信息安全技術網絡安全等級保護定級指南》新的國家標準中指出：

第二級及以上等級保護對象定級流程新增專家評審環節，不再自主定級，需要聘請專家認定等級保護對象的級別。

從通用定級對象基本特征看，基本互聯網上的系統差不多都要定級備案。《指南》給出了有關安全責任主體的解釋：包括但不限于企業、機關和事業單位等法人，以及不具備法人資格的社會團體等其他組織。

以前很多人一直有個疑問，我們的系統很小，沒多少數據，就不需要定級了。現在官方給出了解釋，企事業單位、機關基本都是具有法人的，那么這些單位的系統必須都要定級備案。其他團體(包括公益組織)和中小私營企業原則上也都要對系統進行定級備案，同時，系統定級也不是隨意想定幾級就定幾級。

等級測評分為自測評和委托測評機構開展。測評機構是指具備本規范的基本條件，經能力評估和審核，由省級以上網絡安全等級保護工作協調（領導）小組辦公室推薦，從事測評工作的機構。省級以上等保辦負責等級測評機構的審核和推薦工作。公安部評估中心負責測評機構的能力評估和培訓工作。

常見的供應鏈攻擊有以下這些：

• 上游服務器妥協攻擊：對于大多數軟件供應鏈攻擊，攻擊者會破壞上游服務器或代碼存儲庫并注入惡意負載（例如，惡意代碼行或木馬更新），然后將該有效載荷向下游分發給眾多用戶。

• 中游妥協以傳播惡意更新攻擊：術語“中游”在這里主要指攻擊者破壞中間軟件升級功能或 CI/CD工具而非原始上游源代碼庫的實例。這種供應鏈攻擊還具備社會工程學因素，攻擊者可以設法更改用戶手冊、幫助文件和PowerShell構建腳本。

• 依賴項混淆攻擊：如果您的軟件構建使用私有的、內部創建的依賴項，而該依賴項在公共開源存儲庫中不存在，那么依賴項混淆（或命名空間混淆）就會起作用。攻擊者能夠在公共存儲庫上以相同的名稱注冊具有更高版本號的依賴項。然后，很大的可能是，攻擊者創建的具有更高版本號的（公共）依賴項——而非您的內部依賴項——將被拉入您的軟件構建中。

• 被盜的SSL和代碼簽名證書：雖然受損的SSL證書存在影響，但被盜的代碼簽名證書（即受損的私鑰）會對軟件安全產生更廣泛的影響。獲得私有代碼簽名密鑰的攻擊者可能會將他們的惡意軟件簽名為由信譽良好的公司提供的真實軟件程序或更新。

• 使用社會工程學來引入惡意代碼：任何安全專業人員都知道，安全性取決于其最薄弱的環節。由于人為因素仍然是最薄弱的環節，因此泄露往往來自最意想不到的地方。最近，明尼蘇達大學的研究人員被踢出了 Linux 貢獻群體，Linux 內核社區也撤銷了他們之前提交的所有Linux內核代碼，原因在于他們故意提出有缺陷的“補丁”，而這些“補丁”又會在 Linux 內核源代碼中引入漏洞。

預防供應鏈攻擊的方法有以下這些：

• 評估當前戰略：更好的供應鏈安全始于當前戰略，評估戰略它們在減輕供應鏈威脅方面是否有效，它們是否符合合規性要求，他們能否適應不斷變化的風險現實。

• 測試、測試、再測試：定期滲透測試和漏洞掃描可以幫助識別潛在的供應鏈安全弱點。從那里，可以關閉潛在的攻擊途徑。

• 識別和加密：通過識別和加密其環境中的高度敏感數據，企業可以減少確實發生的供應鏈攻擊的范圍。即使惡意行為者獲得訪問權限，他們也無法利用受保護的資產。

• 第三方風險管理：如今的供應鏈軟件格局比以往任何時候都更加復雜。因此，企業必須對供應商安全實踐進行深入分析。他們需要打破內部運營孤島，以確保所有部門在保護方面都在同一頁面上。

• 零信任框架：通過轉向“始終驗證，從不信任”框架，企業可以創建功能性前線防御。零信任甚至需要熟悉的應用程序和服務在獲得網絡訪問權限之前通過身份驗證檢查。

檢查賬號安全

調取賬號口令列表，檢查弱口令賬號。

將事件查看器中的安全日志導出

拷貝到運維機器，然后用log parser 進行分析

檢查可以端口和進程

使用netstat命令查看網絡端口信息

公安部信息安全等級保護評估中心ADLab（主動防御實驗室），是一支專注于滲透測試、漏洞發掘、發現以及安全事件應急處理的信息安全技術前沿隊伍。成立于2003年7月28日，是依托公安部第三研究所，由國家信息安全主管部門為建立信息安全等級保護制度，構建國家信息安全保障體系而專門批準成立的專業技術支撐機構。

評估中心自成立以來，積極參與國家信息安全等級保護管理規范制定以及信息安全等級保護行政執法體系建設；承擔國家信息安全等級保護標準體系設計和重要技術標準的編制及宣貫；作為國家信息安全專控隊伍之一，積極配合主管部門的各項信息安全檢查工作，開展針對重點領域、重要行業信息系統的安全評估和等級測評，截至目前為止,已先后完成了上百個重要系統的信息安全等級測評。

評估中心的主要任務：一是按照國家信息安全等級保護的要求，依據信息安全等級保護的相關標準和規范，為國家管理部門在推進信息安全等級保護工作過程中的監督、檢查、指導等行政執法工作提供專業技術支持；二是對國家基礎網絡和重點信息系統的安全保護狀況進行權威測評并提出改進建議；三是作為國家實行信息安全等級保護制度的骨干技術支撐單位，負責全國信息安全等級測評體系和技術支撐體系建設的技術管理及技術指導。

這里以堡壘機使用ssh協議傳文件到服務器為例，具體步驟如下：

1. 將文件從本地拷貝至堡壘機

    # scp {目標文件} {堡壘機用戶名}@{堡壘機地址}:{堡壘機上放置文件的目錄}
    # 需要輸入密碼
    hanchaodeMacBook-Pro:~ hanchao$ scp demo.jar hanchao@20.20.20.20:/home/hanchao/
    hanchao@20.20.20.20's password:
    demo.jar

2. 登錄堡壘機查看文件

    # 登錄堡壘機，需要輸入密碼
    hanchaodeMacBook-Pro:~ hanchao$ ssh 20.20.20.20
    hanchao@20.20.20.20's password:
   
    # 查看目標文件
    [hanchao@20.20.20.20 ~]$ ls /home/hanchao/demo.jar
    /home/hanchao/demo.jar

3. 將文件從堡壘機拷貝至服務器

      # scp {目標文件} {服務器用戶名}@{服務器地址}:{服務器上放置文件的目錄}
      [hanchao@20.20.20.20 ~]$ scp demo.jar hanchao@30.30.30.30:/home/hanchao/
      hanchao@0.30.30.30's password:
      demo.jar

4. 登錄服務器查看文件

      # 登錄服務器，需要輸入密碼
      hanchaodeMacBook-Pro:~ hanchao$ ssh 30.30.30.30
      hanchao@0.30.30.30's password:
   
      # 查看目標文件
      [hanchao@0.30.30.30 ~]$ ls /home/hanchao/demo.jar
      /home/hanchao/demo.jar

PS:操作環境如下：

• 本地計算機：Mac OS 10.13.4，假定IP為10.10.10.10

• 堡壘機：Linux version 3.10.0-514.2.2.el7.x86_64，假定IP為20.20.20.20

• 遠程服務器：Linux version 3.10.0-514.2.2.el7.x86_64，假定IP為30.30.30.30

• 目標文件：假定文件名為demo.jar

白盒測試和黑盒測試的區別包括以下幾點：

• 定義不同

  黑盒測試：顧名思義就是把測試對象看作一個不能打開的黑盒子。測試時，測試人員完全不用考慮盒子里面的邏輯結構和具體運作，只依據程序的需求規格說明書，檢查程序的功能是否符合它的功能說明，檢驗輸出結果對不對。

  白盒測試：與黑盒恰恰相反，這種方法是把測試對象看作一個打開的透明盒子。測試時，測試人員會利用程序內部的邏輯結構及有關信息，通過在不同點檢查程序狀態，檢驗程序中的每條通路是否都能按預定要求進行正確工作。

• 測試對象不同

  黑盒測試：主要針對的是程序所展現給用戶的功能。

  白盒測試：主要針對的是程序代碼邏輯，簡單的說，就是前者測試最終展示功能，后者測試后臺程序。

• 測試方式不同

  黑盒測試：功能測試，是通過測試來檢測每個功能是否都能正常使用。

  白盒測試：稱結構測試、透明盒測試、邏輯驅動測試或基于代碼的測試。

• 測試目的不同

  黑盒測試：把程序看作一個不能打開的黑盒子，在完全不考慮程序內部結構和內部特性的情況下，在程序接口進行測試，只檢查程序功能是否按照需求規格說明書的規定正常使用，程序是否能適當地接收輸入數據而產生正確的輸出信息。

  白盒測試：通過檢查軟件內部的邏輯結構，對軟件中的邏輯路徑進行覆蓋測試。在程序不同地方設立檢查點，檢查程序的狀態，以確定實際運行狀態與預期狀態是否一致。

• 測試原則不同

  黑盒測試：以用戶的角度，從輸入數據與輸出數據的對應關系出發進行測試的。很明顯，如果外部特性本身設計有問題或規格說明的規定有誤，用黑盒測試方法是發現不了的。

  白盒測試：一個模塊中的所有獨立路徑至少被測試一次。所有邏輯值均需測試true和false兩種情況。

移動安全面臨的問題約來越多，主要有以下幾點：

• 后端API（服務）與平臺（服務器）的安全保障。

• 同第三方服務與應用之間的數據集成安全。

• 搜集和使用用戶數據時，需要特別關注是否獲得了用戶對數據搜集和存儲的許可。

• 對付費資源實施控制措施防止未經授權的訪問。

• 移動應用的安全分發與安全交付。

• 敏感數據識別與保護。

• 認證信息保護。

• 數據傳輸保護。

• 用戶身份認證、授權和會話管理的正確實現。

移動安全面臨問題的防護措施如下：

• 防止移動設備濫用：如今辦公環境中的移動設備越來越多樣化：智能手機、平板電腦、U盤等，移動辦公在提高員工工作效率的同時，也讓企業移動數據安全面臨新的威脅。因此，除了管理企業內部的網絡安全外，還必須考慮移動設備的管理。

• 審計員工行為，及時發現安全問題：運用審計可以全面細致地記錄內部操作，實現內部可視化和透明化。審計內容包括圖紙、財務數據等內部文件全生命周期的所有操作記錄，包括文件從創建、訪問、修改、復制、刪除、復制到移動存儲設備等操作，可以有效地審查誰使用文件，如何使用等。

• 控制網絡行為，嚴防各種泄密渠道：為了降低安全風險，企業不僅要控制員工下載和安裝軟件，還要重點管理用戶的上網行為，避免一些重要數據上傳到云盤。許多惡意網站看似正常，但其隱藏的風險是無法預估的。嚴格控制員工上網行為既能保證上網安全，保護企業移動數據安全，也可以大大提高工作效率。

入侵檢測產品大多存在以下問題：

• 誤報和漏報的矛盾：入侵檢測系統產生了大量的告警，然而真正有效的不多，會對安全人員管理造成負擔，而減少告警雖然減輕了安全人員的負擔，但代價是容易對一些入侵行為進行漏報，這兩者之間的矛盾需要根據實際情況平衡。

• 被動分析和主動發現的矛盾：入侵檢測系統大多是采用被動監聽的方式發現網絡問題，無法主動發現網絡中的安全隱患和故障，如何解決這兩者的矛盾也是入侵檢測產品面臨的問題。

• 安全和隱私的矛盾：入侵檢測系統可以對網絡中所有數據進行檢測和分析，提高了網絡的安全性，但同時也對用戶隱私構成一定風險，這兩者之間的矛盾如何取舍也需要考慮。

• 海量信息和分析代價的矛盾：隨著大數據時代的到來，網絡安全數據呈幾何級增長，入侵檢測產品能否高效檢測和處理海量安全數據也是制約其發展的重要因素。

• 功能性和可管理性的矛盾：隨著入侵檢測產品功能的增加，如何在功能增加的同時不加大管理的難度也是一個需要解決的問題。

• 單一產品和復雜網絡應用的矛盾：入侵檢測系統的主要目的是檢測網絡攻擊，但僅僅檢測網絡攻擊遠遠無法滿足當前復雜的網絡應用需求，如何與其他安全產品進行配合、如何對攻擊事件進行處置等都是需要考慮的。

NAS的結構以及采用的各種協議具有以下優點：

• 用戶直接訪問NAS，減少了通用服務器成為網絡瓶頸的概率。NAS具有更好的擴展性和靈活性。存儲設備不受地域限制，在不同地點都可以通過物理連接和網絡連接連起來。

• 支持跨平臺存放文件數據和共享訪問。基于TCP/IP的數據傳輸使得NAS可以支持網絡文件系統，不同操作系統可以實現文件共享。

• 使用專用的、經過優化的操作系統，不僅響應速度快，而且數據傳輸速率也更高。

• 由于是專用硬件構造的專用服務器，不會占用網絡服務器的系統資源，不需要在服務器上安裝任何軟件，當增加或刪除NAS設備時不會中斷網絡的運行，安裝和使用更為方便，是一種即插即用的網絡設備。

• NAS獨立于主服務器，因此對主服務器沒有任何需求，這大大降低了主服務器的投資成本。

• 操作系統結構體系的缺陷

操作系統本身有內存管理、CPU 管理、外設的管理，每個管理都涉及到一些模塊或程序，如果在這些程序里面存在問題，比如內存管理的問題，外部網絡的一個連接過來，剛好連接一個有缺陷的模塊，可能出現的情況是，計算機系統會因此崩潰。所以，有些黑客往往是針對操作系統的不完善進行攻擊，使計算機系統，特別是服務器系統立刻癱瘓。

• 安裝程序帶來安全的隱患

操作系統支持在網絡上傳送文件、加載或安裝程序，包括可執行文件，這些功能也會帶來不安全因素。網絡很重要的一個功能就是文件傳輸功能，比如FTP，這些安裝程序經常會帶一些可執行文件，這些可執行文件都是人為編寫的程序，如果某個地方出現漏洞，那么系統可能就會造成崩潰。像這些遠程調用、文件傳輸，如果生產廠家或個人在上面安裝間諜程序，那么用戶的整個傳輸過程、使用過程都會被別人監視到，所有的這些傳輸文件、加載的程序、安裝的程序、執行文件，都可能給操作系統帶來安全的隱患。所以，建議盡量少使用一些來歷不明，或者無法證明它的安全性的軟件。

• 安裝“間諜”軟件的隱患

操作系統不安全的一個原因在于它可以創建進程，支持進程的遠程創建和激活，支持被創建的進程繼承創建的權利，這些機制提供了在遠端服務器上安裝“間諜”軟件的條件。若將間諜軟件以打補丁的方式“打”在一個合法用戶上，特別是“打”在一個特權用戶上，黑客或間諜軟件就可以使系統進程與作業的監視程序監測不到它的存在。

• 存在守護進程是病毒的情況

操作系統有些守護進程，它是系統的一些進程，總是在等待某些事件的出現。所謂守護進程，比如說用戶有沒按鍵盤或鼠標，或者別的一些處理。一些監控病毒的監控軟件也是守護進程，這些進程可能是好的，比如防病毒程序，一有病毒出現就會被撲捉到。但是有些進程是一些病毒，一碰到特定的情況。

• 遠程調用功能出現問題

操作系統會提供一些遠程調用功能，所謂遠程調用就是一臺計算機可以調用遠程一個大型服務器里面的一些程序，可以提交程序給遠程的服務器執行，如telnet。遠程調用要經過很多的環節，中間的通訊環節可能會出現被人監控等安全的問題。

• 操作系統的后門和漏洞

后門程序是指那些繞過安全控制而獲取對程序或系統訪問權的程序方法。在軟件開發階段，程序員利用軟件的后門程序得以便利修改程序設計中的不足。一旦后門被黑客利用，或在發布軟件前沒有刪除后門程序，容易被黑客當成漏洞進行攻擊，造成信息泄密和丟失。此外，操作系統的無口令的入口，也是信息安全的一大隱患。

apt攻擊的目標是：

• APT攻擊通常以智能手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業信息系統。APT是黑客以竊取核心資料為目的，針對客戶所發動的網絡攻擊和侵襲行為，是一種蓄謀已久的“惡意商業間諜威脅”。這種行為往往經過長期的經營與策劃，并具備高度的隱蔽性。APT的攻擊手法，在于隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數據，這種發生在數字空間的偷竊資料、搜集情報的行為，就是一種“網絡間諜”的行為。

APT攻擊包括以下幾個途徑：

• 通過智能手機、平板電腦和USB移動設備為媒介，入侵企業信息系統。

• 通過社交工程的惡意郵件。隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。通過一些受到過APT攻擊的大型企業了解到這些企業受到威脅的關鍵原因都與普通員工遭遇社交工程的惡意郵件有關。黑客針對某些特定員工發送釣魚郵件，以此作為使用APT手法進行攻擊的源頭。

• 利用防火墻和服務器等系統漏洞來獲取訪問企業網絡的有效憑證。

內網服務器如果對外提供服務則要放在DMZ區，如果對內提供服務則需要放在Trust區，比如web和郵件服務器放DMZ區，財務，企業文件服務器、辦公服務器就放trust區。

DMZ區：DMZ，是英文“demilitarized zone”的縮寫，中文名稱為“隔離區”，也稱“非軍事化區”。它是為了解決安裝防火墻后外部網絡的訪問用戶不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區。該緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內。在這個小網絡區域內可以放置一些必須公開的服務器設施，如企業Web服務器、FTP服務器和論壇等。另一方面，通過這樣一個DMZ區域，更加有效地保護了內部網絡。因為這種網絡部署，比起一般的防火墻方案，對來自外網的攻擊者來說又多了一道關卡。

Trust區：本身代表的就是內網，一般指的就是安全可信任的區域，一般防火墻等內網安全設備默認情況下是阻止從untrust到trust的訪問，當有服務器在trust區域的時候，一旦出現需要對外提供服務的時候就比較麻煩。所以對內的服務的服務器一般存放在trust區。