Controlled Zone 受控区

保护内部网络不被 外部不可控区 直接访问的子网。也常被叫作 DMZ(Demilitarized Zone,非军事区)。

在企业网络拓扑里:

互联网(Uncontrolled Zone)
       ↓
  外层 Firewall
       ↓
Controlled Zone(DMZ)
  - 对外服务: Web 服务器、邮件服务器、DNS
       ↓
  内层 Firewall
       ↓
内部网络(Internal Zone)
  - 员工电脑、数据库、文件服务器

逻辑:

• 需要对外提供服务的东西(Web、邮件)放 Controlled Zone
• 内部敏感东西(数据库、AD)放 Internal Zone,绝不直接暴露
• 即使 DMZ 被攻破,攻击者还得再过一道防火墙才能碰到内网

跟 Security Zone、网络分段 同一组概念。