Uncontrolled Zone 不可控区
组织网络之外的部分 —— 你完全没法控制的区域。最大的 Uncontrolled Zone:互联网。
跟 Controlled Zone(受控区) 是一对。在企业网络架构里:
🌐 Uncontrolled Zone(互联网,完全不可信)
↓
[外层防火墙]
↓
🛡 Controlled Zone / DMZ(半信)
↓
[内层防火墙]
↓
🔒 Internal Zone(完全可信内网)
设计原则:永远假设 Uncontrolled Zone 里全是坏人。
- 从 Uncontrolled 来的所有流量都要过滤
- 公开服务(反向代理、Web 服务器)放 Controlled Zone,不是 Internal
- 任何从 Internal 主动连出去的也要审计(防数据泄露 / C2 通道)