公司有一個網站群的業務，應用規模比較大，目前計劃是從傳統的虛擬機部署方式遷移到內部的私有云。

這種遷移的動作是一個很好的學習機會。在交流的時候的時候，領導有提到現有的架構基本上是參照中國人民銀行發布的《網上銀行系統信息安全通用規范2012版》中的網絡防護架構來設計的。于是我找到了原文進行學習。

在附錄A和附錄B，文檔提供了基本的和增強的網絡防護架構參考圖。

因為目前運維的應用不是web類的，因此對這個網絡防護架構圖進行了研究。

其中，DMZ區的概念不是很清楚，經過搜索了解到這其實是防火墻的知識點。

關于DMZ的原理不解？ - 知乎 (zhihu.com)

這篇回答介紹了防火墻的五種過濾規則，兩種分類，以及三種部署形式。

DMZ原理與應用 - kosamino - 博客園 (cnblogs.com)

這篇文章介紹了防火墻的三個區域，DMZ的基本概念，以及DMZ區需要配置的六類訪問策略。

簡單來說，當我們需要提供一些服務讓用戶能夠從互聯網訪問時，這個場景增加了安全風險，讓內部網絡可能更容易受到攻擊。
因此，DMZ這一防火墻解決方案可以幫我們降低內部網絡的安全風險。

最后，在更新的2020版《網上銀行系統信息安全通用規范》中，這兩部分附錄的架構圖被刪去了，僅供學習參考吧。