当涉及到DMZ设计时，IT管理员往往会发现自己处于和网络安全及审计人员有所冲突的境地。但是由于虚拟局域网的出现，没有出现这样的情况。

　　管理员仅仅想完成工作，然而安全性和审计工作有时候恰恰会成为一种障碍。 另一方面，网络保安人员把自己视为防止管理员做出仓促设计或者执行不佳的配置的防线。 非军事区（DMZ）通常是网络中最不值得信任的部分，所以DMZ设计需要这两个对立的团队之间的合作。

　　虚拟化技术如何影响DMZ设计

　　在2009年，针对IT审计师和安全性能专家这一类的听众，我提出了一个关于了解虚拟化技术在审核和安全性能方面的作用的研讨会。 我试图消除一些自然摩擦，然后证明，DMZ设计的演进方法将给大家提供一个更好的IT基础设施。 通过托管可信任区域，您的DMZ服务器会成为非常大的虚拟基础设施的一部分，而且他们可以享受到那个环境下所有的福利，例如高可用性以及备份服务。

　　虽然有些诚惶诚恐，但是我还是点击了一个如下图所示的非军事区设置方案幻灯片。 我讲解了虚拟化技术如何使网络应用到虚拟主机中，这就意味着它有可能在一个单箱内代管多个可信任区域。

　　图一：使用虚拟化技术来代管可信任区域。

　　我建议在DMZ配置中整合可信任区域，但是我那些富有安全意识的观众认为这样的想法太激进了，即使它可能永远都不会实现，不过我还是希望他们认真考虑这个非军事区设计。 这并不是说，这种设计没有其他那些比较常见的方法那么安全，简而言之，就是安全管理员目前还没有准备好接受这种合并。

　　回顾两年前，在2011年5月，当时我正在向类似的人群介绍这个演讲的更新方案。 会议休息期间，一位与会者找我商量，并且向我解释他的公司是如何按照我的幻灯片的建议，正确实行那样的非军事区设置。 为什么整合可信任区域这样的想法越来越被接受？ 这是因为虚拟局域网技术（VLAN）变得更值得信赖了。

　　DMZ设置：从空气间隙到局域网托管

　　DMZ设计历来依赖于网络隔离。 在最早的阶段，那样的隔离需要一个空气间隙，就是一种硬件和连接的实际物理分离。

　　但是不久之后，虚拟局域网和他们的逻辑分道通航制被认为是足够安全的，因此气隙也不再被需要。对于积极发言的少数安全专业人员来说，虚拟局域网的安全性能仍然存在争议，不过大多数IT商店发现，虚拟局域网的易用性远远大过了它存在的潜在风险。

　　虚拟局域网的核心配置是，安装启用例如802.1Q之类的通信协议。IEEE通过一个涉及大量社区输入的进程，认可了这些协议。支持虚拟局域网的技术，必须遵循它的规范准则，这就意味着那些技术在恰当配置的时候，也认可那些工具。

　　VMware vSphere和Microsoft Hyper-V的虚拟局域网遵循这些协议的标准，使得这些平台同样做到必然的安全可靠。 当然，用于实施这个协议的编码的安全漏洞有一天可能会被发现，不过你可以说，那涉及到大量的编码。

　　为了提高完善DMZ设计，特别是在当今这个充满私有云计算的不断变化的网络世界，我们的行业需要采取这种更进一步的措施：通过延伸不同信任级别的虚拟局域网到虚拟主机。一些IT部门现在已经这样做了。非军事区的整合使得IT管理员管理起来更为容易，而且更精明的管理通常会带来更好的安全性能。

　　但是，在延伸虚拟局域网时，虚拟化管理员必须不厌其烦地去确认他们的主机和虚拟机的配置是正确的。例如Cisco Systems Nexus 1000V这样的技术以及IEEE 802.1qbg and 802.1qbh这样的新兴协议，可以进一步降低网络团队的返回网络配置控制的风险。

　　不管你最终部署了什么技术，安全性能和IT管理团队的共同努力合作是重要的，这使得这种类型的DMZ设计可能得到接受。