什麼是dmz？如何在網路上配置dmz？

想為您的家庭或辦公室網路新增額外的安全層嗎？瞭解DMZ以及如何配置它。...

“DMZ”代表什麼？DMZ意味著非軍事區，但這實際上意味著不同領域的不同事物。

在現實世界中，非軍事區是作為南北朝鮮分界點的狹長地帶。但在技術方面，DMZ是一個邏輯上分離的子網，通常包含網絡的外部託管、面向internet的服務。那麼DMZ的目的到底是什麼呢？它如何保護你？你能在你的路由器上設置一個嗎？

什麼是dmz的目的(the purpose of a dmz)？

DMZ在不可靠的internet和您的內部網絡之間起著屏蔽作用。

通過將最易受攻擊的面向用戶的服務（如電子郵件、web和DNS服務器）隔離在它們自己的邏輯子網中，可以保護內部網絡或局域網（LAN）的其餘部分，以防出現危害。

DMZ內的主機與主要內部網絡的連接有限，因為它們位於控制兩個網絡點之間流量的中間防火牆後面。但是，允許一些通信，因此DMZ主機可以向內部和外部網絡提供服務。

相關報道：局域網和廣域網有什麼區別？

DMZ背後的主要前提是保持其可從internet訪問，同時保持內部LAN的其餘部分完好無損，外部世界無法訪問。這個附加的安全層可以防止威脅參與者直接滲透到您的網絡中。

理解DMZ配置最簡單的方法就是考慮路由器。路由器通常有兩個接口：

要實現DMZ網絡，只需添加稱為DMZ的第三個接口。任何可以直接從internet訪問或需要與外部世界定期通信的主機都可以通過DMZ接口進行連接。

可以放置在DMZ中的標準服務包括電子郵件服務器、FTP服務器、Web服務器和VOIP服務器等。

應仔細考慮組織的一般計算機安全策略，並在將服務遷移到DMZ之前進行資源分析。

您可能已經注意到，大多數家庭路由器提到DMZ主機。在真正意義上，這不是一個真正的非軍事區。原因是家庭網絡上的DMZ只是內部網絡上的主機，除了未轉發的端口之外，還公開了所有端口。

大多數網絡專家警告不要為家庭網絡配置DMZ主機。這是因為DMZ主機是內部和外部網絡之間的一個點，它沒有被授予與內部網絡上的其他設備相同的防火牆權限。

此外，基於家庭的DMZ主機仍然能夠連接到內部網絡上的所有主機，而商業DMZ配置的情況並非如此，在商業DMZ配置中，這些連接是通過分離的防火牆進行的。

內部網絡上的DMZ主機可能會提供錯誤的安全感，而實際上它只是用作將端口直接轉發到另一個防火牆或NAT設備的方法。

僅當某些應用程序需要持久訪問internet時，才需要為家庭網絡配置DMZ。雖然這可以通過端口轉發或創建虛擬服務器來實現，但有時處理大量的端口號會使其變得不切實際。在這種情況下，設置DMZ主機是一個合乎邏輯的解決方案。

DMZ設置可以採用不同的方式。最常用的兩種方法是三條腿（單防火牆）網絡和雙防火牆網絡。

根據您的需求，您可以選擇這兩種體系結構中的任何一種。

這個模型有三個接口。第一個接口是從ISP到防火牆的外部網絡，第二個接口是您的內部網絡，最後一個接口是包含各種服務器的DMZ網絡。

這種設置的缺點是隻使用一個防火牆是整個網絡的單點故障。如果防火牆被破壞，整個DMZ也會被摧毀。此外，防火牆應該能夠處理DMZ和內部網絡的所有傳入和傳出流量。

顧名思義，兩個防火牆用於構建此設置，使其成為兩種方法中更安全的方法。配置了前端防火牆，只允許流量進出DMZ。第二個或後端防火牆被配置為隨後將流量從DMZ傳遞到內部網絡。

有一個額外的防火牆可以降低整個網絡受到影響的機會。

這自然會帶來更高的價格標籤，但在主動防火牆失敗的情況下提供冗餘。一些組織還確保這兩個防火牆都是由不同的供應商**的，以便為試圖入侵網絡的攻擊者**更多的障礙。

建立基於家庭的DMZ網絡最簡單、最快捷的方法是使用三條腿模型。每個接口將被分配為內部網絡、DMZ網絡和外部網絡。最後，防火牆中的四端口以太網卡將完成此設置。

以下步驟將概述如何在家庭路由器上設置DMZ。請注意，對於大多數主要路由器（如Linksys、Netgear、Belkin和D-Link），這些步驟將類似：

通過以太網電纜將計算機連接到路由器。
轉到計算機的web瀏覽器，在地址工具欄中鍵入路由器的IP地址。通常，路由器的地址是192.168.1.1。按回車鍵。
您將看到輸入管理員密碼的請求。輸入設置路由器時創建的密碼。許多路由器上的默認密碼是“admin”。
選擇位於路由器web界面上角的“安全”選項卡。
滾動到底部並選擇標記為“DMZ”的下拉框。現在選擇啟用菜單選項。
輸入目標計算機主機的IP地址。它可以是遠程桌面計算機、web服務器或任何需要訪問internet的設備。注意：轉發網絡流量的IP地址應該是靜態的，因為每次重新啟動計算機時，動態分配的IP地址都會更改。
選擇保存設置並關閉路由器控制檯。

相關：如何找到路由器的IP地址