DMZ

DMZ（全稱，即「邊界網絡」、周邊網絡[1]或「對外網絡」）為一种网络架構的布置方案，常用的架設方案是在不信任的外部网络和可信任的内部网络外，建立一个面向外部网络的物理或逻辑子网，该子网能設置用于对外部网络的服务器主机。

该方案可以使用在防火墙、路由器等區隔內外網的網路設備。在一般比較低階的網路設備，DMZ的功能只能以軟體設定的介面去設定並實作，實體的網路層相接，會與一般的LAN PORT相接共同管理。不過在一般比較高階的網路設備，如高階的防火牆設備，DMZ的功能除了軟體的介面的設定外，在實體的連接PORT除了一般的WAN PORT、LAN PORT外，還會有另外獨立的DMZ PORT，這樣可以方便網路管理人員在管理網段時，除了軟體介面上去設定WAN、LAN、DMZ等網段外，在實體的纜線連接（通常採用的是RJ45）時，也可以直接區分網段，更方便管理。

一般而言,DMZ區會有以下特點:

1.提供服務給外界存取

2.區內Server不包含任何機密資料

原理

将部分用于提供对外服务的服务器主机划分到一个特定的子网——DMZ内，在DMZ的主机能与同处DMZ内的主机和外部网络的主机通信，而同内部网络主机的通信会被受到限制。这使DMZ的主机能被内部网络和外部网络所访问，而内部网络又能避免外部网络所得知。

DMZ能提供对外部入侵的防护，但不能提供内部破坏的防护，如内部通信数据包分析和欺骗。

家用路由器提供的DMZ

在一些家用路由器中，DMZ是指一部所有端口都暴露在外部网络的内部网络主机，除此以外的端口都被转发。严格來說这不是真正的DMZ，因为该主机仍能访问内部网络，并非独立于内部网络之外的。但真正的DMZ是不允许访问内部网络的，DMZ和内部网络是分开的。这种 DMZ主机并没有真正DMZ所拥有的子网划分的安全优势，其常常以一种简单的方法将所有端口转发到另外的防火墙或NAT设备上。

参考文献

. Symantec. [2014-04-03]. （原始内容存档于2014-04-07）.

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.

[1] . Symantec. [2014-04-03]. （原始内容存档于2014-04-07）.