2009-08-03 12:15:18 +0000 2009-08-03 12:15:18 +0000
24
24

家用无线路由器中的DMZ是用来干什么的?

据我所知,通过使用DMZ,你将主机的所有端口都暴露在互联网上。那有什么用?

答案 (4)

24
24
24
2009-08-03 12:22:14 +0000

如果你想运行一个可以从家庭网络外访问的家庭服务器(即Web服务器,ssh,vnc或其他远程访问协议),DMZ是很好的选择。通常情况下,你会希望在服务器机器上运行一个防火墙,以确保只有特定的端口被允许从公共计算机访问。

使用DMZ的另一种方法是设置端口转发。有了端口转发,你可以只允许特定的端口通过你的路由器,你也可以指定一些端口到不同的机器,如果你有多个服务器在你的路由器后面运行。

20
20
20
2009-08-03 14:56:37 +0000

请注意。企业/专业环境中的DMZ(有高端防火墙)与家庭无线路由器(或其他家庭使用的NAT路由器)是不一样的。你可能不得不使用第二个NAT路由器来获得预期的安全性(见下面的文章)。

集合3 Security Now播客由Leo Laporte和安全大师Steve Gibson谈论这个话题。在记录中看到附近 “真正有趣的问题,因为这是所谓的 "DMZ",非军事区,因为它被称为路由器上。"。

来自Steve Gibson, http://www.grc.com/nat/nat.htm :

"正如你所想象的那样,路由器的 "DMZ "机器,甚至是 "端口转发 "的机器,都需要有实质性的安全保障,否则很快就会被互联网的真菌爬满。从安全角度来说,这是一个很大的问题。为什么呢……NAT路由器有一个标准的以太网交换机,将其所有的LAN端端口互连起来。没有什么 "单独 "的端口托管的特殊 "DMZ "的机器。它是在内部局域网上! 这意味着任何可能通过转发的路由器端口爬进它的东西,或者由于它是DMZ主机,可以访问内部私有局域网上的所有其他机器。(这真的很糟糕。)”

在文章中也有一个解决这个问题的方法,就是使用第二个NAT路由器。有一些非常好的图来说明这个问题和解决方案。

12
12
12
2009-08-03 12:22:07 +0000

DMZ](http://en.wikipedia.org/wiki/DMZ_(computing))或 “非军事区 "是您可以设置服务器或其他需要从网络外部访问的设备的地方。

什么属于那里?网络服务器、代理服务器、邮件服务器等。

在网络中,最容易受到攻击的主机是那些为局域网外的用户提供服务的主机,如电子邮件、Web和DNS服务器等。由于这些主机被入侵的可能性增大,因此,为了在入侵者得逞时保护网络的其他部分,这些主机被放置在自己的子网络中。DMZ中的主机与内部网络中的特定主机的连接是有限的,不过允许与DMZ中的其他主机和外部网络进行通信。这使得DMZ中的主机可以同时向内部网络和外部网络提供服务,而中间的防火墙则控制DMZ服务器和内部网络客户端之间的通信。

1
1
1
2018-07-26 09:44:18 +0000

在计算机网络中,DMZ(非军事区)有时也被称为周边网络或屏蔽子网,是一个物理或逻辑子网,将内部局域网与其他不受信任的网络(通常是互联网)分开。面向外部的服务器、资源和服务位于DMZ中。因此,它们可以从互联网上访问,但内部局域网的其他部分仍然无法访问。这为局域网提供了额外的安全层,因为它限制了黑客通过互联网直接访问内部服务器和数据的能力。