请注意。企业/专业环境中的DMZ(有高端防火墙)与家庭无线路由器(或其他家庭使用的NAT路由器)是不一样的。你可能不得不使用第二个NAT路由器来获得预期的安全性(见下面的文章)。
在 集合3 的 Security Now播客由Leo Laporte和安全大师Steve Gibson谈论这个话题。在记录中看到附近 “真正有趣的问题,因为这是所谓的 "DMZ",非军事区,因为它被称为路由器上。"。
来自Steve Gibson, http://www.grc.com/nat/nat.htm :
"正如你所想象的那样,路由器的 "DMZ "机器,甚至是 "端口转发 "的机器,都需要有实质性的安全保障,否则很快就会被互联网的真菌爬满。从安全角度来说,这是一个很大的问题。为什么呢……NAT路由器有一个标准的以太网交换机,将其所有的LAN端端口互连起来。没有什么 "单独 "的端口托管的特殊 "DMZ "的机器。它是在内部局域网上! 这意味着任何可能通过转发的路由器端口爬进它的东西,或者由于它是DMZ主机,可以访问内部私有局域网上的所有其他机器。(这真的很糟糕。)”
在文章中也有一个解决这个问题的方法,就是使用第二个NAT路由器。有一些非常好的图来说明这个问题和解决方案。
DMZ](http://en.wikipedia.org/wiki/DMZ_(computing))或 “非军事区 "是您可以设置服务器或其他需要从网络外部访问的设备的地方。
什么属于那里?网络服务器、代理服务器、邮件服务器等。
在网络中,最容易受到攻击的主机是那些为局域网外的用户提供服务的主机,如电子邮件、Web和DNS服务器等。由于这些主机被入侵的可能性增大,因此,为了在入侵者得逞时保护网络的其他部分,这些主机被放置在自己的子网络中。DMZ中的主机与内部网络中的特定主机的连接是有限的,不过允许与DMZ中的其他主机和外部网络进行通信。这使得DMZ中的主机可以同时向内部网络和外部网络提供服务,而中间的防火墙则控制DMZ服务器和内部网络客户端之间的通信。
在计算机网络中,DMZ(非军事区)有时也被称为周边网络或屏蔽子网,是一个物理或逻辑子网,将内部局域网与其他不受信任的网络(通常是互联网)分开。面向外部的服务器、资源和服务位于DMZ中。因此,它们可以从互联网上访问,但内部局域网的其他部分仍然无法访问。这为局域网提供了额外的安全层,因为它限制了黑客通过互联网直接访问内部服务器和数据的能力。