“DMZ”代表什么？DMZ意味着非军事区，但这实际上意味着不同领域的不同事物。

在现实世界中，非军事区是作为南北朝鲜分界点的狭长地带。但在技术方面，DMZ是一个逻辑上分离的子网，通常包含网络的外部托管、面向internet的服务。那么DMZ的目的到底是什么呢？它如何保护你？你能在你的路由器上设置一个吗？

什么是dmz的目的(the purpose of a dmz)？

DMZ在不可靠的internet和您的内部网络之间起着屏蔽作用。

通过将最易受攻击的面向用户的服务（如电子邮件、web和DNS服务器）隔离在它们自己的逻辑子网中，可以保护内部网络或局域网（LAN）的其余部分，以防出现危害。

DMZ内的主机与主要内部网络的连接有限，因为它们位于控制两个网络点之间流量的中间防火墙后面。但是，允许一些通信，因此DMZ主机可以向内部和外部网络提供服务。

相关报道：局域网和广域网有什么区别？

DMZ背后的主要前提是保持其可从internet访问，同时保持内部LAN的其余部分完好无损，外部世界无法访问。这个附加的安全层可以防止威胁参与者直接渗透到您的网络中。

dmz中添加了哪些服务？

理解DMZ配置最简单的方法就是考虑路由器。路由器通常有两个接口：

1. 内部接口：这是您的非面向internet的接口，其中包含您的私有主机。
2. 外部接口：这是一个面向互联网的接口，可以让你与外界进行连接和互动。

要实现DMZ网络，只需添加称为DMZ的第三个接口。任何可以直接从internet访问或需要与外部世界定期通信的主机都可以通过DMZ接口进行连接。

可以放置在DMZ中的标准服务包括电子邮件服务器、FTP服务器、Web服务器和VOIP服务器等。

应仔细考虑组织的一般计算机安全策略，并在将服务迁移到DMZ之前进行资源分析。

dmz可以在家庭或无线网络上实现吗？

您可能已经注意到，大多数家庭路由器提到DMZ主机。在真正意义上，这不是一个真正的非军事区。原因是家庭网络上的DMZ只是内部网络上的主机，除了未转发的端口之外，还公开了所有端口。

大多数网络专家警告不要为家庭网络配置DMZ主机。这是因为DMZ主机是内部和外部网络之间的一个点，它没有被授予与内部网络上的其他设备相同的防火墙权限。

此外，基于家庭的DMZ主机仍然能够连接到内部网络上的所有主机，而商业DMZ配置的情况并非如此，在商业DMZ配置中，这些连接是通过分离的防火墙进行的。

内部网络上的DMZ主机可能会提供错误的安全感，而实际上它只是用作将端口直接转发到另一个防火墙或NAT设备的方法。

仅当某些应用程序需要持久访问internet时，才需要为家庭网络配置DMZ。虽然这可以通过端口转发或创建虚拟服务器来实现，但有时处理大量的端口号会使其变得不切实际。在这种情况下，设置DMZ主机是一个合乎逻辑的解决方案。

dmz的单双防火墙模型

DMZ设置可以采用不同的方式。最常用的两种方法是三条腿（单防火墙）网络和双防火墙网络。

根据您的需求，您可以选择这两种体系结构中的任何一种。

三条腿或单防火墙方法

这个模型有三个接口。第一个接口是从ISP到防火墙的外部网络，第二个接口是您的内部网络，最后一个接口是包含各种服务器的DMZ网络。

这种设置的缺点是只使用一个防火墙是整个网络的单点故障。如果防火墙被破坏，整个DMZ也会被摧毁。此外，防火墙应该能够处理DMZ和内部网络的所有传入和传出流量。

双防火墙方法

顾名思义，两个防火墙用于构建此设置，使其成为两种方法中更安全的方法。配置了前端防火墙，只允许流量进出DMZ。第二个或后端防火墙被配置为随后将流量从DMZ传递到内部网络。

有一个额外的防火墙可以降低整个网络受到影响的机会。

这自然会带来更高的价格标签，但在主动防火墙失败的情况下提供冗余。一些组织还确保这两个防火墙都是由不同的供应商**的，以便为试图入侵网络的攻击者**更多的障碍。

如何在家庭路由器上设置dmz

建立基于家庭的DMZ网络最简单、最快捷的方法是使用三条腿模型。每个接口将被分配为内部网络、DMZ网络和外部网络。最后，防火墙中的四端口以太网卡将完成此设置。

以下步骤将概述如何在家庭路由器上设置DMZ。请注意，对于大多数主要路由器（如Linksys、Netgear、Belkin和D-Link），这些步骤将类似：

1. 通过以太网电缆将计算机连接到路由器。
2. 转到计算机的web浏览器，在地址工具栏中键入路由器的IP地址。通常，路由器的地址是192.168.1.1。按回车键。
3. 您将看到输入管理员密码的请求。输入设置路由器时创建的密码。许多路由器上的默认密码是“admin”。
4. 选择位于路由器web界面上角的“安全”选项卡。
5. 滚动到底部并选择标记为“DMZ”的下拉框。现在选择启用菜单选项。
6. 输入目标计算机主机的IP地址。它可以是远程桌面计算机、web服务器或任何需要访问internet的设备。注意：转发网络流量的IP地址应该是静态的，因为每次重新启动计算机时，动态分配的IP地址都会更改。
7. 选择保存设置并关闭路由器控制台。

相关：如何找到路由器的IP地址

保护您的数据并配置dmz

聪明的消费者总是在访问外部网络之前保护他们的路由器和网络免受入侵者的攻击。DMZ可以在您的宝贵数据和潜在黑客之间增加一层安全保护。

至少，使用DMZ和使用简单的提示来保护你的路由器会让威胁者很难渗透你的网络。攻击者访问您的数据越困难，对您就越好！