計算機網絡中的非軍事區

在計算機網絡中,非軍事區(DMZ)是一種特殊的本地網絡配置,旨在通過隔離防火牆兩側的計算機來提高安全性。 DMZ可以在家庭或商業網絡上建立,儘管它們在家庭中的實用性有限。

DMZ在哪裡有用?

在家庭網絡中,計算機和其他設備通常配置為通過寬帶路由器連接到Internet的局域網(LAN) 。 路由器充當防火牆,有選擇地過濾來自外部的流量,以幫助確保只有合法的消息通過。 DMZ通過將防火牆內的一個或多個設備移動到外部,將這種網絡分成兩部分。 這種配置更好地保護了內部設備免受外部可能的攻擊(反之亦然)。

當網絡運行服務器時,DMZ在家中很有用。 可以在DMZ中設置服務器,以便互聯網用戶可以通過自己的公共IP地址訪問該服務器,並且在服務器遭到入侵的情況下保護家庭網絡的其餘部分免受攻擊。 多年前,在雲服務廣泛普及和普及之前,人們更常用的方式是在家中和DMZ中運行Web, VoIP或文件服務器。

另一方面, 商業計算機網絡可以更普遍地使用DMZ來幫助管理他們的公司Web和其他面向公眾的服務器。 現在的家庭網絡更多地受益於稱為DMZ託管的DMZ變體(見下文)。

寬帶路由器中的DMZ主機支持

有關網絡DMZ的信息最初可能會令人困惑,因為該術語指的是兩種配置。 家庭路由器的標準DMZ 主機功能不設置完整的DMZ子網,而是在現有本地網絡上標識一個設備以在防火牆外運行,而網絡的其餘部分正常運行。

要在家庭網絡上配置DMZ主機支持,請登錄到路由器控制台並啟用默認情況下禁用的DMZ主機選項。 輸入指定為主機的本地設備的專用IP地址 。 Xbox或PlayStation遊戲控制台通常被選為DMZ主機,以防止家庭防火牆干擾在線遊戲。 確保主機使用的是靜態IP地址 (而不是動態分配的IP地址 ),否則,不同的設備可能會繼承指定的IP地址並成為DMZ主機。

真正的DMZ支持

與DMZ主機相比,真正的DMZ(有時稱為商業DMZ)在防火牆外部建立了一個新的子網,其中有一台或多台計算機運行。 外部的這些計算機為防火牆後面的計算機增加了一層額外的保護,因為所有傳入的請求都被攔截,並且必須先通過DMZ計算機才能到達防火牆。 真正的DMZ也限制防火牆後面的計算機與DMZ設備直接通信,而不是通過公共網絡傳遞消息。 具有多層防火牆支持的多級DMZ可以設置為支持大型企業網絡。