在计算机网络中,非军事区(DMZ)是一种特殊的本地网络配置,旨在通过隔离防火墙两侧的计算机来提高安全性。 DMZ可以在家庭或商业网络上建立,尽管它们在家庭中的实用性有限。
DMZ在哪里有用?
在家庭网络中,计算机和其他设备通常配置为通过宽带路由器连接到Internet的局域网(LAN) 。 路由器充当防火墙,有选择地过滤来自外部的流量,以帮助确保只有合法的消息通过。 DMZ通过将防火墙内的一个或多个设备移动到外部,将这种网络分成两部分。 这种配置更好地保护了内部设备免受外部可能的攻击(反之亦然)。
当网络运行服务器时,DMZ在家中很有用。 可以在DMZ中设置服务器,以便互联网用户可以通过自己的公共IP地址访问该服务器,并且在服务器遭到入侵的情况下保护家庭网络的其余部分免受攻击。 多年前,在云服务广泛普及和普及之前,人们更常用的方式是在家中和DMZ中运行Web, VoIP或文件服务器。
另一方面, 商业计算机网络可以更普遍地使用DMZ来帮助管理他们的公司Web和其他面向公众的服务器。 现在的家庭网络更多地受益于称为DMZ托管的DMZ变体(见下文)。
宽带路由器中的DMZ主机支持
有关网络DMZ的信息最初可能会令人困惑,因为该术语指的是两种配置。 家庭路由器的标准DMZ 主机功能不设置完整的DMZ子网,而是在现有本地网络上标识一个设备以在防火墙外运行,而网络的其余部分正常运行。
要在家庭网络上配置DMZ主机支持,请登录到路由器控制台并启用默认情况下禁用的DMZ主机选项。 输入指定为主机的本地设备的专用IP地址 。 Xbox或PlayStation游戏控制台通常被选为DMZ主机,以防止家庭防火墙干扰在线游戏。 确保主机使用的是静态IP地址 (而不是动态分配的IP地址 ),否则,不同的设备可能会继承指定的IP地址并成为DMZ主机。
真正的DMZ支持
与DMZ主机相比,真正的DMZ(有时称为商业DMZ)在防火墙外部建立了一个新的子网,其中有一台或多台计算机运行。 外部的这些计算机为防火墙后面的计算机增加了一层额外的保护,因为所有传入的请求都被拦截,并且必须先通过DMZ计算机才能到达防火墙。 真正的DMZ也限制防火墙后面的计算机与DMZ设备直接通信,而不是通过公共网络传递消息。 具有多层防火墙支持的多级DMZ可以设置为支持大型企业网络。