何為DMZ？

DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區”，也稱“非軍事化區”。

      它是介于兩個防火墻之間的空間。與Internet相比，DMZ可以提供更高的安全性，但是其安全性比內部網絡低。

      它是為了解決安裝防火墻后外部網絡的訪問用戶不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區。該緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內。在這個小網絡區域內可以放置一些必須公開的服務器設施，如企業Web服務器、郵件服務器（Mail）、FTP服務器和論壇等。另一方面，通過這樣一個DMZ區域，更加有效地保護了內部網絡。因為這種網絡部署，比起一般的防火墻方案，對來自外網的攻擊者來說又多了一道關卡。

      由于開放DMZ，同時開放了所有端口，因此在DMZ內一般放置不含機密信息的公用服務器；這樣來自外網的訪問者可以訪問DMZ中的服務，但不可能接觸到存放在內網中的公司機密或私人信息等，即使DMZ中服務器受到破壞，也不會對內網中的機密信息造成影響。

DMZ作用

      在實際的運用中，某些主機需要對外提供服務，為了更好地提供服務，同時又要有效地保護內部網絡的安全，將這些需要對外開放的主機與內部的眾多網絡設備分隔開來，根據不同的需要，有針對性地采取相應的隔離措施，這樣便能在對外提供友好的服務的同時最大限度地保護了內部網絡。針對不同資源提供不同安全級別的保護，可以構建一個DMZ區域，DMZ可以為主機環境提供網絡級的保護，能減少為不信任客戶提供服務而引發的危險，是放置公共信息的最佳位置。在一個非DMZ系統中，內部網絡和主機的安全通常并不如人們想象的那樣堅固，提供給Internet的服務產生了許多漏洞，使其他主機極易受到攻擊。但是，通過配置DMZ，我們可以將需要保護的Web應用程序服務器和數據庫系統放在內網中，把沒有包含敏感數據、擔當代理數據訪問職責的主機放置于DMZ中，這樣就為應用系統安全提供了保障。DMZ使包含重要數據的內部系統免于直接暴露給外部網絡而受到攻擊，攻擊者即使初步入侵成功，還要面臨DMZ設置的新的障礙。

服務配置

      DMZ提供的服務是經過了網絡地址轉換（NAT）和受安全規則限制的，以達到隱蔽真實地址、控制訪問的功能。首先要根據將要提供的服務和安全策略建立一個清晰的網絡拓撲，確定DMZ區應用服務器的IP和端口號以及數據流向。通常網絡通信流向為禁止外網區與內網區直接通信，DMZ區既可與外網區進行通信，也可以與內網區進行通信，受安全規則限制。

DMZ分類

      VMware的《在VMware基礎架構中實現DMZ虛擬化》白皮書指出，一個虛擬化的DMZ提供了與物理DMZ同樣程度的安全性，從而生成一個同樣安全的虛擬DMZ網絡。在過去幾年中，虛擬化技術的使用有著長足的增長；虛擬機（VM）現在已經可以代替物理服務器。同樣的趨勢也發生在DMZ領域上，為了讓網絡保持正確的隔離及安全性，物理DMZ正在不斷被虛擬DMZ替代著。