DMZ

一、什么是DMZ?

DMZ（非军事区）起源于军事，是介于严格军事区和控制松散的公共区之间的部分控制区，DMZ 充当这两个区域之间的缓冲区。计算机网络引用该术语来指代在逻辑上和物理上与内部和外部网络分开的安全区域。

内部网络中的流量和接入设备通常被视为安全可信，而外部网络中的流量和接入设备则被视为潜在威胁，相比之下，外部网络上的流量和访问设备被视为潜在威胁，而 DMZ 则介于两者之间，充当安全和不安全区域之间的桥梁。

DMZ 区可以理解为一个不同于外网或内网的特殊网络区域，DMZ 内通常放置一些不含机密信息的公用服务器，比如 WEB 服务器、E-Mail 服务器、FTP 服务器等。这样来自外网的访问者只可以访问 DMZ 中的服务，但不可能接触到存放在内网中的信息等，即使 DMZ 中服务器受到破坏，也不会对内网中的信息造成影响。

二、DMZ区的好处

内外网隔离：DMZ作为中间平台，可以直接充当安全的内网和充满攻击的外网之间的缓冲，让可能的攻击在那里结束，从而降低对最重要的攻击的风险企业数据服务器；

控制流量访问：可以通过在DMZ中部署服务器对外提供服务，让互联网用户使用相应的服务来实现；

拦截恶意流量：可以部署恶意流量检测设备，对流量进行隔离，保证业务的正常运行。

三、应用

DMZ提供的服务是经过了网络地址转换（NAT）和受安全规则限制的，以达到隐蔽真实地址、控制访问的功能。首先要根据将要提供的服务和安全策略建立一个清晰的网络拓扑，确定DMZ区应用服务器的IP和端口号以及数据流向。通常网络通信流向为禁止外网区与内网区直接通信，DMZ区既可与外网区进行通信，也可以与内网区进行通信，受安全规则限制。