在计算机网络中,a 非军事区 是一种特殊的本地网络配置,旨在通过隔离防火墙两侧的计算机来提高安全性。 DMZ可以在家庭或商业网络上建立,尽管它们在家庭中的用途有限。
DMZ在哪里有用?
在家庭网络中,计算机和其他设备通常被配置为使用宽带路由器连接到互联网的局域网。路由器充当防火墙,有选择地从外部过滤流量,以帮助确保只有合法的消息通过。 DMZ通过将一个或多个设备置于防火墙内并将其移至外部,将此类网络分为两部分。此配置可以更好地保护内部设备免受外部可能的攻击(反之亦然)。
当网络运行服务器时,DMZ在家庭中很有用。可以在DMZ中设置服务器,以便互联网用户可以通过其公共IP地址访问它,并且在服务器受到威胁的情况下保护家庭网络的其余部分免受攻击。多年前,在云服务广泛普及和流行之前,人们更常在家中运行Web,VoIP或文件服务器,DMZ更有意义。
另一方面,商业计算机网络可以更常用地使用DMZ来帮助管理他们的公司Web和其他面向公众的服务器。如今,家庭网络更多地受益于DMZ的变体,称为DMZ托管。
宽带路由器中的DMZ主机支持
有关网络DMZ的信息最初可能令人困惑,因为该术语指的是两种配置。标准 DMZ主持人 家庭路由器的功能没有设置完整的DMZ子网,而是识别现有本地网络上的一个设备在防火墙外运行,而网络的其余部分正常运行。
要在家庭网络上配置DMZ主机支持,请登录路由器控制台并启用默认禁用的DMZ主机选项。输入指定为主机的本地设备的专用IP地址。 Xbox或PlayStation游戏机通常被选为DMZ主机,以防止家庭防火墙干扰在线游戏。确保主机使用静态IP地址(而不是动态分配的IP地址),否则,其他设备可能会继承指定的IP地址并成为DMZ主机。
真正的DMZ支持
与DMZ托管相反,真正的DMZ(有时称为商用DMZ)在防火墙外部建立一个新的子网,其中一台或多台计算机运行。外部的计算机为防火墙后面的计算机增加了额外的保护层,因为所有传入的请求都被截获,并且必须首先通过DMZ计算机才能到达防火墙。真正的DMZ还限制防火墙后面的计算机直接与DMZ设备通信,而要求消息通过公共网络传输。可以设置具有多层防火墙支持的多级DMZ,以支持大型企业网络。
