DMZ

DMZ（全稱Demilitarized Zone，中文為「非軍事區」^[1]，或稱Perimeter network，即「邊界網絡」、周邊網絡^[2]或「對外網絡」）為一種網絡架構的佈置方案，常用的架設方案是在不信任的外部網絡和可信任的內聯網外，建立一個面向外部網絡的物理或邏輯子網絡，該子網絡能設置用於對外部網絡的伺服器主機。

該方案可以使用在防火牆、路由器等區隔內外網的網絡裝置。在一些網絡裝置，DMZ的功能只能以軟件設置的介面去設置並實作，實體的網絡層相接，會與一般的LAN PORT相接共同管理。在另一些網絡裝置，如進階的防火牆裝置，DMZ的功能除了軟件的介面的設置外，在實體的連接PORT除了一般的WAN PORT、LAN PORT外，還會有另外獨立的DMZ PORT，這樣可以方便網絡管理人員在管理網段時，除了軟件介面上去設置WAN、LAN、DMZ等網段外，在實體的纜線連接（通常採用的是RJ45）時，也可以直接區分網段，更方便管理。

一般而言：DMZ區會有以下特點：

提供服務給外界存取
區域內伺服器不包含任何機密資料

原理[編輯]

將部分用於提供對外服務的伺服器主機劃分到一個特定的子網絡——DMZ內，在DMZ的主機能與同處DMZ內的主機和外部網絡的主機通訊，而同內聯網主機的通訊會被受到限制。這使DMZ的主機能被內聯網和外部網絡所訪問，而內聯網又能避免外部網絡所得知。

DMZ能提供對外部入侵的防護，但不能提供內部破壞的防護，如內部通訊封包分析和欺騙。

家用路由器提供的DMZ[編輯]

在一些家用路由器中，DMZ是指一部所有埠都暴露在外部網絡的內聯網主機，除此以外的埠都被轉發。嚴格來說這不是真正的DMZ，因為該主機仍能訪問內聯網，並非獨立於內聯網之外的。但真正的DMZ是不允許訪問內聯網的，DMZ和內聯網是分開的。這種 DMZ主機並沒有真正DMZ所擁有的子網絡劃分的安全優勢，其常常以一種簡單的方法將所有通訊埠轉發到另外的防火牆或NAT裝置上。

參考文獻[編輯]

^ demilitarized zone - 非軍事區. 國家教育研究院. [2021-03-17] （中文（繁體））. ^{[失效連結]}
^ 詞彙 - perimeter network（週邊網路）. Symantec. [2014-04-03]. （原始內容存檔於2014-04-07）.

[1] tarized zone - 非軍事區. 國家教育研究院. [2021-03-17] （中文（繁體））. ^{[失效連結]}

[2] 詞彙 - perimeter network（週邊網路）. Symantec. [2014-04-03]. （原始內容存檔於2014-04-07）.

[1]

[2]