据我所知,使用 DMZ 可以将主机的所有端口暴露给互联网。这样做有什么好处?
答案1
如果您想运行可以从家庭网络外部访问的家庭服务器(即 Web 服务器、ssh、vnc 或其他远程访问协议),则 DMZ 是不错的选择。通常,您需要在服务器计算机上运行防火墙,以确保只有特定端口才允许从公共计算机访问。
使用 DMZ 的另一种方法是设置端口转发。使用端口转发,您可以只允许特定端口通过路由器,并且如果路由器后面运行着多台服务器,您还可以指定一些端口以连接到不同的机器。
答案2
请小心。企业/专业环境(具有高端防火墙)中的 DMZ 与家庭无线路由器(或其他家庭使用的 NAT 路由器)中的 DMZ 不同。您可能必须使用第二个 NAT 路由器才能获得预期的安全性(请参阅下面的文章)。
在第 3 集的现在安全播客Leo Laporte 和安全专家 Steve Gibson 讨论了这一主题。在记录中,请参见“这是一个非常有趣的问题,因为这就是所谓的‘DMZ’,即路由器上所说的非军事区。”。
来自史蒂夫·吉布森,http://www.grc.com/nat/nat.htm:
“正如您所想象的,路由器的“DMZ”机器,甚至是“端口转发”机器都需要具有相当的安全性,否则很快就会被互联网病毒所侵扰。从安全角度来看,这是一个大问题。为什么?... NAT 路由器有一个标准以太网交换机,将其所有 LAN 端端口互连。托管特殊“DMZ”机器的端口没有任何“独立”之处。它在内部 LAN 上!这意味着任何可能通过转发路由器端口或由于它是 DMZ 主机而进入它的东西都可以访问内部专用 LAN 上的所有其他机器。(这真的很糟糕。)”
本文还介绍了一种解决该问题的方法,即使用第二个 NAT 路由器。文中有一些非常好的图表来说明该问题和解决方案。
答案3
A非军事区或“非军事区”是您可以设置需要从网络外部访问的服务器或其他设备的地方。
那里有什么? Web 服务器、代理服务器、邮件服务器等。
在网络中,最容易受到攻击的主机是那些为 LAN 之外的用户提供服务的主机,例如电子邮件、Web 和 DNS 服务器。由于这些主机被入侵的可能性增加,因此它们被放置在自己的子网中,以便在入侵者成功时保护网络的其余部分。DMZ 中的主机与内部网络中特定主机的连接受到限制,但允许与 DMZ 中的其他主机和外部网络进行通信。这允许 DMZ 中的主机为内部和外部网络提供服务,而中间的防火墙控制 DMZ 服务器和内部网络客户端之间的流量。
答案4
在计算机网络中,DMZ(非军事区)有时也称为边界网络或屏蔽子网,是将内部局域网 (LAN) 与其他不受信任的网络(通常是互联网)分隔开的物理或逻辑子网。面向外部的服务器、资源和服务位于 DMZ 中。因此,它们可以从互联网访问,但内部 LAN 的其余部分仍然无法访问。这为 LAN 提供了额外的安全层,因为它限制了黑客通过互联网直接访问内部服务器和数据的能力。