网络上是否必须有 DMZ 机器或区域？

是否需要有 DMZ 机器或区域

不。如果您没有在网络上提供任何公共服务，并且您的网络足够小，以至于相同的防火墙策略适用于所有机器，那么您实际上不需要 DMZ

设立 DMZ 机器或区域的原因是什么？

如果您有一个复杂的网络，并且需要设置一些面向公众的服务，而您不完全信任这些服务不会被互联网上的恶意者滥用，那么您可能需要设置某种 DMZ。

如果 DMZ 区域无法与站点的正常网络进行通信，那为什么要有它呢？

在更复杂的网络中，防火墙策略必须分层设置。每层之间通常都有某种屏障，如防火墙，限制哪些计算机可以相互通信。

请记住，大多数 DMZ 的设置使得内部主机可以连接到 DMZ，但 DMZ 无法连接到内部主机。从内部主机的角度来看，DMZ 计算机通常看起来就像您从 Internet 连接一样，但这并不总是正确的，确切的策略取决于特定的服务和网络。

假设你经营一家医院。你可能会将所有患者记录保存在高度安全的网络上。假设你还想支持某种基于网络的支持论坛，人们可以在那里互相交流。你几乎肯定希望原始患者文件和公共论坛之间没有任何联系。