家庭无线路由器中的 DMZ 有什么用？

Question

据我了解，通过使用 DMZ，您可以将所有主机的端口暴露给 Internet。那有什么用？

Answer 1

如果您想运行可以从家庭网络外部（即 Web 服务器、ssh、vnc 或其他远程访问协议）访问的家庭服务器，则 DMZ 是不错的选择。通常，您希望在服务器计算机上运行防火墙以确保仅允许从公共计算机访问特别需要的端口。

使用 DMZ 的替代方法是设置端口转发。通过端口转发，您可以只允许特定端口通过您的路由器，如果您的路由器后面有多个服务器运行，您还可以指定一些端口去不同的机器。

Answer 2

请小心。企业/专业环境（带有高端防火墙）中的 DMZ 与家用无线路由器（或其他家用 NAT 路由器）的 DMZ 不同。您可能必须使用第二个 NAT 路由器才能获得预期的安全性（请参阅下面的文章）。

在Leo Laporte 和安全大师史蒂夫吉布森的Security Now 播客的第 3 集中，讨论了这个主题。在抄本中看到“非常有趣的问题，因为这就是所谓的“DMZ”，即非军事区，因为它在路由器上被称为。

来自史蒂夫吉布森，http : //www.grc.com/nat/nat.htm：

“正如你想象的那样，路由器的“DMZ”机器，甚至“端口转发”的机器都需要有足够的安全性，否则它很快就会爬满互联网真菌。从安全角度来看，这是一个大问题。为什么？。 .. NAT 路由器有一个标准以太网交换机，将其所有 LAN 端端口互连。托管特殊“DMZ”机器的端口没有任何“独立”。它在内部 LAN 上！这意味着任何可能爬入其中的东西通过转发的路由器端口，或者由于它是 DMZ 主机，可以访问内部专用 LAN 上的所有其他机器。（这真的很糟糕。）

在这篇文章中还有一个解决这个问题的方法，它涉及使用第二个 NAT 路由器。有一些非常好的图表来说明问题和解决方案。

Answer 3

一个DMZ或“非军事区”，在这里你可以设置服务器或其他设备需要从您的网络外部访问。

什么属于那里？Web 服务器、代理服务器、邮件服务器等。

在网络中，最容易受到攻击的主机是那些为 LAN 外的用户提供服务的主机，例如电子邮件、Web 和 DNS 服务器。由于这些主机被入侵的可能性增加，它们被放置在自己的子网中，以便在入侵者得逞时保护网络的其余部分。DMZ 中的主机与内部网络中特定主机的连接有限，但允许与 DMZ 中的其他主机和外部网络进行通信。这允许 DMZ 中的主机向内部和外部网络提供服务，同时中间防火墙控制 DMZ 服务器和内部网络客户端之间的流量。