首先，我要指出路由器不使用 DMZ，除非路由器具有防火墙模块或具有防火墙功能并且您实际设置了它。

Cisco Press 发表了一篇关于 DMZ 及其工作原理的优秀文章。我提供了完整的 Cisco ASA 5505 配置指南，介绍如何使用 DMZ 进行设置。这篇文章有点老了，但它很好地解释了它是如何工作的以及你为什么要使用它。

我添加了 ASA 如何处理数据包的链接。数据包是否发往 DMZ 无关紧要，防火墙对所有数据包使用相同的方法。

基本要素第一：DMZ 中的生活

非军事区（DMZ）是军队中用来定义两个敌人之间的缓冲区的术语。也许世界上最普遍承认的非军事区是朝鲜和韩国之间的非军事区，因为它们自朝鲜战争以来尚未签署永久和平条约，因此将它们分开。也许这是一个你不知道的有趣的军事和政治琐事，但它与保护你的网络和防火墙有什么关系呢？

如果您的公司有一个带有电子邮件服务器的自托管公共网站，您可以考虑使用双接口（内部和外部）防火墙，并让防火墙创建转换规则，将入站流量引导到您专用网络上的正确服务器。尽管这似乎是一件安全的事情，但如果有才华的黑客盯上了你，那可能是灾难性的。将位于网络内部的 Web、邮件和 FTP 服务器连接到 Internet 可能很危险，在某些情况下，根本不建议这样做。安全 FTP 也是一种选择，但适用相同的规则。

好吧，很久以前，一些聪明的人聚在一起说，“嘿，让我们在防火墙上放置第三个接口，并称之为 DMZ。” 将来自 Internet 的流量直接发送到您的专用网络是一个坏主意。在部署 Internet 可访问服务器和服务（www、电子邮件等）时，将第三个接口添加到标准防火墙使事情变得更加简单和安全。如果你打算在你家外面卖电脑，你不会希望有人进你家买一台，对吗？当然不是; 你会想在车库或前廊开一家小商店，从而防止你不认识的人在你的房子里四处游荡，篡改你的漫画书收藏或进入你的冰箱做三明治。

DMZ 是位于受信任网段（您公司的网络）和不受信任网段（互联网）之间的接口，通过防火墙内的一系列连接规则在两个网络之间提供物理隔离。DMZ 的物理隔离方面很重要，因为它只允许 Internet 访问隔离在 DMZ 上的服务器，而不是直接访问您的内部网络，如图 7-3 所示。

在图 7-3 中，连接到 DMZ 接口的网段包含邮件、Web 和应用程序服务器。应用于 DMZ 接口的规则可防止来自 Internet 的流量超出与其相连的网段。

DMZ 的最大好处是隔离所有对 DMZ 上的服务器的未知 Internet 请求，并且不再允许它们进入您的内部网络。但是，使用 DMZ 部署防火墙的一些额外好处可以帮助您更好地了解网络中发生的情况，从而提高安全性：

• 审核 DMZ 流量
• 在 DMZ 上定位 IDS（入侵检测系统）
• 限制三个接口之间的路由更新
• 在 DMZ 上定位 DNS

本节讨论了 DMZ 是什么，并提供了一个如何使用它的一般示例。以下案例研究检查了对 DMZ 的要求，以及在给定一组特定标准的情况下，为什么应该在网络中使用一个。

完整的 Cisco Press 关于 DMZ 的文章： http ://www.ciscopress.com/articles/article.asp?p=1823359&seqNum=5

Cisco ASA 5505 的完整配置指南以及如何设置 DMZ： https ://www.speaknetworks.com/cisco-asa-dmz-configuration-example/

示例由 Jack Wang，CCIE #32450 制作

ASA 如何处理数据包？ https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113396-asa-packet-flow-00.html

DMZ 是一个单独的网段，不用于访问内部网络。仅 DMZ 服务器接受所有入站连接。您需要公开的任何内容或具有无限连接的服务都应该放在 DMZ 中。

如果您想访问您的专用网络。您需要建立 VPN 连接。私有系统应该保密。

DMZ 不应该位于 LAN 和 Internet 之间。它应该是一个单独的区域。因为你不应该通过 DMZ 访问 LAN，因为它会增加攻击面