您想要 DMZ 的原因及其提供的好处。一般的想法是，您将面向公众的服务器放在“DMZ 网络”中，这样​​您就可以将它们与您的私有、受信任的网络分开。用例是因为你的服务器有一个公共面孔，它可以被远程root。如果发生这种情况，并且恶意方获得了对您服务器的访问权限，那么他应该被隔离在 DMZ 网络中，并且不能直接访问私有主机（或例如位于私有网络内而不是在非军事区）。

怎么做：有几种方法，但“书本示例”是利用两个防火墙（当然，您可以使用一个防火墙和智能配置来实现相同的结果，尽管硬件隔离更好）。您的主防火墙位于 Internet 和服务器之间，第二个防火墙位于服务器和专用网络之间。在这第二个防火墙上，理想情况下，从服务器到专用网络的所有访问都将被禁止（当然它是一个有状态的防火墙，因此如果您启动从专用网络到服务器的连接，它将起作用）。

因此，这是对 DMZ 的一个相当高级的概述。如果您需要更多技术细节，请相应地编辑您的问题。

当然，我只能添加到约翰的答案中，这里是：

在 IP 路由和安全策略方面，您将 DMZ 与网络的其余部分分开。

1. 您确定您的网络区域。内部：关键系统；DMZ：您可以承受“暴露”的系统，您希望向外部世界托管服务的系统，例如您的 SSH 主机；外部：世界其他地方。

2. 您在网络架构上设置这些单独的区域。

3. 然后将您的防火墙/路由器配置为仅允许从外部世界直接连接到 DMZ。相应地，您的内部系统应该只能连接到 DMZ 并通过那里的 HTTP、应用程序代理、邮件中继等访问外部世界。您的防火墙规则应通过阻止相应的流量方向/IP/端口来反映这些决定：例如，向内仅允许在 DMZ 中运行的服务的端口等。

4. 理想情况下，您应该配置任何在网络区域（内部、DMZ、外部）之间交换信息的服务，以便从最安全的网段到不太安全的区域启动，例如，如果您需要将文件传输到“内部”主机，则启动内部系统传输（具有客户端角色，而不是服务器角色）。

在 pc 网络中，区域（非军事区）可能是将内部本地空间网络 (LAN) 与不同的不受信任的网络（有时是网络）分开的物理或逻辑子网络。面向外部的服务器、资源和服务被放置在区域内，以便可以从网络访问它们，但内部计算机网络的其余部分仍然无法访问。这为计算机网络提供了额外的安全层，因为它限制了黑客通过网络直接访问内部服务器和信息的能力。