您将必须从外部访问的服务器放入 DMZ。由于可以从外部世界（假定为敌对世界）访问它们，因此这些服务器可能会被攻击者劫持。DMZ 是一个收容区，因此被破坏的服务器无法立即访问您最有价值的数据（这些数据可能保存在内部网络中）。

您的 AD 和 SQL 服务器只能由您网络中的机器使用，而不是由外部机器使用，因此您将它们放在内部网络中。您的 Web 服务器旨在与外部客户端联系，因此请将其放在 DMZ 中。同样，向外部世界发布您的域的 DNS 服务器（例如，您的 Web 服务器的 IP 地址）也意味着可以从外部访问，因此是 DMZ。

没有例外。有时，您需要有一些从外部到内部网络的数据路径。通常，电子邮件来自 Internet，但最终必须出现在桌面系统上。您通常希望将传入的电子邮件存储在内部网络中的服务器中（这是您网络中假定的最安全的地方），但是如果您运行自己的 SMTP 服务器（用于传入的电子邮件），那么该服务器必须位于 DMZ .

这实际上取决于您的具体情况，但经验法则很简单：DMZ 是针对可以从外部联系的。

通常，这个想法是确定您信任哪些硬件以及您不信任哪些硬件。高度暴露且不包含敏感数据的事物不需要被信任，然后可以存在于外部。如果 Web 服务器的敏感数据是由 DB 提供的，那么 Web 服务器本身可能是相对不可信的，但这在很多情况下会发生故障，例如 HTTPS，其中需要在 Web 服务器中维护一些信任，因此它也应该尽可能地隔离，尽管也可能与内部网络断开。

您正在查看的关键是外部需要多少访问权限与该暴露给您的核心网络带来多少风险的组合。您正在寻求通过增加分隔系统的额外障碍来减轻这种风险。

抱歉，如果它不是一个准确的列表，但希望它足以澄清这个概念以使答案清晰（并且并不总是有一个“完美”或“正确”的答案。安全性也是关于平衡各种相互冲突的需求例如可用性（让好用户进入）和访问控制（让坏用户进入）。）

我来帮你。如果您不了解整个系统的工作原理，不小心将资产暴露在错误的一端，您应该更加担心。考虑这个类比。你有一座城堡，里面有国王和它的人（子王国的统治者），这些实体被安置在最里面的保护屏障中(internal(internal))，然后有来自行政部门的人，顾问一群不喜欢与最核心圈子的人享有同等级别的特权，或者国王出于简单的原因不喜欢那些人靠近他。所以这些人留在less-trusted(internal).

在安全方面，其称为信任级别和 CIA 评级，具有较高 CIA 评级的资产通常采用更强的安全控制并放置在最受保护的地方。回到类比考虑，城堡的最外层有一个妥协，并且有一个特定的协议，这些免费赠品在王区内移动，比如说遵循常规检查协议，在该外层上钻取等资产意味着免费的，并且像授权访问最高权限的人（国王船员和他）信任级别高的人。

这也是您应该思考的方式，只需将其与业务需求进行映射，您就可以开始了。您应该意识到，无论是 TMG 还是您向外部参数公开的任何其他服务，请确保您在战斗中断时做好准备；这些家伙会首先受到打击，有时会受到重击，有时会默默无闻。*因此，一个好的 DMZ 是隔离攻击范围（安全漏洞）并提供授权的功能通道。*作为一个细心警惕的人，您应该始终关注这些面向公众的资产面临的威胁，情况经常发生变化。你必须站起来。