DMZ

DMZ（全稱Demilitarized Zone，中文為「非軍事區」^[1]，或稱Perimeter network，即「邊界網路」、周邊網路^[2]或「對外網路」）為一種網路架構的布置方案，常用的架設方案是在不信任的外部網路和可信任的內部網路外，建立一個面向外部網路的物理或邏輯子網路，該子網路能設定用於對外部網路的伺服器主機。

該方案可以使用在防火牆、路由器等區隔內外網的網路裝置。在一些網路裝置，DMZ的功能只能以軟體設定的介面去設定並實作，實體的網路層相接，會與一般的LAN PORT相接共同管理。在另一些網路裝置，如進階的防火牆裝置，DMZ的功能除了軟體的介面的設定外，在實體的連接PORT除了一般的WAN PORT、LAN PORT外，還會有另外獨立的DMZ PORT，這樣可以方便網路管理人員在管理網段時，除了軟體介面上去設定WAN、LAN、DMZ等網段外，在實體的纜線連接（通常採用的是RJ45）時，也可以直接區分網段，更方便管理。

一般而言：DMZ區會有以下特點：

提供服務給外界存取
區域內伺服器不包含任何機密資料

原理[編輯]

將部分用於提供對外服務的伺服器主機劃分到一個特定的子網路——DMZ內，在DMZ的主機能與同處DMZ內的主機和外部網路的主機通訊，而同內部網路主機的通訊會被受到限制。這使DMZ的主機能被內部網路和外部網路所訪問，而內部網路又能避免外部網路所得知。

DMZ能提供對外部入侵的防護，但不能提供內部破壞的防護，如內部通訊封包分析和欺騙。

家用路由器提供的DMZ[編輯]

在一些家用路由器中，DMZ是指一部所有埠都暴露在外部網路的內部網路主機，除此以外的埠都被轉發。嚴格來說這不是真正的DMZ，因為該主機仍能訪問內部網路，並非獨立於內部網路之外的。但真正的DMZ是不允許訪問內部網路的，DMZ和內部網路是分開的。這種 DMZ主機並沒有真正DMZ所擁有的子網路劃分的安全優勢，其常常以一種簡單的方法將所有通訊埠轉發到另外的防火牆或NAT裝置上。

參考文獻[編輯]

^ demilitarized zone - 非軍事區. 國家教育研究院. [2021-03-17] （中文（繁體））. ^{[失效連結]}
^ 詞彙 - perimeter network（週邊網路）. Symantec. [2014-04-03]. （原始內容存檔於2014-04-07）.

[1] tarized zone - 非軍事區. 國家教育研究院. [2021-03-17] （中文（繁體））. ^{[失效連結]}

[2] 詞彙 - perimeter network（週邊網路）. Symantec. [2014-04-03]. （原始內容存檔於2014-04-07）.

[1]

[2]