查看“︁DMZ”︁的源代码

'''DMZ''' 是 “Demilitarized Zone（非军事区）” 的缩写。在计算机网络安全中，它是一种用于在内部网络（可信网）和外部网络（如互联网、不可信网）之间建立隔离的网络区域。

直白地说：'''DMZ 就像一个 “缓冲区 / 中转区 /中性地带”'''，放置那些既需要对外提供服务、又要保持一定安全隔离的设备。

* 它不是完全内部网络，也不是完全暴露给外部的网络。
* 主要目的是降低网络被攻击后的损害范围 — 即使外部入侵，也难以直接触及内部核心网络。

== 为什么要用 DMZ ==
以下几个原因是部署 DMZ 的常见动机：
{| class="wikitable"
!'''原因'''
!'''解释'''
|-
|'''安全隔离'''
|将对外服务（如 Web 服务器、邮件服务器、[[FTP]] 服务器）放在 DMZ，不让它们直接处于内网，提高对内网的保护。
|-
|'''风险控制'''
|若外部服务被攻破，攻击者难以立即跳到内部网络。
|-
|'''访问控制方便'''
|防火墙可以设置规则，控制 DMZ 与内网、外网之间的通信方式与权限。
|-
|'''合规性 / 审计需求'''
|在一些安全标准和合规规定中，使用 DMZ 是一个“标准做法”。
|}

== 典型部署架构 ==
常见的 DMZ 架构可以这样理解：
   互联网  —— 防火墙 —— DMZ —— 防火墙 —— 内部网络
解释：

* 外部流量先经过 '''外部防火墙'''（边界防火墙），进入 DMZ 时受控访问；
* DMZ 区域内部可能部署多个服务器（Web、邮件、[[DNS]]、FTP 等）；
* DMZ 与内部网络之间再有一层 '''内部防火墙 / 访问控制规则'''，严格控制从 DMZ 到内网的访问；
* 通常，'''DMZ 与内网之间的通信是尽量单向或受限的'''，而不是完全自由。

还可以有更复杂的拓扑（多层 DMZ、子 DMZ、不同安全等级）等。

== DMZ 中常见的组件 / 服务 ==
在 DMZ 区，一般会部署以下服务设备或应用：

* Web 服务器（HTTP / [[HTTPS]]）
* 邮件服务器（[[SMTP]]、POP3/IMAP）
* DNS 服务器
* FTP / [[SFTP]] 服务器
* [[反向代理]] / 负载均衡器
* [[VPN]] 网关（有时候）
* 入侵检测 /防护系统（IDS/IPS，有时放在 DMZ 作为监控点）

这些服务都可能被外部访问，但我们不希望这些服务破坏后，攻击者直接拿到内部网络的控制权。

== 优点与限制 / 风险 ==
'''优点'''

* 增加安全边界 — 提高对内网的保护
* 减少单点暴露 — 减少外部攻击可直达内网的可能性
* 更灵活的访问控制 — 可以精细化设置哪些服务可以访问哪些方向

'''限制 / 风险'''

* '''依然可能被攻破'''：DMZ 中的服务器若有漏洞，攻击者仍可能利用它作为跳板
* '''配置复杂'''：需要精细规划防火墙规则、路由、访问控制等，不当配置可能带来安全破洞
* '''性能开销'''：跨越多个防火墙 / 访问控制可能会影响性能（延迟、吞吐）
* '''维护管理成本'''：管理额外的网络区域、部署和监控设备需投入更多工作

== 举例说明（通俗类比） ==
假设你家有一个 “客厅 / 接待室”用于接待外人访问（外人可以来这个地方喝茶、看电影），但你不让访客直接进你的卧室或书房。这里的 “客厅 / 接待室” 就类似 DMZ —— 它和外部世界有交互，但受限、受监控、隔离于内部隐私空间。

在网络里：

* 访客（外部用户）可以访问 DMZ 中的 Web 服务器（就像走进“接待室”）；
* 但如果有人想“越墙”去你内网的财务系统、数据库，就会被防火墙等限制住，不容易直接跨过。

[[分类:信息技术]]