DMZ: demilitarized zone [di:militəraizd]非 军 事区 域您 的 公 司 有 一 堆 电 脑 , 但 可 以 归 为 两 大 类 : 客 户 机 、 服 务 器 。 所 谓 客 户 机 就 是 主 动 发 起 连 接请 求 的 机 器 , 所 谓 服 务 器 就 是 被 动 响 应 提 供 某 些 服 务 的 机 器 。 服 务 器 又 可 以 分 仅 供 企 业 内 网使 用 和 为 外 网 提 供 服 务 两 种 。有 句 俗 话 , 林 子 大 了 , 什 么 鸟 都 有 。 所 以 , 你 为 外 网 提 供 服 务 的 服 务 器 ( 如 公司 的 对 外 宣 传 网 站 )很 容 易 被 狩 猎 的 黑 客 所 攻 击 。所 以 , 如 果 把 您 的 对 外 提 供 服 务 的 服 务 器 放 到 企 业 内 网 , 一 旦 被 攻 陷 入 侵 ,黑客 就 可 以 利 用 这 台 机 器 ( 肉 机 ) 做 跳 版 , 利 用 局 域 网 的 漏 洞 与 共 享 等 来 攻 克 其 他 机 器 。 因 为我 们 有 必 要 建 立 一 个 特 殊 的 区 , 叫 什 么 好 呢 ?随便起 一 个 , 就 叫 DMZ 吧, 听上去比较酷而已。那为 什 么 不把 这 些 对 外 网 提 供 服 务 的 机 器 单独弄一 条线连 到 公 网 呢 ?因 为 一般中小企 业 都 仅 有 一 个 出口。OK, 您 只要 按以 下规则配置防火墙, 就 构造了 一 个DMZ 区 ( 您 也可 以 叫 love区 , 随您 ):1.内 网 可 以 访问外 网内 网 的 用 户 显然需要 自由地访问外 网 。 在这 一 策略中, 防火墙需要 进行源地址转换。2.内 网 可 以 访问 DMZ此策略是 为 了 方便内 网 用 户 使 用 和 管理 DMZ 中的 服 务 器 。3.外 网 不能访问内 网很 显然, 内 网 中存放 的 是 公 司 内 部数据, 这 些 数据不允许外 网 的 用 户 进行访问。4.外 网 可 以 访问 DMZDMZ 中的 服 务 器 本身就 是 要 给外 界提 供 服 务 的 , 所 以 外 网 必 须可 以 访问 DMZ。同时, 外 网 访问 DMZ 需要 由防火墙完成对 外 地址到 服 务 器 实际地址的 转换。5.DMZ 不能访问内 网很 明显, 如 果 违背此策略, 则当入 侵...
