DMZ在家用无线路由器中有什么作用？

据我了解，通过使用DMZ，您可以将主机的所有端口公开到Internet。那有什么用？

如果要运行可从家庭网络外部访问的家庭服务器（即Web服务器，ssh，vnc或其他远程访问协议），则DMZ很好。通常，您可能希望在服务器计算机上运行防火墙，以确保仅允许特定端口从公用计算机访问。

使用DMZ的替代方法是设置端口转发。使用端口转发，您只能允许特定的端口通过路由器，如果路由器后方有多个服务器，则还可以指定一些端口转到不同的计算机。

请注意 在公司/专业环境（带有高端防火墙）中的DMZ与家用无线路由器（或其他家用NAT路由器）不同。您可能必须使用第二个NAT路由器才能获得预期的安全性（请参阅下面的文章）。

在Leo Laporte和安全专家Steve Gibson 播出的Security Now播客的第3集中，谈到了这个话题。在笔录中看到“非常有趣的问题，因为这就是所谓的” DMZ”，即在路由器上称为非军事区”。

从史蒂夫·吉布森（Steve Gibson），http：//www.grc.com/nat/nat.htm：

“正如您可能想像的那样，路由器的“ DMZ”计算机，甚至“端口转发”的计算机都需要具有足够的安全性，否则它很快就会与Internet真菌一起爬网。从安全角度来看，这是一个大问题。为什么？ .. NAT路由器具有一个标准的以太网交换机，该交换机将其所有LAN侧端口互连在一起。托管专用“ DMZ”计算机的端口没有“分离”的地方，它位于内部LAN上！通过转发的路由器端口或由于它是DMZ主机，可以访问内部专用LAN上的所有其他计算机。（这确实很糟糕。）”

在本文中，还有一个解决此问题的方法，其中涉及使用第二个NAT路由器。有一些非常好的图表可以说明问题和解决方案。

在DMZ或“ 非军事区”中，您可以设置需要从网络外部访问的服务器或其他设备。

那里属于什么？Web服务器，代理服务器，邮件服务器等

在网络中，最容易受到攻击的主机是那些为LAN之外的用户提供服务的主机，例如电子邮件，Web和DNS服务器。由于这些主机受到威胁的可能性越来越大，因此如果入侵者成功了，它们将被放置在自己的子网中，以保护网络的其余部分。尽管允许与DMZ中的其他主机以及与外部网络的通信，但DMZ中的主机与内部网络中特定主机的连接受到限制。这允许DMZ中的主机向内部和外部网络提供服务，而中间的防火墙控制DMZ服务器与内部网络客户端之间的流量。

在计算机网络中，DMZ（非军事区）有时也称为外围网络或屏蔽子网，是将内部局域网（LAN）与其他不受信任的网络（通常是Internet）分开的物理或逻辑子网。面向外部的服务器，资源和服务位于DMZ中。因此，可以从Internet访问它们，但是内部LAN的其余部分仍然无法访问。由于它限制了黑客通过Internet直接访问内部服务器和数据的能力，因此为LAN提供了另一层安全保护。