您会在家中设置DMZ吗？

从安全角度来看，如果您计划从那里运行流量低（不受欢迎）的网站，那么全程在家中建立DMZ有什么好处？

同一Windows网络上的家庭中有许多计算机，但是所有HTTP和SSL通信都被重定向到该网络上的特定计算机。是否需要在某种DMZ中设置本机以增加安全性？

是。应该怀疑来自Internet的任何传入流量，而不是对其中一台计算机的请求的响应。在许多情况下，您的网站可能会遭到破坏，并可能导致某人有权访问内部网络。

现在，不幸的现实是，大多数商用家用路由器都没有能力设置适当的DMZ。它们可能允许您设置所有外部流量都路由到的DMZ IP。这不允许DMZ应该提供的分隔。要具有正常的DMZ，DMZ中的计算机必须位于与主网络不同的IP范围或子网中，并且必须位于仅支持DMZ IP范围的路由器的不同端口上。正确配置DMZ的最终结果是DMZ中的系统无法直接访问主网络上的IP。

另外，请确保您的路由器不会出于管理目的将DMZ视为内部设备。因此，它不应该信任来自DMZ的流量，也不要信任来自DMZ的流量，并且您也不能从DMZ上的任何系统访问路由器的管理界面。这通常是其他人提出的“两个路由器”解决方案的问题。外部路由器仍将DMZ中的系统视为内部系统，并且受信任。该外部路由器可能会受到威胁，所有内部流量仍需要通过它才能到达Internet。

如果您只是在转发要提供的特定服务（HTTP和SSL），则DMZ的唯一用途是限制该机器受到损害时的损害（例如，通过编写不良的cgi） ）。决定是否要这样做会导致多大的损失-如果网络上没有其他机器，那没什么大不了的，但是如果有一个不安全的内部NAS，上面有您的所有个人财务记录，您可能需要一个额外的内部安全层，是的。

我仍然会这样做，因为这样做相对容易。如果您有两个宽带路由器，则可以使用不同的专用IP地址空间（例如192.168.100.1-254和192.168.200.1-254）在线设置它们。将Web服务器挂在第一个直接连接到Internet的服务器上。使用端口转发来定向到您的Web服务器。将您专用网络中的所有系统放在第二个宽带路由器后面。这样，如果Web服务器由于某种原因遭到破坏，则它们将必须穿过第二个宽带路由器才能进入您的其他系统。

大多数家庭网络没有足够的公共IP地址空间来有效地设置DMZ。DMZ的重点通常是将表示层像Web服务器一样放置在那里，然后将数据库服务器置于防火墙之后，仅允许DMZ中的计算机通过指定的端口和协议与数据库服务器进行通信。它的确提高了安全性，但是对于家庭设置，除非您要提供适合DMZ的N层应用程序，否则这没有什么意义。