什么是DMZ區域，DMZ區域的作用與原理

1.概念：
DMZ是為了解決安裝防火牆后外部網絡的訪問用戶不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區。該緩沖區位於企業內部網絡和外部網絡之間的小網絡區域內。在這個小網絡區域內可以放置一些必須公開的服務器（如企業Web服務器、FTP服務器和論壇等）；另一方面，通過這樣一個DMZ區域，更加有效地保護了內部網絡。因為這種網絡部署，比起一般的防火牆方案，對來自外網的攻擊者來說又多了一道關卡。

DMZ區域可以理解為一個不同於外網和內網的特殊網絡區域

在一個用路由器連接的局域網中,我們可以將網絡划分為三個區域：
安全級別最高的LAN Area（內網）；
安全級別中等的DMZ區域；
安全級別最低的Internet區域（外網）。
三個區域因擔負不同的任務而擁有不同的訪問策略。

2.DMZ原理：
將部分用於提供對外服務的服務器主機划分到一個特定的子網——DMZ內，在DMZ的主機能與同處DMZ內的主機和外部網絡的主機通信，而同內部網絡主機的通信會被受到限制。這使DMZ的主機能被內部網絡和外部網絡所訪問，而內部網絡又能避免外部網絡所得知。

3.兩個防火牆之間的空間被稱為DMZ：
我們在配置一個擁有DMZ區的網絡的時候，通常定義以下的訪問控制策略以實現DMZ區的屏蔽功能：
1、內網可以訪問外網
內網的用戶顯然需要自由地訪問外網。在這一策略中，防火牆需要進行源地址轉換。

2、內網可以訪問DMZ
此策略是為了方便內網用戶使用和管理DMZ中的服務器。

3、外網不能訪問內網
很顯然，內網中存放的是公司內部數據，這些數據不允許外網的用戶進行訪問。

4、外網可以訪問DMZ
DMZ中的服務器本身就是要給外界提供服務的，所以外網必須可以訪問DMZ。同時，外網訪問DMZ需要由防火牆完成對外地址到服務器實際地址的轉換。

5、DMZ不能訪問內網
很明顯，如果違背此策略，則當入侵者攻陷DMZ時，就可以進一步進攻到內網的重要數據。

6、DMZ不能訪問外網
此條策略也有例外，比如DMZ中放置郵件服務器時，就需要訪問外網，否則將不能正常工作。在網絡中，非軍事區(DMZ)是指為不信任系統提供服務的孤立網段，其目的是把敏感的內部網絡和其他提供訪問服務的網絡分開，阻止內網和外網直接通信，以保證內網安全。

4.服務配置：
1、DMZ提供的服務是經過了網絡地址轉換（NAT）和受安全規則限制的，以達到隱蔽真實地址、控制訪問的功能。首先要根據將要提供的服務和安全策略建立一個清晰的網絡拓撲，確定DMZ區應用服務器的IP和端口號以及數據流向。通常網絡通信流向為禁止外網區與內網區直接通信，DMZ區既可與外網區進行通信，也可以與內網區進行通信，受安全規則限制。
地址轉換

2、DMZ區服務器與內網區、外網區的通信是經過網絡地址轉換（NAT）實現的。網絡地址轉換用於將一個地址域（如專用Internet）映射到另一個地址域（如Internet），以達到隱藏專用網絡的目的。DMZ區服務器對內服務時映射成內網地址，對外服務時映射成外網地址。采用靜態映射配置網絡地址轉換時，服務用IP和真實IP要一一映射，源地址轉換和目的地址轉換都必須要有