DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區(qū)”，“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器等。DMZ防火墻方案為要保護(hù)的內(nèi)部網(wǎng)絡(luò)增加了一道安全防線，通常認(rèn)為是非常安全的。同時(shí)它提供了一個(gè)區(qū)域放置公共服務(wù)器，從而又能有效地避免一些互聯(lián)應(yīng)用需要公開，而與內(nèi)部安全策略相矛盾的情況發(fā)生。

　　一般網(wǎng)絡(luò)分成內(nèi)網(wǎng)和外網(wǎng)，也就是LAN和WAN,那么，當(dāng)你有1臺(tái)物理位置上的1臺(tái)服務(wù)器，需要被外網(wǎng)訪問，并且，也被內(nèi)網(wǎng)訪問的時(shí)候，那么，有2種方法，一種是放在LAN中，一種是放在DMZ。因?yàn)榉阑饓δJ(rèn)情況下，是為了保護(hù)內(nèi)網(wǎng)的，所以，一般的策略是禁止外網(wǎng)訪問內(nèi)網(wǎng)，許可內(nèi)網(wǎng)訪問外網(wǎng)。但如果這個(gè)服務(wù)器能被外網(wǎng)所訪問，那么，就意味著這個(gè)服務(wù)器已經(jīng)處于不可信任的狀態(tài)，那么，這個(gè)服務(wù)器就不能（主動(dòng)）訪問內(nèi)網(wǎng)。所以，如果服務(wù)器放在內(nèi)網(wǎng)（通過端口重定向讓外網(wǎng)訪問），一旦這個(gè)服務(wù)器被攻擊，則內(nèi)網(wǎng)將會(huì)處于非常不安全的狀態(tài)。
　　但DMZ就是為了讓外網(wǎng)能訪問內(nèi)部的資源，也就是這個(gè)服務(wù)器，而內(nèi)網(wǎng)呢，也能訪問這個(gè)服務(wù)器，但這個(gè)服務(wù)器是不能主動(dòng)訪問內(nèi)網(wǎng)的。DMZ就是這樣的一個(gè)區(qū)域。為了讓物理位置在內(nèi)網(wǎng)的，并且，希望能被外網(wǎng)所訪問的這樣的一個(gè)區(qū)域。

　　一個(gè)典型的DMZ區(qū)的應(yīng)用圖，用戶將Web、Mail、FTP等需要為內(nèi)部和外部網(wǎng)絡(luò)提供服務(wù)的服務(wù)器放置到防火墻的DMZ區(qū)內(nèi)。通過合理的策略規(guī)劃，使DMZ中服務(wù)器既免受到來自外網(wǎng)絡(luò)的入侵和破壞，也不會(huì)對(duì)內(nèi)網(wǎng)中的機(jī)密信息造成影響。DMZ服務(wù)區(qū)好比一道屏障，在其中放置外網(wǎng)服務(wù)器，在為外網(wǎng)用戶提供服務(wù)的同時(shí)也有效地保障了內(nèi)部網(wǎng)絡(luò)的安全。

　　　　　　　　
DMZ應(yīng)用

　　在一個(gè)用路由器連接的局域網(wǎng)中,我們可以將網(wǎng)絡(luò)劃分為三個(gè)區(qū)域：安全級(jí)別最高的LAN Area（內(nèi)網(wǎng)）,安全級(jí)別中等的DMZ區(qū)域和安全級(jí)別最低的Internet區(qū)域（外網(wǎng)）。三個(gè)區(qū)域因擔(dān)負(fù)不同的任務(wù)而擁有不同的訪問策略。我們?cè)谂渲靡粋€(gè)擁有DMZ區(qū)的網(wǎng)絡(luò)的時(shí)候通常定義以下的訪問控制策略以實(shí)現(xiàn)DMZ區(qū)的屏障功能。
1、內(nèi)網(wǎng)可以訪問外網(wǎng)
　　內(nèi)網(wǎng)的用戶需要自由地訪問外網(wǎng)。在這一策略中，防火墻需要執(zhí)行NAT。

2、內(nèi)網(wǎng)可以訪問DMZ
　　此策略使內(nèi)網(wǎng)用戶可以使用或者管理DMZ中的服務(wù)器。

3、外網(wǎng)不能訪問內(nèi)網(wǎng)
　　這是防火墻的基本策略了，內(nèi)網(wǎng)中存放的是公司內(nèi)部數(shù)據(jù)，顯然這些數(shù)據(jù)是不允許外網(wǎng)的用戶進(jìn)行訪問的。如果要訪問，就要通過VPN方式來進(jìn)行。

4、外網(wǎng)可以訪問DMZ
　　DMZ中的服務(wù)器需要為外界提供服務(wù)，所以外網(wǎng)必須可以訪問DMZ。同時(shí)，外網(wǎng)訪問DMZ需要由防火墻完成對(duì)外地址到服務(wù)器實(shí)際地址的轉(zhuǎn)換。

5、DMZ不能訪問內(nèi)網(wǎng)
　　如不執(zhí)行此策略，則當(dāng)入侵者攻陷DMZ時(shí)，內(nèi)部網(wǎng)絡(luò)將不會(huì)受保護(hù)。　
6、DMZ不能訪問外網(wǎng)
　　此條策略也有例外，比如我們的例子中，在DMZ中放置郵件服務(wù)器時(shí)，就需要訪問外網(wǎng)，否則將不能正常工作。

　　在沒有DMZ的技術(shù)之前，需要使用外網(wǎng)服務(wù)器的用戶必須在其防火墻上面開放端口（就是Port Forwarding技術(shù)）使互聯(lián)網(wǎng)的用戶訪問其外網(wǎng)服務(wù)器，顯然，這種做法會(huì)因?yàn)榉阑饓?duì)互聯(lián)網(wǎng)開放了一些必要的端口降低了需要受嚴(yán)密保護(hù)的內(nèi)網(wǎng)區(qū)域的安全性，黑客們只需要攻陷外網(wǎng)服務(wù)器，那么整個(gè)內(nèi)部網(wǎng)絡(luò)就完全崩潰了。DMZ區(qū)的誕生恰恰為需用架設(shè)外網(wǎng)服務(wù)器的用戶解決了內(nèi)部網(wǎng)絡(luò)的安全性問題。