# 前言
這篇是我在寫 網路安全 的時候有的一個疑問,什麼是 DMZ 在我設定的部分,跟她的理念好像兜不攏。記得那時候因為內網有 Openwrt, 所以為了要把全部的 port 開放,只看到了可以用 DMZ, 沒有深入理解她的原理,今天就是來還債的。
# DMZ
全稱 Demilitarized Zone (非軍事化區域), 從字面上理解是攻擊者和管理者都不會去攻擊或者管理的區域,因此她有以下的幾個特點。
- DMZ 是與內網完全隔離
- 內網與外網都可以訪問 DMZ 區域,但是 DMZ 並不能訪問外網和內網。
- 通常都放一些被攻擊不太會受影響的資料
可是簡單來說,通常比較建議使用 port forwarding, 一方面是家用 router 的 DMZ 比不上十幾萬的防火牆設備,一方面是 port 全部打開是不太安全的。
# port forwarding 與 DMZ 的優先權
通常 port 的優先權為如下:DMZ - 非軍事區 > Virtual Server - 虛擬主機 > IP Forwording>Special Application
# Reference
- CDNA
