DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區”，“非軍事化區”。它是為了解決安裝防火墻後外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，這個緩沖區位於企業內部網絡和外部網絡之間的小網絡區域內，在這個小網絡區域內可以放置一些必須公開的服務器設施，如企業Web服務器、FTP服務器等。DMZ防火墻方案為要保護的內部網絡增加了一道安全防線，通常認為是非常安全的。同時它提供了一個區域放置公共服務器，從而又能有效地避免一些互聯應用需要公開，而與內部安全策略相矛盾的情況發生。

　　一般網絡分成內網和外網，也就是LAN和WAN,那麽，當你有1臺物理位置上的1臺服務器，需要被外網訪問，並且，也被內網訪問的時候，那麽，有2種方法，一種是放在LAN中，一種是放在DMZ。因為防火墻默認情況下，是為了保護內網的，所以，一般的策略是禁止外網訪問內網，許可內網訪問外網。但如果這個服務器能被外網所訪問，那麽，就意味著這個服務器已經處於不可信任的狀態，那麽，這個服務器就不能（主動）訪問內網。所以，如果服務器放在內網（通過端口重定向讓外網訪問），一旦這個服務器被攻擊，則內網將會處於非常不安全的狀態。

　　一個典型的DMZ區的應用圖，用戶將Web、Mail、FTP等需要為內部和外部網絡提供服務的服務器放置到防火墻的DMZ區內。通過合理的策略規劃，使DMZ中服務器既免受到來自外網絡的入侵和破壞，也不會對內網中的機密信息造成影響。DMZ服務區好比一道屏障，在其中放置外網服務器，在為外網用戶提供服務的同時也有效地保障了內部網絡的安全。

　　　　　　　　
DMZ應用

　　在一個用路由器連接的局域網中,我們可以將網絡劃分為三個區域：安全級別最高的LAN Area（內網）,安全級別中等的DMZ區域和安全級別最低的Internet區域（外網）。三個區域因擔負不同的任務而擁有不同的訪問策略。我們在配置一個擁有DMZ區的網絡的時候通常定義以下的訪問控制策略以實現DMZ區的屏障功能。
1、內網可以訪問外網
　　內網的用戶需要自由地訪問外網。在這一策略中，防火墻需要執行NAT。

2、內網可以訪問DMZ
　　此策略使內網用戶可以使用或者管理DMZ中的服務器。

3、外網不能訪問內網
　　這是防火墻的基本策略了，內網中存放的是公司內部數據，顯然這些數據是不允許外網的用戶進行訪問的。如果要訪問，就要通過VPN方式來進行。

4、外網可以訪問DMZ
　　DMZ中的服務器需要為外界提供服務，所以外網必須可以訪問DMZ。同時，外網訪問DMZ需要由防火墻完成對外地址到服務器實際地址的轉換。

5、DMZ不能訪問內網
　　如不執行此策略，則當入侵者攻陷DMZ時，內部網絡將不會受保護。　
6、DMZ不能訪問外網
　　此條策略也有例外，比如我們的例子中，在DMZ中放置郵件服務器時，就需要訪問外網，否則將不能正常工作。

　　在沒有DMZ的技術之前，需要使用外網服務器的用戶必須在其防火墻上面開放端口（就是Port Forwarding技術）使互聯網的用戶訪問其外網服務器，顯然，這種做法會因為防火墻對互聯網開放了一些必要的端口降低了需要受嚴密保護的內網區域的安全性，黑客們只需要攻陷外網服務器，那麽整個內部網絡就完全崩潰了。DMZ區的誕生恰恰為需用架設外網服務器的用戶解決了內部網絡的安全性問題。

DMZ原理與應用