Elfachiy Kaur

DMZ (Demilitarized Zone) 就是一個放置於「內部網域」及「網際網域」之間作為緩衝區域的小型網域。通常要 提供給外界存取的 Server，會放到 DMZ，例如：Web、FTP、DNS 等等，而這些 Server 都有幾個共同點：

1. 提供服務給外界存取。

2. Server 內沒有任何機密資料。

3. 這些 Server 是可以被入侵的，可以被病毒感染的。

並不是說放在 DMZ 的 Server 就是直接對外，還是要開 port 還是要應對 IP，因此基本的安全性還是有的，但是這些 Server（Web、FTP、DNS）提供服務給外界「所有人」存取（包含駭客、病毒），因此這些 Server 的風險是比較高的。如果將這些高風險的電腦，跟資料庫或是其他機密資料放在同一個區域，會有更危險的問題，因此在「兩害取其輕」的原則下，才會有 DMZ 這個區域的誕生。

等於 DMZ 是和 LAN 切開，不屬於同一個網段，所以被侵入的話，並不影響 LAN 的運作，DMZ 也仍然受防火牆的管制。

DMZ 只是個概念，並不是真的有個實體區域或設備叫 DMZ。如同 LAN 或 WAN 兩字所要表達的概念是同一類的。凡是符合以下規範的，都算是 DMZ：

1. LAN 和 WAN 到 DMZ 均可通（外至內通訊全開）

2. DMZ 到 LAN 和 WAN 均不通（內至外通訊全關）

所以要達成以上的方法很多，只是一般防火牆多會將以上規則設定在一個實體 port 上，所以接到這 port 的所有電腦，其網路環境就會同時受到以上規範，也就是都處在 DMZ 中了！

【參考資料】
1. 到底什麼是 DMZ(轉貼,網管知識)
2. 一般來說哪些SERVER會規劃到DMZ裡面？DMZ又要怎麼使用？！
3. DMZ是硬體還是軟體