7 .7 DMZ 服务

7.7 DMZ 服务

DMZ 是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。
它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业 Web 服务器、FTP 服务器和论坛等。另一方面，通过这样一个 DMZ 区域，更加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网的攻击者来说又多了一道关卡。

类似于端口映射，可以实现主机映射。

• 状态：启用或停用
• 接口：选择所要使用的外网接口或者 ANY（全部）
• 外网地址：需要排除的外网 IP 地址
• 内网地址：需要做 DMZ 的内部 IP 地址
• 排除协议：选择协议（TCP、UCP、TCP+UDP）
• 排除端口：需要排除的端口号或端口号范围

上面的配置将来自 WAN 接口，端口不是 TCP（1024-65535）的报文映射到内网主机192.168.5.184.
此时如果192.168.5.184的800端口在提供WEB服务，而WAN接口的地址为183.157.116.161，则可以通过183.157.116.161:800 来访问 192.168.5.184:800 的 WEB 服务。