iT邦幫忙

1

DMZ是硬體還是軟體

  • 分享至 

  • xImage

我看了很多網路架構的拓墣,在拓墣內都會有一個DMZ非軍事區,DMZ的定義我看了很多資料大致上應該算了解,但不懂得是我看許多拓墣都在在防火牆拉一條線到旁邊去並標示DMZ區,所以DMZ是防火牆的功能之一嗎,是硬體防火牆還是軟體防火牆才有呢,又或者是拓樸的防火牆拉一條線到旁邊標是DMZ區還得買一個DMZ的設備或是軟體,因為我沒看過所以只知道他做什麼用卻不知道他是硬體還是軟體???

看更多先前的討論...收起先前的討論...
showjack iT邦新手 1 級 ‧ 2011-11-03 13:08:50 檢舉
咦 有些人回答說 DMZ 叫做軍事區(交火區) , 也有些人說它叫非軍事區
從名稱上(中文) 這正好是完全相反的意思

所以它正確的譯名是什麼呢?
DMZ(Demilitary Zone)
看到那個De的字首就知道是「非」軍事區了

最有名的DMZ不是在網路界
而是在北緯38度線
看看這篇遊記
或許可以對DMZ這個字更有feel
泡湯
補充,應為Demilitarized zone才對
ithomelee iT邦研究生 1 級 ‧ 2011-11-06 21:06:57 檢舉
showjack提到:
正確的譯名是什麼呢?


個人認為翻成"管制區"或"監控區" 比較恰當
「非」軍事區是以聯合國的角度,這區域不准有軍事行動或挑釁行為.
常常滿口仁義道德的人,最缺仁義道德!
所以「非」軍事區,常常有軍事衝突.
對於網管人員來說,它絕不是一個可以放任不管的區域,反而是一個令人24HR寢食難安的區域因為你永遠不曉得敵人會不會透過此區域木馬屠城
所以翻成"交火區",也沒錯.因為隨時有可能從「非」軍事區變成交火區.
它絕不是一個「非」軍事區,常會爆發衝突.
pqr0007 iT邦研究生 1 級 ‧ 2011-11-14 22:30:25 檢舉
可能硬體, 也可能軟體...
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
42
wiseguy
iT邦超人 1 級 ‧ 2011-10-30 23:35:54
最佳解答

DMZ 是個架構詞,它是在描述無法直通的內網與外網之間,有若干台網路設備,也許是 Web Server、也許是 Mail Server,可以同時讓內網與外網存取到。

這是避免內網的電腦連到外網去,也避免外網連到內網去的一種網路架構。最簡單的方式就是讓這些位在 DMZ 區的電腦,同時擁有內外網的 IP 就行了。當然還有其它的設置法,但主要的用意都是一樣:在內外網不通的情況下,都能存取到一樣的網路服務。

所以,DMZ 只是個概念,並不是真的有個實體區域或設備叫 DMZ。

請問一下我看了很多資料再分享器開啟DMZ後設定一個IP例如192.168.1.10然後連接一台SERVER並設定SERVER IP為192.168.1.10這樣代表這台就是DMZ的機器嗎也就是開放的機器

如果是這樣那要多台是不是就設定DMZ多個虛擬IP就可以了

12
dicky9055
iT邦新手 5 級 ‧ 2011-10-30 22:45:40

簡單的說dmz只是一個獨立的port
讓你把網路線接上去
成為一個獨立的區塊

14
steven7173
iT邦新手 4 級 ‧ 2011-10-31 10:10:26

誠如Dicky 大說的

DMZ 就是你的防火牆設備的一個port所接出去的網段

常應用的就是
你的公司或家裡可能會架web server, web 一般是走 TCP 80 port(此port 非上述的port)
我們則需要控制防火牆 internet(wan port) 到 DMZ port 僅開 TCP 80 來達到安全上的控管, 而不要 讓 一台server 的 L4 層(1 - 65535 port ) 全開

16
ktweng
iT邦新手 2 級 ‧ 2011-10-31 10:50:45

DMZ就只是一個名稱而已,在架構上稱為軍事區,也可以說是交火區
在這一個區域的主機一般都是對外做服務的,所以可能會遭受外部Internet的攻擊
在防火牆的概念區分為untrust,dmz,trust這三個區塊
一般來說trust可以訪問dmz,untrust,而dmz可以訪問untrust
untrust如需要訪問dmz,就需要透過防火牆的規則與權限控管來實行

10
utopia
iT邦新手 3 級 ‧ 2011-10-31 16:55:02

簡單說,DMZ是指一種網路環境的統稱,
如同LAN 或WAN兩字所要表達的概念是同一類的。

凡是符合以下規範的,都算是dmz

1.LAN和WAN 到此區均可通(外至內通訊全開)
2.此區到LAN和WAN 均不通(內至外通訊全關)

所以要達成以上的方法很多,
只是一般防火牆多會將以上規則設定在一個實體PORT上
所以接到這port的所有電腦,其網路環境就會同時受到以上規範
也就是都處在DMZ中了!

10
tibandyli
iT邦新手 2 級 ‧ 2011-10-31 17:22:25

DMZ什麼體都不是…
只是一個網路區域的概念…
一個做為對外服務的區域…

通常在網路規劃時會把需要對外服務的設備放置於此區,
希望受到防火牆部份保護但是又必需提供必要服務。

另外還會有的就是管制區是不允許外網與內存取,除了特定主機…(ex…資料庫主機)

請問一下我看了很多資料再分享器開啟DMZ後設定一個IP例如192.168.1.10然後連接一台SERVER並設定SERVER IP為192.168.1.10這樣代表這台就是DMZ的機器嗎也就是開放的機器

如果是這樣那要多台是不是就設定DMZ多個虛擬IP就可以了

10
wtya
iT邦新手 5 級 ‧ 2011-10-31 23:30:30

DMZ只是一種概念,並不是一定要怎麼建置才是正確的。
用句名言就是"黑貓白貓,能抓老鼠的就是好貓"
簡單來說,就只是用防火牆將"一塊"區域規劃為戰火交戰區。
要怎麼被打都可以,因為裡面沒有重要的資料,
通常是像是WEB或是有對外服務的主機皆屬。
至於要用甚麼硬體軟體來規劃建置,
並沒有制式的要求。
但一定要的是和內網是要分開的。

8
jerryxxx
iT邦新手 3 級 ‧ 2011-11-01 21:18:19

DMZ非軍事區:
它只是設定內網指派的主機要對外全部開放的一個開關而已。
簡單講就是,
已經指派出去的那台對外主機不受你架設的硬體防火牆(或IP分享器)所控制,
只有剩下指派出去的主機裡面的防火牆,去控制軟體的進出。

10
tombo
iT邦高手 1 級 ‧ 2011-11-04 15:07:34

DMZ 只是規劃防火牆的架構名稱,重點是
DMZ 的設計理念是,允許 Outside 可以主動連線到 DMZ
Inside 也可以主動連線到 DMZ
DMZ 不可以主動連線到 Inside

如果伺服器放在 Inside ,若是伺服器有個萬一,內部網路馬上就會破功,
但是伺服器放在 DMZ 區,DMZ 又不能主動連線進 Inside ,相對安全性會高一些。

我要發表回答

立即登入回答