聽說一些Server 可以把它放在DMZ區,但聽朋友說DMZ也不是絕對安全的,
我知道有些Hardware Firewall 會有WAN.LAN.DMZ port,軟體好像也可以
做出DMZ但我不太清楚要如何做.
不過DMZ到是它的作用及功能是什麼呢?它是如何運作的?
大家討論看看.

就我所知的DMZ來回答一下
一般要建立DMZ區域需要一台主機3張網卡來區隔
一張位址是實際Internet IP負責聯外
一張也是實際Internet IP負責連到DMZ區域
一張則是連到私人虛擬網路上，也就是一般公司行號用的非正式IP
要達到DMZ建立至少Internet IP要擁有到可以切割使用
這樣才能將一部份IP指派為DMZ區域
而DMZ本來就不是安全區域，他只是個緩衝區域
區隔Internet使用者不致闖入公司內部而已
以上面架構而言，瓶頸在於DMZ的網卡
這是簡單說明，很籠統
但一時之間說不清楚，因為還有其他方式更加嚴密的DMZ

最初由 casio2800 發表
就我所知的DMZ來回答一下
一般要建立DMZ區域需要一台主機3張網卡來區隔
一張位址是實際Internet IP負責聯外
一張也是實際Internet IP負責連到DMZ區域
一張則是連到私人虛擬網路上，也就是一般公司行號用的非正式IP
要達到DMZ建立至少Internet IP要擁有到可以切割使用
這樣才能將一部份IP指派為DMZ區域
而DMZ本來就不是安全區域，他只是個緩衝區域
區隔Internet使用者不致闖入公司內部而已
以上面架構而言，瓶頸在於DMZ的網卡
這是簡單說明，很籠統
但一時之間說不清楚，因為還有其他方式更加嚴密的DMZ
請問既然DMZ算是不安全的區域,那為什麼有些server會要把它放在DMZ區呢?
(這就是我不了解的地方)

如果嚴格說起來，公司內部網路有時也會因網管或系統人員錯誤而被Internet駭客得知
那你說哪裡安全?
其實因為DMZ也是位於Internet上的地區，在外防守的防火強設定不恰當或是管理有問題
或是OS/AP本身就有漏洞，當然就不安全
公司內部網路會較安全原因在於位址轉換，如果他從Internet上無法實際接觸你公司內部
那除了透過安裝後門程式與病毒外，大概就沒輒
所以當無法來到大門前正面踢館時，當然會較安全
而當它可以穿過你的管制與保護，到達大門時，已經兵臨城下了
所以DMZ會有不安全說也是其來有自
況且，他其實應該是定義於內外戰區的停戰區，但這停戰區有可能隨時被攻陷的

最初由 casio2800 發表
如果嚴格說起來，公司內部網路有時也會因網管或系統人員錯誤而被Internet駭客得知
那你說哪裡安全?
其實因為DMZ也是位於Internet上的地區，在外防守的防火強設定不恰當或是管理有問題
或是OS/AP本身就有漏洞，當然就不安全
公司內部網路會較安全原因在於位址轉換，如果他從Internet上無法實際接觸你公司內部
那除了透過安裝後門程式與病毒外，大概就沒輒
所以當無法來到大門前正面踢館時，當然會較安全
而當它可以穿過你的管制與保護，到達大門時，已經兵臨城下了
所以DMZ會有不安全說也是其來有自
況且，他其實應該是定義於內外戰區的停戰區，但這停戰區有可能隨時被攻陷的

嗯!這麼說server放在DMZ也是不太安全的,而DMZ主要是保護內部網路
(一般公司內部192.168.XXX.XXX),而server主要還是要靠Firewall來保護.
大致上來說是不是:
DMZ --> 保護公司內部網路
Firewall --> 保護Server &管理公司網路(流量.port的開放....)

"嗯!這麼說server放在DMZ也是不太安全的"
事實上Server放在哪裡都有安全顧慮，如果網路連接設定不適當，系統人員將系統設定錯誤，都還是會遭Internet使用者不當侵入，甚至會因公司內使用者使用不當，引入後門程式或病毒，導致伺服器遭入侵、公司內部資料流出等等後果。
而事實上DMZ設置作用，像之前我所說的有點像防火巷，要隔絕外部入侵，又要將一些必要資料放置在網路上提供利用，但又要將一些重要資料隱藏起來，所以才設置DMZ，來作為緩衝區，利用DMZ伺服器連接內外。
"而server主要還是要靠Firewall來保護."
保護伺服器要靠管理者，FireWall只能過濾封包/AP/甚至病毒，無法過濾OS/AP本身缺陷，向前陣子所談論到資料隱碼攻擊手法，就是利用合法手段取的非法資料

最初由 casio2800 發表
"嗯!這麼說server放在DMZ也是不太安全的"
事實上Server放在哪裡都有安全顧慮，如果網路連接設定不適當，系統人員將系統設定錯誤，都還是會遭Internet使用者不當侵入，甚至會因公司內使用者使用不當，引入後門程式或病毒，導致伺服器遭入侵、公司內部資料流出等等後果。
而事實上DMZ設置作用，像之前我所說的有點像防火巷，要隔絕外部入侵，又要將一些必要資料放置在網路上提供利用，但又要將一些重要資料隱藏起來，所以才設置DMZ，來作為緩衝區，利用DMZ伺服器連接內外。
"而server主要還是要靠Firewall來保護."
保護伺服器要靠管理者，FireWall只能過濾封包/AP/甚至病毒，無法過濾OS/AP本身缺陷，向前陣子所談論到資料隱碼攻擊手法，就是利用合法手段取的非法資料

感謝你,學到DMZ的知識了.

我自己提供的只是很粗淺的資料而已
甚至有些言不達意
希望不要因為我的內容造成以後的誤解
DMZ只要去學習有關防火牆的知識就會有相關資料

提供一個簡單圖示

剛剛看了D-Link的說明
DMZ (DeMilitarized Zone) 是指一台不受防火牆保護的主機，它將暴露於網際網路，並可不受限制地做雙向通訊，以便讓某些網際網路遊戲，視訊會議，網路電話，以及其他特殊的應用程式可以執行。

casio君所言有些地方觀念恰恰相反喔
DMZ：非軍事區，亦即不安全區

DMZ基本上還是受保護啦!不過由於要放SERVER服務外界,防火牆限制規則比較沒有內部網路嚴格,真正有DMZ的防火牆應該是要有實體DMZ網段IP,另外有SWITCH的話,最好PORT跟一般內部IP用不同網段,才能真正達到DMZ目的,下面有PCI一款有實體DMZ的防火牆IP分享器說明書,有需要的人下載去看看,寫的算是蠻清楚的.看完大致就知道實體dmz用途了.

http://www.tw-mcse.net/download/BRL-07DMZ中文版手冊.zip

最初由 cheerx 發表
DMZ基本上還是受保護啦!不過由於要放SERVER服務外界,防火牆限制規則比較沒有內部網路嚴格,真正有DMZ的防火牆應該是要有實體DMZ網段IP,另外有SWITCH的話,最好PORT跟一般內部IP用不同網段,才能真正達到DMZ目的,下面有P...
感謝cheerx兄提供檔案.....收下囉~~~~

那是否可以請問一下:像我的IP分享器是聯強LM-CAS2070 的我在上面沒有看到DMZ的設定呢?
分享器從192.168.1.1進入後的進階入下:
1.PPPoE設定
2.系統管理:密碼,系統Web管理,設定Ping,非標準FTP服務阜,時間設定,重置組態
3.動態IP位址(啟動DHCP伺服器,DNS 192.168.1.1,用戶IP位址範圍)靜態IP位址(我是從MAC位址去設定
區網IP 192.168.1.X 192.168.1.XX)
4.指定路由表(網路介面,目的端IP,子網路遮罩,閘道IP)
5.內至外管制條例:區域網路IP,通訓協定,通訊阜,動作
6.外至內管制條例:來源IP,目的IP,通訊協定,通訊阜,動作,設定
7.虛擬伺服器
8.IP對映
9.特殊應用軟體 1
0.DNS代理伺服器
11.駭客預警
12.動態DNS 13.系統軟體更新
我最近安裝了kali這套可以在網路上玩區域型的game(如世紀...)就是自己開設伺服器,讓朋友進來玩
的軟體,但是由於我的ip分享器確檔住了kali的傳送,有文章說要設定DMZ.但是我不知道那是什麼請問
是否有那位大大有裝過這套Kali的軟體而且知道要如何在ip分享器中設定呢?

依Netscreen 的防火牆呢
有下列的port
trust
untrust
DMZ
這樣應該容易了解了

請問一下這一款貴不貴呢

DMZ基本上還是受保護啦!不過由於要放SERVER服務外界,防火牆限制規則比較沒有內部網路嚴格,真正有DMZ的防火牆應該是要有實體DMZ網段IP,另外有SWITCH的話,最好PORT跟一般內部IP用不同網段,才能真正達到DMZ目的,下面有PCI一款有實體DMZ的防火牆IP分享器說明書,有需要的人下載去看看,寫的算是蠻清楚的.看完大致就知道實體dmz用途了.

http://www.tw-mcse.net/download/BRL-07DMZ中文版手冊.zip

挖 古董文被翻出來了.

這一台應該沒得找了,現在小防火牆有實體DMZ的機種很少.現在可以參考看看這一台.

http://www.qno.com.tw/tw/fvr9208.html