非军事区 (DMZ) 在互联网和内部网络之间创建一个中间区域,以便更安全地提供公共服务。
在家用路由器中,DMZ 会将所有传入流量重定向到一个私有 IP 地址,该地址必须得到很好的保护。
最好先使用端口转发,或者 VPN 将非军事区保留为最后的手段或临时措施。
在专业环境中,DMZ 与防火墙、网络分段和 IDS/IPS 相结合,以最大限度地减少攻击的影响。
正确配置网络中的DMZ,对于确保网络连接顺畅无阻至关重要,否则端口、在线游戏以及暴露在互联网上的服务都可能带来诸多问题。本指南将详细介绍DMZ的定义、用途、适用场景,以及如何在家庭路由器和专业环境中逐步配置DMZ,并始终牢记以下几点: 网络安全及潜在风险.
虽然“DMZ”这个词听起来可能有点吓人,但其实概念很简单:DMZ 在互联网和你的内部网络之间创建一个缓冲区,你可以把需要从外部访问的设备或服务器放在这个缓冲区里。接下来,重要的是要了解它的特性。 实际应用案例、其优点、缺点和替代方案 你必须防止你的网络容易受到攻击或入侵。
什么是DMZ?它的实际运作方式是什么?
在数据网络中,DMZ 或 非军事区 它是位于互联网(一个不受信任的网络)和内部网络(局域网)之间的中间网络段,并由一个或多个防火墙隔离。其理念是,面向公众的服务器或设备(例如,Web 服务器、FTP 服务器或 DNS 服务器)位于此区域,这样即使它们遭到入侵,攻击者也无法轻易地将攻击转移到本地网络。 存储敏感数据的内部网络.
在企业环境中,此DMZ网络通常受到以下保护: 两个防火墙或至少几个不同的安全区域一个防火墙过滤互联网和非军事区 (DMZ) 之间的流量,另一个防火墙控制非军事区 (DMZ) 和局域网 (LAN) 之间的流量。因此,即使有人突破了第一个防火墙并控制了非军事区 (DMZ) 中的服务器,他们仍然需要克服另一层保护才能到达企业网络。
在家用路由器甚至许多ISP路由器上,DMZ功能的实现方式要简单得多:它是一个选项,可以将所有未分配给其他端口转发协议的入站流量转发到DMZ区域。 唯一的私有 IP 地址 在本地网络中,该设备实际上就变成了一个“DMZ主机”或“虚拟服务器”,其所有端口都对互联网开放。
这种简化的方法虽然不像企业网络图中那样是专业设计的DMZ,但实际上,当你不太确定该怎么做时,它对于将整个团队暴露在互联网上非常有用。 要使应用程序正常运行,需要打开哪些端口? (例如, TCP 和 UDP 端口),这种情况可能会发生在某些游戏、IP摄像头或软件中。 数据库.
家庭网络和小型办公室中DMZ的常见用途
无论是在家还是在小型企业中,DMZ 功能 路由器 它通常用于非常特定的场景:例如游戏主机、安全测试、VPN,或者当你使用第二个路由器来避免双重NAT时。值得仔细评估每种情况,以确定何时使用它合适,何时选择不那么激进的替代方案更好。
来自PC和主机平台的在线游戏
家庭路由器中DMZ最常见的用途之一是提高…… 游戏主机上的在线游戏连接,例如 的PlayStation o 的Xbox。 当他 NAT类型 如果游戏难度保持在严格或中等水平,通常会遇到加入游戏、创建房间、语音聊天或与其他玩家匹配等问题。
如果你不想为每个游戏手动打开端口,许多用户会选择将游戏主机放在路由器的DMZ区域。这样做, 所有端口都将对控制台的 IP 地址开放。 (除了那些已经通过端口转发规则专门映射到其他设备的端口之外),因此与游戏服务器和其他玩家的连接变得更加直接。
之所以通常认为使用DMZ作为游戏主机的运行环境相对安全,是因为这些设备与DMZ协同工作。 操作系统 已关闭,功能非常有限,并且 攻击面比个人电脑小得多。许多影响计算机的漏洞对 PlayStation 或 Xbox 的影响程度并不相同,因此在大多数家庭环境中,这些风险是可以接受的。
然而,如果你在PC上玩游戏,情况就不同了。一台装有通用操作系统、众多服务、各种软件,有时甚至还有未打补丁的电脑,会成为更诱人的目标。把一台完整的PC放在DMZ里而不采取任何行动…… 防火墙已正确配置且软件已更新 那不是个好主意;更明智的做法是只开放每个游戏所需的端口。
有记录显示,某些游戏在创建比赛时会出现延迟或错误,而启用主机上的DMZ后,这些问题会显著改善。这种情况通常发生在玩家互动频繁的游戏中(例如地图较小、车辆较多的比赛等),并且当主机启用DMZ后,这些问题会得到缓解。 直接且不受限制的端口访问.
在特定设备上进行防火墙和 VPN 连接测试
DMZ 的另一个经典用途是当你想做……的时候 对个人电脑或服务器进行安全测试或防火墙审计 从互联网上获取信息。如果您想检查实际暴露了哪些端口,一个快捷的方法是将所有传入流量重定向到该计算机,方法是将其激活为 DMZ 主机。
正常情况下,路由器刚开箱时,所有入站端口通常都是关闭的,除非在菜单中手动打开。 端口转发 或端口转发但是,在审计过程中,让所有程序运行一段时间,看看计算机的防火墙、防病毒软件或内部服务是否运行正常,可能会很有帮助。
此外,还有一些 VPN 协议,例如 IPsec的这些方法需要开放多个端口,并且在涉及中间路由器和NAT时可能会出现问题。在这种情况下,一种常见的做法是暂时启用指向VPN服务器IP地址的DMZ,以排除端口问题,验证VPN是否正常工作,并在确认无误后关闭DMZ。 仅开放绝对必要的端口。 为了安全。
详细的交通监控和分析
在稍微高级一些的网络中,DMZ 也可以作为理想的操作点。 交通监控与分析这里是许多来自互联网的传入连接集中的地方,因此非常适合放置带有数据包捕获工具的设备。
使用协议分析器或网络嗅探器(例如 Wireshark、tcpdump 和类似工具),可以捕获所有穿过 DMZ 的数据,并分解各种元素,例如: 源 IP 地址和目标 IP 地址、端口、协议类型和基本内容 对每个数据包进行检测。这使得我们可以检测异常模式、扫描尝试、可疑连接,甚至是针对暴露服务的恶意流量。
此外,许多监控解决方案会将流量数据包或摘要存储在 日志这样一来,您就不必实时监控系统。您可以稍后回顾特定时刻发生的事情,调查错误并改进流程。 防火墙规则或安全策略 为了防止此类事件再次发生。
5 款最佳硬盘克隆软件现代交通分析工具越来越多地融入算法和功能 人工智能 能够区分正常使用模式和异常行为。所有这些信息都以如下方式呈现: 直观的图形面板 这样就更容易解读峰值、流量类型和潜在威胁,而无需手动深入分析每个数据包。
由于DMZ通常是自动化攻击或端口扫描的首选目标,因此强烈建议将此分析与以下系统结合使用: 入侵检测与防御(IDS/IPS)完善的防火墙规则和分段策略,尽可能限制潜在入侵的范围。
在商业环境中使用DMZ
在企业界,DMZ不再仅仅是一个路由器选项;它已经成为…… 网络架构设计的关键组成部分每当一家公司需要将公共服务暴露给互联网(公司网站、电子邮件、DNS、VoIP、FTP、代理等)时,它都会将这些服务放置在隔离的边界网络中。
因此,当客户访问公司网站时,流量会到达位于该DMZ中的服务器,而不是直接到达…… 员工计算机和内部数据库所在的局域网将 DMZ 与内部网络隔离的防火墙严格控制允许哪些通信(例如,Web 服务器通过特定端口连接到数据库,而不能通过其他端口)。
这种隔离增加了一层额外的防御,可以抵御网络钓鱼攻击、利用网络漏洞的企图或数据泄露。即使公共服务器遭到入侵,攻击者也会遇到 新的控制和限制 在能够横向移动到内部网络之前。
许多必须遵守严格法规(例如医疗保健或金融行业的数据保护法)的组织会将DMZ与代理服务器、集中式日志系统和网络内容过滤结合使用。这允许 监测并记录所有活动 它进出互联网,确保访问始终通过受监管的组件进行。
使用自有路由器时,请避免双重NAT。
ISP路由器DMZ的另一个非常常见的用途是,当你想……的时候 设置你自己的中立路由器 因为你的网络服务商提供的光纤终端在Wi-Fi覆盖范围、功率或高级功能方面存在不足。问题在于,服务商往往不提供光纤终端的规格说明、桥接模式选项,或者不提供路由器直接管理公网IP地址的简便方法。
在这种情况下,通常的做法是将您的中立路由器像普通设备一样连接到 ISP 的路由器,为其分配一个静态私有 IP 地址,并将 ISP 路由器的 DMZ 配置为指向该 IP 地址。这样,所有到达公网 IP 地址的流量都会被重定向到您的路由器,然后由您的路由器对您的连接进行 NAT 转换。 具有自身规则和功能的内部局域网.
如果没有 DMZ,就会出现双重 NAT:第一个路由器将公网地址转换为私网地址,第二个路由器则再次为您的内部网络执行 NAT。如果您还想为 PC 或服务器打开端口,则必须在 ISP 的路由器上打开端口,然后在您自己的路由器上重复此过程。如果将 DMZ 配置为指向中立路由器,则您只需管理…… 在自己的电脑上进行端口转发这大大简化了管理工作。
如何一步步在家用路由器上打开DMZ
配置DMZ的具体方法因型号而异,但几乎所有型号都遵循相同的逻辑:找到高级设置菜单,激活该选项,然后分配DMZ。 我们想要暴露的设备的私有 IP 地址操作时务必小心谨慎,不要打开不必要的孔洞。
第一步是确定您的路由器型号和登录凭据。通常,设备底部会贴有一张标签,上面印有管理 IP 地址(例如 192.168.0.1 或 192.168.1.1)、用户名和密码(有时是 admin/admin,有时是您的互联网服务提供商提供的特定凭据)。如果您没有这些信息,可以查找…… 默认网关 在您的电脑上,尝试使用常用的默认凭据或使用针对您机型的特定指南。
登录路由器的网页管理界面后,您需要找到与DMZ相关的设置部分。根据路由器制造商的不同,该设置可能位于以下几个部分: 防火墙、虚拟服务器、安全、应用程序和游戏 甚至在高级端口或 NAT 设置中也可以进行设置。
在某些常见的路由器上,例如某些TP-Link型号,操作过程类似如下:首先,确保路由器处于“无线路由器”模式(而非AP模式),然后进入菜单…… 转发 > 非军事区勾选“启用”复选框,并在“主机 DMZ”字段中输入要暴露的设备的内部 IP 地址。之后,只需保存配置即可。
一个关键细节是,您要放入DMZ的设备的IP地址必须是 静态或由 DHCP 保留如果让路由器的 DHCP 服务器动态分配 IP 地址,一旦地址被重新分配,所有流量都可能被转发到其他设备。
为避免此问题,您有两种主要选择:在设备上配置手动静态 IP 地址(地址应位于路由器 DHCP 地址池之外,以避免冲突),或者使用以下选项: 静态 DHCP 或 DHCP 保留 在路由器上,您将地址关联到该路由器。 MAC 从设备到指定范围内的特定 IP 地址,以便始终接收相同的 IP 地址。
确认 IP 地址不会更改后,即可将其输入路由器的 DMZ 设置字段,应用更改,并完成基本配置。此后,所有未重新分配给其他端口转发规则的端口都将被转发到该设备,该设备随后将被分配到 DMZ。 完全暴露于互联网.
利用DMZ开放端口的优缺点
使用DMZ可以在应用程序未正确记录端口信息或遇到难以诊断的连接问题时节省时间,但同时也会增加攻击面。因此,在使用此功能时,值得仔细评估网络的得失。
使用DMZ开放端口的优势
主要优点之一是 配置简单 当您不确定应用程序需要哪些端口时,与其逐个打开和测试,不如将设备的 IP 地址启用 DMZ,并确保路由器上没有为该设备阻止任何端口。
在设计良好的环境中,维护和更新DMZ中的服务器也更容易,因为它们位于…… 该部分与内部网络明显分离如果需要重启服务、应用补丁或进行更改,您可以在不触碰办公设备或影响用户工作连续性的情况下完成这些操作。
另一方面,通过将暴露的服务器放置在隔离区域中,可以减少局域网的直接攻击面。如果攻击者利用其中一台服务器上的漏洞,损害往往会被限制在DMZ区域内,从而降低局域网的直接攻击风险。 降低事件扩散的可能性 向其他内部团队。
利用非军事区开放港口的缺点和风险
另一方面,如果您不熟悉网络分段和防火墙,首次搭建合适的DMZ可能会比较复杂。配置错误或忽略规则都可能导致网络安全受到威胁。 网络比你想象的更容易暴露 或者允许不应该存在的访问权限。
如何在 Debian、Arch、Ubuntu、openSUSE 和 Fedora 上配置动态 IP在企业网络中,建立一个“良好的”DMZ通常需要投入资金。 硬件 其他要求:管理型交换机、一个或多个专用防火墙、可能还需要负载均衡器等。这意味着: 经济和管理成本 并非所有小型组织都能负担得起。
对于家用路由器上简化的DMZ来说,最大的问题在于DMZ所针对的设备实际上会变成互联网上的一个暴露主机。如果该设备存在已知漏洞、运行不必要的服务,或者 它没有定期更新。它迟早会遭受各种形式的攻击。
最谨慎的建议是先在路由器的 NAT 中使用普通的端口转发,只打开必要的端口,而将 DMZ 保持不变。 最后手段或临时工具 针对特定测试或非常具体的兼容性问题。
什么情况下不适合使用DMZ?
虽然路由器菜单可能会建议启用DMZ来“解决问题”,但在某些情况下,最好三思而后行。并非所有设备都设计成可以24小时不间断地暴露在互联网上,并且所有端口都保持开放状态。
存在漏洞或维护不善的设备
如果您打算放置在非军事区 (DMZ) 中的设备操作系统过时、软件不受支持或服务存在问题,则需要注意。 已知的安全漏洞将系统暴露在互联网上无异于自找麻烦。在这种情况下,更明智的做法是更新系统、关闭不必要的服务,并且只开放特定的端口。
即使你不知道任何漏洞,但如果你很少更新设备,仍然存在风险。仅仅因为“目前为止什么事都没发生”并不意味着它是安全的。 可以安全地将其永久暴露在外尤其是当它包含有价值的数据时。
缺乏过滤和交通管制
使用家用路由器的DMZ基本上意味着: 所有传入流量最终都会到达同一台设备。如果没有中间防火墙进行精细过滤,这虽然方便了连接,但也使得各种端口扫描、暴力破解尝试和自动化攻击能够直接到达该设备。
如果没有额外的过滤层,DMZ 中的设备会吸收所有恶意流量,从而增加未知漏洞被利用的可能性。这就是为什么系统具备以下条件如此重要: 自备防火墙和最新补丁 如果他要继续担任那个职位的话。
有限的本地网络分段
如果您的内部网络没有进行分段,并且所有设备共享同一个 IP 段,那么 DMZ 中的受感染设备可以使用内部路由访问网络的其余部分,尤其是在路由器允许的情况下。 横向沟通,限制不多 设备之间。
在处理敏感数据的环境中,理想情况下,DMZ 中的设备不应与存储关键信息的设备直接相连,或者至少应使用非常具体的规则来限制访问权限。如果无法保证这一点,启用 DMZ 最终可能无效。 打开通往整个局域网的间接通道.
配置不准确或缺乏相关经验
DMZ 是少数几个容易出错的功能之一(例如,指向错误的 IP 地址或端口范围过滤不当),这些错误都可能造成严重的安全后果。如果您不熟悉如何修改这些选项,或者不完全了解您正在暴露哪些信息,那么最负责任的做法是…… 在确定之前,请勿激活DMZ。.
如果拿不准,最好多花点时间记录你需要哪些端口并分别打开它们,或者使用 VPN 等解决方案,让你以加密和受控的方式访问网络服务,而不会让全世界都看到它们。
更安全的替代方案:VPN 和有限的端口转发
更可靠的远程访问解决方案是设置一个 将您的外部设备连接到本地网络的 VPN这样,即使身处外部,您也可以像在家里或办公室一样浏览网页,而且通信经过加密和认证,还有一个很大的优势,那就是您不必直接暴露那么多服务。
另一种折衷方案是使用选择性端口转发,仅开放每个应用程序或服务所需的端口,并加强路由器的防火墙。 限制对特定 IP 地址或地址范围的访问如果条件允许,最好这样做。虽然会多花些功夫,但可以大幅减少自动化攻击可利用的攻击面。
DMZ真的会开放所有路由器端口吗?
一个重要的技术细节是,在大多数家用路由器上,您手动创建的端口转发规则 它们对非军事区拥有优先权。换句话说,如果您为特定服务器打开了 80 端口,即使您还配置了 DMZ IP,该端口仍将连接到该设备。
在内部,许多路由器都基于类似这样的系统。 Linux 使用 iptables 管理 NAT 和防火墙的系统。特定的端口转发规则通常位于过滤链中通用 DMZ 规则之前,因此发往这些端口的流量将按照这些规则的指示进行路由,其余流量将路由到其他端口。 配置为DMZ主机的IP地址.
制造商已经大大简化了界面,使激活DMZ变得相对容易,但这并不意味着我们不应该使用此功能。 但需谨慎行事,并充分理解其含义。仅仅打开它,就可能使网络比乍一看更容易受到攻击。
在启用DMZ之前,建议您查阅路由器型号的详细说明文档或互联网服务提供商提供的指南,因为每个环境都有其独特的要求。无论如何,如果您要将DMZ指向PC、服务器或游戏主机,那么至关重要的是…… 设备的防火墙配置正确。 过滤传入的连接,并确保软件始终保持最新状态,以最大限度地减少漏洞。
传统非军事区的建筑替代方案
在专业或高级用户环境中,有多种方法可以实现类似DMZ的效果,有时甚至能提供更高的安全性和更精细的控制,但代价是更高的复杂性和成本。路由器上不一定需要贴有“DMZ”标签才能实现DMZ功能。 裸露的服务区域需额外保护.
一种方法是用某种方式加固服务器本身 配置正确的本地防火墙 它控制着哪些流量可以从服务器流向内部网络。如果您只有一台暴露的服务器(例如,一个网站),并且该服务器上配置了正确的防火墙,则可以严格限制与网络其余部分的通信,从而起到类似小型DMZ的作用。
另一种可能性是实施所谓的 三足防火墙在这种架构中,单个安全设备具有三个网络接口:一个连接到互联网,一个连接到非军事区 (DMZ),一个连接到局域网 (LAN)。每个接口都与一个具有特定策略的区域相关联,从而可以对它们之间的流量进行高度精细的控制。
对于需要极高安全性的组织而言,部署可能是一种选择。 多道物理防火墙一套系统用于隔离私有网络,另一套系统用于保护DMZ。这样一来,攻击者至少需要攻破两台来自不同厂商或配置不同的安全设备才能入侵内部网络,这大大提高了攻击难度。
什么是 IoT Edge 以及如何深入利用 Azure IoT Edge使用单个高级防火墙来处理……也是一种常见的做法。 每个网络段的 IP 区域这种方法允许创建多个具有不同暴露级别和保护级别的“迷你DMZ”或中间区域,而无需大量重复配置硬件。系统会根据连接的起点和终点应用特定的规则。
DMZ 和 IPv6 协议:与 IPv4 的主要区别
在 IPv6 世界中,DMZ 的概念发生了显著变化,因为 NAT 不再像 IPv4 中那样使用。每个设备都会收到一个 唯一的全球 IPv6 地址可直接从互联网路由,安全性很大程度上依赖于防火墙规则和子网分段。
要在 IPv6 中创建 DMZ,您的互联网服务提供商需要分配一个足够大的地址块,例如 /56 或 /48,以便您可以将其划分为多个 /64 子网:一个用于内部 LAN,一个用于 DMZ,以及您希望保留的任何其他子网。每个区域都必须有 它自己的前缀 /64 而不是共享相同的资源。
防火墙并不负责转换地址,而是控制不同区域之间以及与互联网之间的流量。例如,您可以指定来自互联网的流量只能访问DMZ服务器上的特定端口(HTTP、HTTPS等),并且DMZ对LAN的访问权限也受到严格限制,从而降低风险。 其中一台服务器的投入.
与 IPv4 一样,防火墙规则是安全的核心:您需要决定哪些端口和协议允许从外部访问 DMZ,以及该区域中的服务器与内部网络通信需要哪些权限。精心设计这些策略可以让您在不损失任何性能的前提下充分利用 IPv6 的优势。 隔离和控制能力.
Linux 和 iptables 的 DMZ 实际示例
如果您想使用 Linux 机器设置更高级的 DMZ,可以使用一台具备以下条件的机器: 三张网卡 并充当互联网、DMZ 和内部网络之间的防火墙/路由器。当投资高端防火墙不划算或不可行时,这种解决方案很常见。
设想这样一种网络配置:eth0 接口连接到路由器或互联网(例如,192.168.1.2),eth1 连接到 DMZ 网络(192.168.2.1),eth2 连接到内部网络(192.168.3.1)。目标是将来自互联网的流量重定向到 eth0 接口上的特定端口,并将流量转发到 DMZ 中的服务器,允许服务器响应返回,但阻止来自 DMZ 的流量返回。 启动局域网流量 除非是响应来自内部的请求。
使用 iptables,您可以创建一个 脚本 该配置允许从 eth0 到 eth1 的入站流量通过您指定的端口(例如,80 用于 Web 服务,53 用于 DNS 服务),允许出站响应,允许 LAN 发起的 LAN 与 DMZ 之间的流量,并阻止所有未经事先请求而尝试从 DMZ 访问内部网络的其他连接。通过几条明确定义的规则,这台 Linux 机器可以充当以下角色: 集中式防火墙和DMZ创建者.
这种方法表明,并非总是需要昂贵的设备才能实现良好的网络分段:只要掌握 iptables 的相关知识并具备一些耐心,就可以搭建一个非常不错的 DMZ,只要…… 保持系统更新,并完善规则文档。 这样你就不会错过做出改变的时机。
运营商路由器中的DMZ以及某些端口的特殊性
在某些ISP路由器上,例如某些HGU型号,您可能会发现DMZ对大多数端口(SQL、RDP、FTP等)都能正常工作,但 特定端口,例如 443(HTTPS) 它们似乎没有被正确重定向到防火墙或内部服务器。
在这种情况下,路由器本身或 ISP 提供的其他服务通常会在内部使用该端口进行管理、建立强制门户或其他功能,这意味着请求永远无法到达 DMZ。一个典型的解决方案是使用…… 备用外部端口 (例如 4443)并让内部防火墙将其转换为 Web 服务器的 443 端口,避免与内部使用标准端口发生冲突。
如果发现即使 DMZ 配置正确,特定端口仍然无法到达防火墙,最好查看路由器的文档、ISP 的论坛或相关部分。 特殊规则、保留服务或内部重定向 检查该端口是否在进入 DMZ 之前被拦截。
DMZ 特殊应用:IP 摄像头和在线 PC 游戏
当应用程序需要多个端口或使用复杂的协议(例如某些 IP 摄像头、数据库软件或一些 PC 游戏)时,弄清楚如何使用它们可能会令人沮丧。 需要打开哪些具体端口 在路由器上。在这种情况下,许多人会使用DMZ作为捷径。
如果您决定使用此选项,最好将其视为临时解决方案:在测试或使用该游戏/应用程序时启用,并在不再需要时停用。这样,您可以限制其影响范围。 El Temppo 其间 DMZ主机完全暴露 接入互联网,减少了可能被利用的时间窗口。
一个典型的例子是,由于端口限制,一台电脑无法连接在线游戏。您可以为这台电脑配置一个静态 IP 地址,将其设置为路由器上的 DMZ 主机,然后重新测试游戏。如果一切正常,则说明问题确实与端口有关;接下来就可以继续进行下一步操作了。 调整更具体的规则 避免DMZ一直处于开启状态。
对于游戏主机而言,DMZ 的使用更为频繁,因为正如我们之前提到的,它们的操作系统更加封闭,可被攻破的服务数量也更少。即便如此,维护 DMZ 始终是一个良好的实践。 主机固件已更新 并查看路由器制造商是否提供更精细的解决方案(受控 UPnP、游戏配置文件等)。
关于设备 IoT 摄像头、智能插座或智能灯泡等设备不应直接放置在非军事区 (DMZ) 内。许多此类产品都存在安全隐患。 固件维护不善且存在多个漏洞尤其是对于非常便宜的型号,因此明智的做法是使用端口转发仅暴露绝对必要的端口,如果可能的话,将它们放在单独的网络或 VLAN 中。
DMZ 是一个强大且非常有用的工具,前提是你要正确理解它。但要安全地使用它,仅仅“激活”它还不够。规划哪些设备将接收流量,确保它们拥有良好的防火墙并及时更新,并尽可能缩短它们暴露在外的时间,这些都有助于你享受到 DMZ 带来的好处。 在线游戏、远程访问或已发布的服务 无需将你的网络变成筛子。
相关文章:什么是动态域名系统 (DDNS):定义、工作原理、区别及安全性
艾萨克对字节世界和一般技术充满热情的作家。我喜欢通过写作分享我的知识,这就是我在这个博客中要做的,向您展示有关小工具、软件、硬件、技术趋势等的所有最有趣的事情。我的目标是帮助您以简单而有趣的方式畅游数字世界。
!