DMZ是英文“demilitarized zone”的縮寫(xiě)，中文名稱為“隔離區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開(kāi)的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過(guò)這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對(duì)攻擊者來(lái)說(shuō)又多了一道關(guān)卡。
 

　　網(wǎng)絡(luò)設(shè)備開(kāi)發(fā)商，利用這一技術(shù)，開(kāi)發(fā)出了相應(yīng)的防火墻解決方案。稱“非軍事區(qū)結(jié)構(gòu)模式”。DMZ通常是一個(gè)過(guò)濾的子網(wǎng)，DMZ在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造了一個(gè)安全地帶。 DMZ防火墻方案為要保護(hù)的內(nèi)部網(wǎng)絡(luò)增加了一道安全防線，通常認(rèn)為是非常安全的。同時(shí)它提供了一個(gè)區(qū)域放置公共服務(wù)器，從而又能有效地避免一些互聯(lián)應(yīng)用需要公開(kāi)，而與內(nèi)部安全策略相矛盾的情況發(fā)生。在DMZ區(qū)域中通常包括堡壘主機(jī)、Modem池，以及所有的公共服務(wù)器，但要注意的是電子商務(wù)服務(wù)器只能用作用戶連接，真正的電子商務(wù)后臺(tái)數(shù)據(jù)需要放在內(nèi)部網(wǎng)絡(luò)中。
 

　　2、NAT介紹
 

　　NAT——網(wǎng)絡(luò)地址轉(zhuǎn)換，是通過(guò)將專用網(wǎng)絡(luò)地址(如企業(yè)內(nèi)部網(wǎng)Intranet)轉(zhuǎn)換為公用地址(如互聯(lián)網(wǎng)Internet)，從而對(duì)外隱藏了內(nèi)部管理的 IP 地址。這樣，通過(guò)在內(nèi)部使用非注冊(cè)的 IP 地址，并將它們轉(zhuǎn)換為一小部分外部注冊(cè)的 IP 地址，從而減少了IP 地址注冊(cè)的費(fèi)用以及節(jié)省了目前越來(lái)越缺乏的地址空間(即IPV4)。同時(shí)，這也隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而降低了內(nèi)部網(wǎng)絡(luò)受到攻擊的風(fēng)險(xiǎn)。
 

　　NAT功能通常被集成到路由器、防火墻、單獨(dú)的NAT設(shè)備中，當(dāng)然，現(xiàn)在比較流行的操作系統(tǒng)或其他軟件(主要是代理軟件，如WINROUTE)，大多也有著NAT的功能。NAT設(shè)備(或軟件)維護(hù)一個(gè)狀態(tài)表，用來(lái)把內(nèi)部網(wǎng)絡(luò)的私有IP地址映射到外部網(wǎng)絡(luò)的合法IP地址上去。每個(gè)包在NAT設(shè)備(或軟件)中都被翻譯成正確的IP地址發(fā)往下一級(jí)。與普通路由器不同的是，NAT設(shè)備實(shí)際上對(duì)包頭進(jìn)行修改，將內(nèi)部網(wǎng)絡(luò)的源地址變?yōu)镹AT設(shè)備自己的外部網(wǎng)絡(luò)地址，而普通路由器僅在將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地前讀取源地址和目的地址。 NAT分為三種類型：靜態(tài)NAT(staticNAT)、NAT池(pooledNAT)和端口NAT。