DMZ主机的概念和原理

DMZ的全称是隔离区的意思DMZ主机在一个局域网中是一个特殊的设备。当开启了DMZ功能路由器会把所有来自外网的访问请求都转发到DMZ主机上。也就是说从互联网上发来的所有不请自来的连接请求都会直接发送到这台设备。DMZ相当于在防火墙上开了一个大口子让指定的一台电脑完全暴露在互联网中。这样做的好处是从外网可以自由访问这台设备上运行的服务。坏处是这台设备失去了路由器的防火墙保护可能面临安全风险。

什么情况下需要用到DMZ

如果电脑上架设了网站服务器需要让外网用户访问就需要开启DMZ或者在路由器上做端口转发。网络游戏需要外网玩家直接连接到你的电脑时也需要DMZ或者端口转发。远程访问家里的电脑或者NAS有时也需要用到DMZ功能。不过在做端口转发能解决问题的情况下优先使用端口转发而非DMZ。端口转发只会开放指定的端口而DMZ会开放这台电脑的所有端口。除非你需要使用大量不同的端口不容易一个个设置才考虑使用DMZ功能。

DMZ的安全风险和使用建议

开启DMZ功能后指定电脑会完全暴露在互联网中受到各种扫描和攻击。这台电脑必须开启系统防火墙安装杀毒软件及时安装系统安全更新。不要用普通的工作电脑作为DMZ主机因为一旦被攻破工作数据和文件都有泄露的风险。如果需要搭建服务建议专门使用一台电脑作为DMZ主机不在上面处理个人工作。建议在完成需要的服务配置后尽快关闭DMZ功能不要长期开启。大部分家庭用户不需要开启DMZ只有极少数有特殊网络需求的用户才需要考虑使用这个功能。如果只是玩某个游戏需要开放端口查询游戏官方文档找到需要的端口号做端口转发就可以了。