DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡(luò)，因為這種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說又多了一道關(guān)卡。
 

　　網(wǎng)絡(luò)設(shè)備開發(fā)商，利用這一技術(shù)，開發(fā)出了相應(yīng)的防火墻解決方案。稱“非軍事區(qū)結(jié)構(gòu)模式”。DMZ通常是一個過濾的子網(wǎng)，DMZ在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造了一個安全地帶。 DMZ防火墻方案為要保護的內(nèi)部網(wǎng)絡(luò)增加了一道安全防線，通常認為是非常安全的。同時它提供了一個區(qū)域放置公共服務(wù)器，從而又能有效地避免一些互聯(lián)應(yīng)用需要公開，而與內(nèi)部安全策略相矛盾的情況發(fā)生。在DMZ區(qū)域中通常包括堡壘主機、Modem池，以及所有的公共服務(wù)器，但要注意的是電子商務(wù)服務(wù)器只能用作用戶連接，真正的電子商務(wù)后臺數(shù)據(jù)需要放在內(nèi)部網(wǎng)絡(luò)中。
 

　　2、NAT介紹
 

　　NAT——網(wǎng)絡(luò)地址轉(zhuǎn)換，是通過將專用網(wǎng)絡(luò)地址(如企業(yè)內(nèi)部網(wǎng)Intranet)轉(zhuǎn)換為公用地址(如互聯(lián)網(wǎng)Internet)，從而對外隱藏了內(nèi)部管理的 IP 地址。這樣，通過在內(nèi)部使用非注冊的 IP 地址，并將它們轉(zhuǎn)換為一小部分外部注冊的 IP 地址，從而減少了IP 地址注冊的費用以及節(jié)省了目前越來越缺乏的地址空間(即IPV4)。同時，這也隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而降低了內(nèi)部網(wǎng)絡(luò)受到攻擊的風(fēng)險。
 

　　NAT功能通常被集成到路由器、防火墻、單獨的NAT設(shè)備中，當然，現(xiàn)在比較流行的操作系統(tǒng)或其他軟件(主要是代理軟件，如WINROUTE)，大多也有著NAT的功能。NAT設(shè)備(或軟件)維護一個狀態(tài)表，用來把內(nèi)部網(wǎng)絡(luò)的私有IP地址映射到外部網(wǎng)絡(luò)的合法IP地址上去。每個包在NAT設(shè)備(或軟件)中都被翻譯成正確的IP地址發(fā)往下一級。與普通路由器不同的是，NAT設(shè)備實際上對包頭進行修改，將內(nèi)部網(wǎng)絡(luò)的源地址變?yōu)镹AT設(shè)備自己的外部網(wǎng)絡(luò)地址，而普通路由器僅在將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地前讀取源地址和目的地址。 NAT分為三種類型：靜態(tài)NAT(staticNAT)、NAT池(pooledNAT)和端口NAT。