想像一下你開了一間公司:
你有一台對外的網站伺服器,客戶要能從網路上看到你的網站。但你也有一台內部的資料庫伺服器,裡面存著客戶資料、財務報表,這些絕對不能讓外人碰到。
問題來了:
如果網站伺服器跟資料庫伺服器都放在公司防火牆後面,那麼當客戶從網路上連到你的網站時,他們其實是「穿過防火牆」進到你的內部網路了!
這就像你開了一家店,為了讓客人能進來買東西(網站),你把大門打開(防火牆開洞)。結果客人不只能進到店面,還能直接走進你的倉庫、辦公室,甚至保險櫃旁邊!
這樣安全嗎?當然不安全!
有沒有辦法讓客人能買東西,但又進不到你的倉庫和辦公室?
有!答案就是 DMZ(Demilitarized Zone,非軍事區)。
把需要對外的伺服器放在「店面」(DMZ),把重要資料放在「後台」(內部網路),中間用防火牆隔開。這樣客人能買東西,但進不了後台!
繼續看下去,你就會完全理解這個重要的網路安全概念!
什麼是 DMZ?
基本定義
DMZ 是 Demilitarized Zone(非軍事區)的縮寫。
在現實世界中,DMZ 指的是兩個敵對國家之間的「緩衝區」,這個區域禁止部署軍隊,用來降低衝突風險。最有名的例子就是南北韓之間的 DMZ。
在網路世界中,DMZ 的概念類似:
DMZ 是一個介於「完全開放的網際網路」和「受保護的內部網路」之間的緩衝區。
用比喻理解
想像一家銀行:
graph LR
A[大廳<br/>客戶可進入] --> B[厚重的金庫門<br/>需要密碼和鑰匙]
B --> C[金庫<br/>只有授權員工能進]
style A fill:#fdd,stroke:#f00,stroke-width:2px
style B fill:#ddd,stroke:#333,stroke-width:3px
style C fill:#dfd,stroke:#0f0,stroke-width:2px- 大廳(DMZ):客戶可以進來辦業務、存錢、領錢,但這裡不會放大量現金
- 厚重的金庫門(防火牆):隔開大廳和金庫,需要特殊權限才能開啟
- 金庫(內部網路):存放大量現金和重要文件,只有授權員工能進入
在網路架構中:
- DMZ:放對外的伺服器(網站、郵件伺服器)
- 防火牆:隔開 DMZ 和內部網路
- 內部網路:放重要的資料和系統
為什麼需要 DMZ?
場景:沒有 DMZ 的風險
假設你的公司有以下設備:
需要對外開放的:
- 🌐 網站伺服器(客戶要能看到公司網站)
- 📧 郵件伺服器(客戶要能寄信給你)
絕對不能被外人碰的:
- 💾 資料庫伺服器(存放客戶個資、財務資料)
- 💼 內部檔案伺服器(公司內部文件)
- 🖥️ 員工電腦
不安全的架構
graph LR
Internet[☁️ 網際網路<br/>不可信任的世界] --> FW[🛡️ 防火牆]
FW --> Internal[內部網路]
subgraph Internal[內部網路 - 防火牆後面]
WEB[🌐 網站伺服器]
MAIL[📧 郵件伺服器]
DB[💾 資料庫]
FILE[💼 檔案伺服器]
end
style Internet fill:#fcc,stroke:#f00,stroke-width:2px
style Internal fill:#ffd,stroke:#ff0,stroke-width:2px問題在哪?
- 客戶要連到你的網站
- 防火牆必須開洞讓客戶進來
- 客戶就進到你的內部網路了
- 駭客也能利用這個洞
- 駭客假裝是正常客戶
- 穿過防火牆後,就能嘗試攻擊資料庫、檔案伺服器
- 甚至植入病毒到員工電腦
- 防火牆形同虛設
- 為了讓客戶能用網站,防火牆被迫開洞
- 駭客也能利用同樣的洞進來
- 一旦進來,內部所有東西都暴露了
真實案例的風險
情境:網站伺服器被入侵
- 駭客發現網站伺服器有漏洞
- 駭客成功入侵網站伺服器
- 因為網站伺服器在內部網路…
- 駭客可以嘗試攻擊同一個網路裡的其他伺服器
- 資料庫被偷、檔案被刪、員工電腦中毒
- 公司完蛋 💀
這就是為什麼需要 DMZ!
DMZ 的解決方案
安全的架構
graph TB
Internet["☁️ 網際網路"] --> FW1["🛡️ 外部防火牆"]
FW1 --> DMZ
subgraph DMZ[" "]
direction TB
DMZ_Title["🟡 DMZ 區域<br/>半開放區"]
WEB["🌐 網站伺服器"]
MAIL["📧 郵件伺服器"]
DMZ_Title ~~~ WEB
WEB ~~~ MAIL
end
DMZ --> FW2["🛡️ 內部防火牆"]
FW2 --> Internal
subgraph Internal[" "]
direction TB
INT_Title["🟢 內部網路<br/>完全保護區"]
DB["💾 資料庫"]
FILE["💼 檔案伺服器"]
PC["🖥️ 員工電腦"]
INT_Title ~~~ DB
DB ~~~ FILE
FILE ~~~ PC
end
style Internet fill:#ffcccc,stroke:#ff0000,stroke-width:3px,font-size:16px
style DMZ fill:#ffffdd,stroke:#ffcc00,stroke-width:4px
style Internal fill:#ddffdd,stroke:#00cc00,stroke-width:4px
style FW1 fill:#dddddd,stroke:#333,stroke-width:3px,font-size:16px
style FW2 fill:#dddddd,stroke:#333,stroke-width:3px,font-size:16px
style DMZ_Title fill:#ffffdd,stroke:none,font-size:16px
style INT_Title fill:#ddffdd,stroke:none,font-size:16px
style WEB fill:#e6e6fa,stroke:#333,stroke-width:2px,font-size:14px
style MAIL fill:#e6e6fa,stroke:#333,stroke-width:2px,font-size:14px
style DB fill:#e6e6fa,stroke:#333,stroke-width:2px,font-size:14px
style FILE fill:#e6e6fa,stroke:#333,stroke-width:2px,font-size:14px
style PC fill:#e6e6fa,stroke:#333,stroke-width:2px,font-size:14pxDMZ 如何運作
三個區域
1. 網際網路(不可信任區)
- 任何人都能連進來
- 充滿駭客、惡意軟體
- 完全不安全
2. DMZ(半開放區)
- 放需要對外開放的伺服器
- 客戶可以存取這些伺服器
- 但這些伺服器跟內部網路是隔離的
3. 內部網路(完全保護區)
- 放重要的資料和系統
- 外部完全無法直接存取
- 受到雙重防火牆保護
流量路徑
客戶訪問網站:
客戶 → 外部防火牆 → DMZ 的網站伺服器 ✅
客戶 → 無法直接到內部網路 ❌網站需要存取資料庫:
網站伺服器 → 內部防火牆(檢查) → 資料庫 ✅
(只允許特定的資料庫查詢)駭客入侵網站伺服器:
駭客 → 成功入侵 DMZ 的網站伺服器 💀
駭客 → 嘗試攻擊內部網路 → 被內部防火牆擋下 ✅為什麼 DMZ 更安全?
限制損害範圍
沒有 DMZ:
駭客入侵網站 → 直接進入內部網路 → 全公司完蛋有 DMZ:
駭客入侵網站 → 只在 DMZ 裡 → 內部網路安全
→ 最多就是網站掛掉
→ 重要資料還在雙重防護
sequenceDiagram
participant Hacker as 🦹 駭客
participant FW1 as 🛡️ 外部防火牆
participant DMZ as 🟡 DMZ
participant FW2 as 🛡️ 內部防火牆
participant Internal as 🟢 內部網路
Hacker->>FW1: 試圖攻擊
FW1->>DMZ: 通過(因為允許存取網站)
Note over DMZ: 駭客入侵成功<br/>控制了網站伺服器
DMZ->>FW2: 試圖攻擊內部網路
FW2--xInternal: ❌ 被擋下
Note over FW2: 內部防火牆只允許<br/>特定的資料庫查詢<br/>其他全部擋下駭客要進入內部網路:
- 必須先突破外部防火牆(第一關)
- 然後入侵 DMZ 的伺服器(第二關)
- 再突破內部防火牆(第三關)
三關都過才能進入內部網路!
分層防禦
想像成城堡的防禦:
城牆外(網際網路)
↓
第一道城牆(外部防火牆)
↓
外圍庭院(DMZ)← 商人可以在這交易
↓
第二道城牆(內部防火牆)
↓
城堡內部(內部網路)← 國王的寶庫DMZ 的類型
單防火牆 DMZ(基本型)
graph LR
Internet[☁️ 網際網路] --> Router[路由器]
Router --> DMZ_Zone[🟡 DMZ 區域]
Router --> FW[🛡️ 防火牆]
subgraph DMZ_Zone[🟡 DMZ 區域 - 防火牆外]
WEB[🌐 網站伺服器]
MAIL[📧 郵件伺服器]
end
FW --> Switch[交換器]
Switch --> Internal_Zone[🟢 內部網路]
subgraph Internal_Zone[🟢 內部網路 - 防火牆內]
PC1[💻 員工電腦]
PC2[💻 員工電腦]
DB[💾 資料庫伺服器]
end
style DMZ_Zone fill:#ffd,stroke:#ff0,stroke-width:2px
style Internal_Zone fill:#dfd,stroke:#0f0,stroke-width:2px
style FW fill:#f99,stroke:#333,stroke-width:3px特性:
- 網際網路 → 路由器
- 路由器分出兩條路:
- 一條直接到 DMZ(對外伺服器,在防火牆外面)
- 一條經過防火牆到內部網路(重要資料,在防火牆裡面)
- DMZ 的伺服器暴露在外,但內部網路受防火牆保護
優點:
- 💰 成本較低(只需要一台防火牆)
- 🔧 設定相對簡單
缺點:
- 🛡️ 安全性較低(只有一層防火牆)
- ⚠️ 防火牆設定錯誤,可能讓駭客直接進入內部網路
適合:
- 小型企業
- 預算有限
- 安全需求不是最高
雙防火牆 DMZ(加強型)
graph TB
Internet[☁️ 網際網路] --> FW1[🛡️ 外部防火牆]
FW1 --> DMZ
subgraph DMZ[🟡 DMZ 區域]
WEB[🌐 網站伺服器]
MAIL[📧 郵件伺服器]
end
DMZ --> FW2[🛡️ 內部防火牆]
FW2 --> Internal
subgraph Internal[🟢 內部網路]
DB[💾 資料庫]
FILE[💼 檔案伺服器]
PC[🖥️ 員工電腦]
end
style DMZ fill:#ffd,stroke:#ff0,stroke-width:2px
style Internal fill:#dfd,stroke:#0f0,stroke-width:2px
style FW1 fill:#f99,stroke:#333,stroke-width:3px
style FW2 fill:#99f,stroke:#333,stroke-width:3px特性:
- 使用兩台獨立的防火牆
- DMZ 夾在兩台防火牆之間
- 每台防火牆可以設定不同的規則
外部防火牆的規則:
✅ 允許:網際網路 → DMZ(HTTP、HTTPS、SMTP)
❌ 拒絕:網際網路 → 內部網路(全部)內部防火牆的規則:
✅ 允許:DMZ → 內部網路(只允許特定的資料庫查詢)
✅ 允許:內部網路 → DMZ(管理伺服器)
✅ 允許:內部網路 → 網際網路(員工上網)優點:
- 🛡️🛡️ 雙重防護,安全性最高
- 🎯 即使駭客攻破外部防火牆和 DMZ,還有內部防火牆擋著
- 🔒 兩台防火牆可以用不同廠牌(駭客更難攻破)
缺點:
- 💰💰 成本較高(需要兩台防火牆)
- 🔧🔧 設定較複雜
- 🛠️ 維護成本高
適合:
- 大型企業
- 金融、醫療等高安全需求產業
- 處理敏感資料的組織
DMZ 裡該放什麼?
應該放在 DMZ 的伺服器
網站伺服器(Web Server)🌐
為什麼:
- 客戶需要從網路上訪問
- 是最常被攻擊的目標
- 放在 DMZ 可以隔離風險
例子:
- 公司官網
- 電商網站
- 客戶服務網站
郵件伺服器(Mail Server)📧
為什麼:
- 需要接收外部寄來的郵件
- 容易成為垃圾郵件或釣魚攻擊的目標
例子:
- 公司郵件伺服器
- 負責收發對外郵件
FTP 伺服器 📁
為什麼:
- 客戶或合作夥伴需要上傳/下載檔案
- 開放 FTP 存取有風險
DNS 伺服器 🗺️
為什麼:
- 對外的 DNS 查詢服務
- 需要讓網際網路能查詢
VPN 伺服器 🔐
為什麼:
- 遠端員工需要連入公司
- 是外部連入的入口點
不應該放在 DMZ 的伺服器
❌ 資料庫伺服器
為什麼不行:
- 存放最重要的資料
- 絕對不能讓外部直接存取
- 應該放在內部網路,由內部防火牆保護
正確做法:
客戶 → 網站伺服器(DMZ)→ 內部防火牆 → 資料庫(內部)❌ 檔案伺服器
為什麼不行:
- 存放公司內部文件
- 只有員工需要存取
- 不需要對外開放
❌ 員工電腦
為什麼不行:
- 存放員工的工作檔案
- 內部使用
- 應該在內部網路
實際案例分析
案例 1:電商網站
公司需求:
- 客戶要能瀏覽商品(網站)
- 客戶要能下單(購物車)
- 客戶要能查詢訂單(客服系統)
- 但客戶資料、訂單資料要保密
DMZ 架構:
graph TB
Internet[☁️ 網際網路<br/>客戶] --> FW1[🛡️ 外部防火牆]
FW1 --> DMZ
subgraph DMZ[🟡 DMZ]
WEB[🌐 商品展示網站]
CART[🛒 購物車系統]
SERVICE[📞 客服系統]
end
DMZ --> FW2[🛡️ 內部防火牆]
FW2 --> Internal
subgraph Internal[🟢 內部網路]
DB[💾 訂單資料庫]
CUSTOMER[👥 客戶資料庫]
PAYMENT[💳 金流系統]
end
style DMZ fill:#ffd,stroke:#ff0,stroke-width:2px
style Internal fill:#dfd,stroke:#0f0,stroke-width:2px流程:
- 客戶瀏覽商品 → 連到 DMZ 的網站(✅ 安全)
- 客戶加入購物車 → 購物車系統在 DMZ(✅ 安全)
- 客戶結帳 → DMZ 的購物車透過內部防火牆查詢訂單資料庫(✅ 有管控)
- 駭客攻擊網站 → 最多只能影響 DMZ,資料庫還安全(✅ 損害有限)
案例 2:銀行
需求:
- 客戶要能網路銀行(查帳、轉帳)
- 客戶資料絕對不能外洩
- 交易資料必須最高安全性
DMZ 架構:
graph TB
Internet["☁️ 網際網路"] --> FW1["🛡️ 外部防火牆<br/>+ IDS/IPS"]
FW1 --> DMZ
subgraph DMZ[" "]
direction TB
DMZ_Title["🟡 DMZ<br/>+ WAF"]
WEB["🌐 網路銀行介面"]
API["🔌 API 閘道"]
DMZ_Title ~~~ WEB
WEB ~~~ API
end
DMZ --> FW2["🛡️ 內部防火牆<br/>+ 嚴格規則"]
FW2 --> APP
subgraph APP[" "]
direction TB
APP_Title["🟠 應用層"]
TRANS["💸 交易處理系統"]
AUTH["🔐 認證系統"]
APP_Title ~~~ TRANS
TRANS ~~~ AUTH
end
APP --> FW3["🛡️ 資料庫防火牆"]
FW3 --> DB
subgraph DB[" "]
direction TB
DB_Title["🟢 資料庫層"]
ACCOUNT["💾 帳戶資料庫"]
TRANS_DB["💾 交易資料庫"]
DB_Title ~~~ ACCOUNT
ACCOUNT ~~~ TRANS_DB
end
style Internet fill:#ffcccc,stroke:#ff0000,stroke-width:3px,font-size:16px
style DMZ fill:#ffffdd,stroke:#ffcc00,stroke-width:4px
style APP fill:#ffddbb,stroke:#ff8800,stroke-width:4px
style DB fill:#ddffdd,stroke:#00ff00,stroke-width:4px
style FW1 fill:#dddddd,stroke:#333,stroke-width:3px,font-size:14px
style FW2 fill:#dddddd,stroke:#333,stroke-width:3px,font-size:14px
style FW3 fill:#dddddd,stroke:#333,stroke-width:3px,font-size:14px
style DMZ_Title fill:#ffffdd,stroke:none,font-size:16px
style APP_Title fill:#ffddbb,stroke:none,font-size:16px
style DB_Title fill:#ddffdd,stroke:none,font-size:16px
style WEB fill:#e6e6fa,stroke:#333,stroke-width:2px,font-size:14px
style API fill:#e6e6fa,stroke:#333,stroke-width:2px,font-size:14px
style TRANS fill:#e6e6fa,stroke:#333,stroke-width:2px,font-size:14px
style AUTH fill:#e6e6fa,stroke:#333,stroke-width:2px,font-size:14px
style ACCOUNT fill:#e6e6fa,stroke:#333,stroke-width:2px,font-size:14px
style TRANS_DB fill:#e6e6fa,stroke:#333,stroke-width:2px,font-size:14px多層防護:
- 第一層:外部防火牆 + 入侵偵測系統
- 第二層:DMZ + 網站應用防火牆(WAF)
- 第三層:內部防火牆
- 第四層:應用層(交易處理)
- 第五層:資料庫防火牆
- 第六層:加密的資料庫
為什麼這麼多層?
- 銀行處理金錢和個資,必須最高安全標準
- 駭客要突破 6 層防護才能竊取資料
- 即使某一層被攻破,其他層還在
家用路由器的 DMZ
什麼是家用路由器的 DMZ?
如果你進過家裡路由器的設定頁面,可能看過「DMZ」選項。
但是!這個 DMZ 跟企業的 DMZ 不一樣!
graph LR
Internet[網際網路] --> Router[家用路由器<br/>內建防火牆]
Router --> PC1[💻 電腦]
Router --> PC2[💻 筆電]
Router --> DMZ[🎮 遊戲主機<br/>設為 DMZ Host]
style DMZ fill:#fdd,stroke:#f00,stroke-width:3px
style Router fill:#ddd,stroke:#333,stroke-width:2px家用 DMZ 的真相
企業 DMZ:
- 是一個獨立的網路區域
- 有實體的隔離
- 受到防火牆保護
家用「DMZ」:
- 不是真正的 DMZ
- 只是「DMZ Host」(DMZ 主機)
- 把路由器的所有 Port 都轉發給某一台裝置
簡單來說:
家用 DMZ = 把某台裝置完全暴露在網際網路上家用 DMZ 如何運作
正常情況(沒有設 DMZ)
網際網路 → 路由器
↓
防火牆檢查
↓
只開放特定 Port(例如 Port 80)
↓
轉發到內部裝置其他沒開放的 Port 全部被擋下
設定 DMZ Host 後
網際網路 → 路由器
↓
"這台是 DMZ Host"
↓
所有 Port 全部轉發給它!
↓
DMZ Host(例如遊戲主機)所有 Port 都開放!
什麼時候會用家用 DMZ?
最常見:遊戲主機 🎮
情境:
小明買了 PlayStation 5,想玩線上遊戲。但是:
問題:遊戲需要開放很多 Port
- Port 3074(Xbox Live)
- Port 3478-3479(PS Network)
- Port 3658(其他遊戲)
- Port 10000-10100(語音聊天)
- ...還有一大堆
手動設定 Port Forwarding?
→ 太麻煩了!
→ 搞不清楚要開哪些 Port
→ 設定錯誤遊戲就連不上解決:設定 DMZ Host
1. 進入路由器設定頁面
2. 找到「DMZ」選項
3. 輸入 PS5 的 IP 位址(例如 192.168.1.100)
4. 啟用 DMZ
5. 完成!所有 Port 都開放給 PS5 了結果:
- ✅ 所有遊戲都能正常連線
- ✅ 語音聊天沒問題
- ✅ 不用手動設定一大堆 Port
常見問題 Q&A
Q1: DMZ 是不是就沒有防火牆保護?
A: 不是!
- DMZ 還是有外部防火牆保護
- 只是跟內部網路隔離了
- 不同於完全沒有防護
企業 DMZ:
網際網路 → 🛡️ 外部防火牆 → DMZ(還是有防護)
DMZ → 🛡️ 內部防火牆 → 內部網路(雙重防護)家用 DMZ:
網際網路 → 路由器 → DMZ Host(沒有防火牆)
這才是真的沒保護!Q2: 所有公司都需要 DMZ 嗎?
A: 不一定,看情況:
需要 DMZ:
- 有對外開放的網站
- 有郵件伺服器
- 需要讓外部存取某些服務
- 處理敏感資料
不需要 DMZ:
- 沒有對外服務
- 只有員工內部使用
- 小型工作室(5 人以下)
- 預算有限的小公司
Q3: DMZ 可以防止所有攻擊嗎?
A: 不能!DMZ 只是降低風險,不是 100% 安全。
DMZ 能做到:
- ✅ 隔離對外服務和內部網路
- ✅ 限制攻擊的影響範圍
- ✅ 提供多層防護
DMZ 做不到:
- ❌ 防止所有攻擊
- ❌ 取代其他安全措施
- ❌ 保證絕對安全
還需要:
- 防毒軟體
- 入侵偵測系統
- 定期更新
- 員工安全意識訓練
Q4: 家用路由器的 DMZ 安全嗎?
A: 不安全!盡量避免使用。
風險:
- DMZ Host 完全暴露
- 駭客可以掃描所有 Port
- 裝置有漏洞就容易被入侵
建議:
- 能用 Port Forwarding 就別用 DMZ
- 只有遊戲主機等裝置才考慮
- 不要把電腦設為 DMZ Host
Q5: DMZ 跟 VLAN 有什麼不同?
A: 完全不同的東西!
DMZ:
- 用來隔離對外服務和內部網路
- 用防火牆分隔
- 主要目的是安全
VLAN:
- 用來分割內部網路
- 用交換器分隔
- 主要目的是流量管理
可以一起用:
DMZ 裡面可以再用 VLAN 分割
例如:
- VLAN 10 = 網站伺服器
- VLAN 20 = 郵件伺服器Q6: 雲端服務還需要 DMZ 嗎?
A: 概念類似,但實作不同。
傳統 DMZ:
- 實體的防火牆和伺服器
- 在自己的機房
雲端架構:
- 用「安全群組」或「網路 ACL」
- 概念一樣:對外服務和內部資源分開
- 實作方式:用軟體定義的網路
例如 AWS:
公開子網路(相當於 DMZ)
↓
EC2 網頁伺服器
↓
私有子網路(相當於內部網路)
↓
RDS 資料庫總結
一句話記住 DMZ
DMZ 就是在「危險的網際網路」和「重要的內部網路」之間的緩衝區,用來隔離對外服務,保護內部資料。
DMZ 的核心概念
graph LR
A[🌍 網際網路<br/>危險區域] --> B[🟡 DMZ<br/>緩衝區<br/>對外服務]
B --> C[🟢 內部網路<br/>安全區域<br/>重要資料]
style A fill:#fcc,stroke:#f00,stroke-width:2px
style B fill:#ffd,stroke:#ff0,stroke-width:3px
style C fill:#dfd,stroke:#0f0,stroke-width:2px關鍵要點
| 概念 | 說明 |
|---|---|
| 目的 | 隔離對外服務和內部網路 |
| 方法 | 用防火牆建立獨立區域 |
| 放什麼 | 網站、郵件等需要對外的伺服器 |
| 不放什麼 | 資料庫、檔案伺服器等重要系統 |
| 安全性 | 限制損害範圍,提供多層防護 |
| 類型 | 單防火牆(基本)或雙防火牆(加強) |
說明隔離對外服務和內部網路
說明用防火牆建立獨立區域
說明網站、郵件等需要對外的伺服器
說明資料庫、檔案伺服器等重要系統
說明限制損害範圍,提供多層防護
說明單防火牆(基本)或雙防火牆(加強)
實務建議
企業:
- 有對外服務就該考慮 DMZ
- 處理敏感資料建議用雙防火牆
- 定期更新和監控
- 進行滲透測試
家用:
- 盡量不要用 DMZ
- 真的要用只給遊戲主機
- 不要把電腦設為 DMZ Host
- 能用 Port Forwarding 就別用 DMZ
記住三個比喻
- 銀行大廳:DMZ 像是銀行大廳,客戶可以進來,但進不了保險庫
- 城堡外圍:DMZ 像是城堡外圍的市集,商人可以交易,但進不了國王的寶庫
- 店面與倉庫:DMZ 像是店面,客人可以買東西,但進不了後面的倉庫和辦公室
專有名詞快速查詢
- DMZ (Demilitarized Zone):非軍事區,介於外部和內部網路之間的緩衝區
- Perimeter Network:周邊網路,DMZ 的另一個名稱
- Screened Network:篩選網路,有防護機制的網路區域
- 外部防火牆:面向網際網路的防火牆,保護 DMZ
- 內部防火牆:面向內部網路的防火牆,保護重要資料
- DMZ Host:家用路由器的設定,把某台裝置的所有 Port 都開放
- Port Forwarding:埠轉發,只開放特定 Port 給特定裝置
- IDS/IPS:入侵偵測/防禦系統,監控和阻擋攻擊
- WAF (Web Application Firewall):網站應用程式防火牆,專門保護網站
寫在最後
DMZ 的概念就像是在危險的世界和你的家之間,設立一個「會客室」:
- 訪客可以進會客室聊天(對外服務)
- 但訪客進不了你的臥室和保險箱(內部資料)
- 即使會客室被破壞,你的重要東西還是安全的
下次聽到「DMZ」這個詞,就想到「緩衝區」三個字,馬上就懂了!🛡️✨
如果你是網路管理員,該認真考慮設置 DMZ 了。如果你只是想玩遊戲,那就…三思而後行,能不開 DMZ 就不開!😅