什么叫DMZ区?DMZ区有什么作用?应该怎样构建DMZ?

它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。

生动解释：您的公司有一堆电脑，但可以归为两大类：客户机、服务器。所谓客户机就是主动发起连接请求的机器，所谓服务器就是被动响应提供某些服务的机器。服务器又可以分仅供企业内网使用和为外网提供服务两种。

OK，您只要按以下规则配置防火墙，就构造了一个DMZ区（您也可以叫love区，随您）：

1.内网可以访问外网

内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。

2.内网可以访问DMZ

此策略是为了方便内网用户使用和管理DMZ中的服务器。

3.外网不能访问内网

很显然，内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问。

4.外网可以访问DMZ

DMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

5.DMZ不能访问内网

很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。

6.DMZ不能访问外网

DMZ区是防火墙或路由器上直接通外网的端口，防火墙对内网LAN口的限制不会应用于DMZ区，也称为非军事化区，用来连接服务器。

而局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强，相应内部网络的安全性也就大大加强，但投资成本也是最高的。

结构：

在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。

内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。

你目前做的应该是一个双向NAT，也就是说，内网、DMZ出去时作了NAT，外网访问DMZ时也作了NAT，所以才出现这种状况。就决办法：

1、制作单向NAT，内网、DMZ到Internet出口作NAT，对DMZ内需要提供Internet服务的主机作静态NAT映射；

2、内网访问DMZ时不做NAT，外网进入内网和DMZ时不需要做NAT，这样，DMZ内服务器收到的公网的访问时，源地址就是公网的地址，不再是防火墙上的地址，而且内部的地址还是内部的地址，这就可以把地址分开；

也就是说，由防火墙到DMZ主机的端口不能使用NAT功能，由内部、DMZ到外部时才使用NAT，这个问题就可以解决了。我不知道你使用的是哪个厂家的防火墙，一般都可以做到这么定义。

---