DMZ是硬體還是軟體？

DMZ是硬體還是軟體？
到iT邦幫忙

xsuper0027（iT邦初學者10級）發問：
許多網路拓墣都在防火牆拉一條線到旁邊，標示為DMZ區，所以DMZ是防火牆的功能之一嗎？它是硬體還是軟體防火牆才有？又或者還得買一個DMZ的設備或是軟體？

wiseguy（iT邦初學者4級）：
DMZ是一個架構名詞，它描述無法直通的內網與外網之間，有若干臺網路設備，也許是Web Server、也許是Mail Server，可以同時讓內網與外網存取到。

這是避免內網的電腦連到外網去，也避免外網連到內網去的一種網路架構。最簡單的方式就是讓這些位在DMZ區的電腦，同時擁有內外網的IP位址就行了。當然還有其他的設置法，但主要的用意都是一樣：在內外網不通的情況下，都能存取到一樣的網路服務。

所以，DMZ 只是個概念，並不是真的有個實體區域或設備叫DMZ。

utopia（iT邦初學者9級）：
簡單說，DMZ是指一種網路環境的統稱，如同LAN或WAN兩字所要表達的概念是同一類的。

凡是符合以下規範的，都算是DMZ。

1. LAN和WAN到此區均可通（外至內通訊全開）

2. 此區到LAN和WAN均不通（內至外通訊全關）

要達成以上的方法很多，只是一般防火牆多會將以上規則，設定在一個實體Port上，所以接到這Port的所有電腦，其網路環境就會同時受到規範，也就是都處在DMZ中了。

tibandyli（iT邦初學者7級）：
DMZ什麼體都不是，只是一個網路區域的概念。一個做為對外服務的區域。

通常在網路規畫時，會把需要對外服務的設備放置於此區，希望受到防火牆部分保護，但是又必須提供必要服務。

另外還會有的就是管制區是不允許外網與內存取，除了特定主機（例如資料庫主機）。

jerryxxx（iT邦初學者9級）：
DMZ非軍事區，簡單地說，它只是設定內網指派的主機要對外全部開放的一個開關而已。簡單講就是已經指派出去的那臺對外主機，不受你架設的硬體防火牆（或IP分享器）所控制，只有剩下指派出去的主機裡面的防火牆，去控制軟體的進出。

tombo（iT邦初學者1級）：
DMZ只是規畫防火牆的架構名稱，設計理念是，允許外部可以主動連線到DMZ，內部也可以主動連線到DMZ，但DMZ不可以主動連線到內部。如果伺服器放在內部，若是伺服器有個萬一，內部網路馬上就會破功，但是伺服器放在DMZ區，因為DMZ不能主動連線進內部，相對安全性會高一些。