放心啦，这篇不是啥中二文，DMZ 的中文意思就是非军事区 ( de-militarized zone, DMZ )

要理解非军事区，得知道啥是军事区。

顾名思义就是打仗的地方，泛指 Internet 上的公网区域，这里谁都可以来，任何人发的包都可能路过这里，因此总是出现各种安全问题。

那么非军事区呢，很简单，就是战争的中立地区，通常 DMZ 是半安全的区域，是网络的中立地带 （也有可能打起来）。

我对 DMZ 的理解是： 两个防火墙间的网络叫做 DMZ。

最简单的防火墙是一个简单的包过滤路由器，而路由器实际上是不同网络的连通点，因此，上述说法也可以是：

下面是 DMZ 的示意图

按照之前的说法，Internet 就是所谓的军事区了，可以把它看成是公网。

把主机直接暴露在公网是很危险的，因此需要设置防火墙 A 做隔离，但是如果只有防火墙 A，那么内部网络跟 Web Server 这些公共服务器放在同一个区域了，这样也还是不算很安全（因为，来自外部的人会请求 Web Server 等同于暴露了内部网络）

因此还需要再加一堵防火墙 B，真正隔离内部网络，让外部访问 Web Server 的人也无法访问到内部网络，如果还嫌不够安全，还可以在 B 那里做 NAT，隔离内部地址，这样可以更安全。

或者，你还嫌不安全，可以吧 B 换成堡垒主机，换个更安全、更好的防火墙，或者挂个 VPN 啥的来联通 B 之间的两个网络。

实在不行你吧 B 拿掉，彻底断绝内部网络 2333

我总感觉啊，自己有自己的一块 DMZ 是很中二有趣的，有机会一定要搞搞看看。

那就是在自家的网络上，从电信那里拉来一条线连在最外面的网关上，然后接上路由器分出来几条线。

一条连到个人工作用 PC 上，作为 Web Server，Proxy 这样，或者 MC Server 这些

一条连到 Vally Server 上，专门来写博客 （好浪费！）

一条连到 NAS 上，用作家用网盘

一条接到家里 Linux 机上，做 DNS 服务器，自己给自己配域名，就 asd.com 指向自家的 WebServer 这样

一条连到家里的无线 AP 路由器上，隔离内部网络

可能家里还有游戏机啥的，都可以接入到内部网络上

哎哟，如果条件允许，连灯都可以接入网络 233 更不用说电视啊啥的

仔细想想这网络还蛮爽的，不过我现在既没有那么多路由器，也没有那么多电脑，也别说那种可以联网的灯了，哎，没钱买这些。

不过说回来，做这些总感觉会不会太多余了，可能等到 IPv6 真正覆盖之后，就没这种想法了吧。