ADSL路由器的DMZ之我见

alanlql

防火墙一般有三个独立的接口，一个是external，一个是internal，另一个是DMZ。
internal用于接内网的PC，external用于连接外部因特网，DMZ用于接公司的信息发布服务器，如WEB server、FTP server等等。
从安全角度考虑，在配置防火墙时，一般允许外网的PC访问位于DMZ网段的服务器，但禁止外网的主机穿透访火墙访问处于网内网的任何主机；相反，内网的PC一般既可以访问外网的主机，也可以访问处于DMZ的公司发布服务，这样做既保护了内部主机，又方便了信息发布。
一般情况下，ADSL路由器在路由方式下，我们可以理解为包含了一个简单防火墙的功能，只是external端口直接与ATM电路相连而变成了一个RJ11的接口，而DMZ端口一般从物理上省略了，只有internal接口还是保留了以太口的RJ45介面。从参数配置的角度看，NAT、IP Filter等等，都体现了一个完整的访火墙的概念，只不过专业防火墙的安全性更高一点，一般只能通过console口配置，要实现远程，一般要通过console口配好管理工作站的IP和MAC地址，且这个管理工作站只能位于内网。