在部分企業路由器上，配有DMZ口，那么DMZ口的作用有哪些？適合應用在什么樣的環境呢？

本文將以TL-ER5110為例對企業路由器的DMZ口展開詳細介紹。

目前具有兩種模式：局域網模式和廣域網模式。

一、局域網模式

開啟“DMZ口狀態”，選擇“局域網接口模式”，則可以設置一個不同于LAN網段的私網地址（默認情況下，IP地址為：192.168.2.1，子網掩碼為：255.255.255.0）。其作用是：

1.擴展LAN網段：普通的NAT設備只有一個LAN區域，ER路由器的DMZ口可以作為另一個LAN區域，滿足多網段的接入需求。

2.不同網段互訪：普通NAT設備或者二層交換機下接入不同網段的電腦是不可以互訪的，但ER路由的LAN區域與DMZ區域之間為路由模式，可以直接互訪。各接口間的模式關系如下圖：

3.DMZ區域接入服務器：在DMZ區域中接入服務器，外網主動向DMZ區服務器發起訪問，需要在虛擬服務器中設置端口映射或者DMZ主機。

【典型應用環境】：

拓撲說明：

1． 開啟DMZ口之后，可以在路由器下接入兩個不同網段的區域：LAN區域和DMZ區域。對原來的LAN區域進行了擴展。

2． LAN區域和DMZ區域都可以正常的訪問網絡，并且兩者之間可以互訪。

3．路由器的防火墻、帶寬控制、策略選路（僅針對多WAN口路由器）等各項功能對LAN網段和DMZ網段都生效，可以嚴格控制各個區域的上網規則。

4． 可以針對LAN區域中的主機設置防火墻規則，嚴格控制對DMZ區域的訪問權限。

二、廣域網模式

開啟“DMZ口狀態”，選擇“廣域網接口模式”，則可以設置一個不同于WAN口網段的公網地址。一般情況下，用戶需要申請2個或者以上的公網IP地址，由于DMZ區域與WAN區域為路由模式，因此需要廣域網DMZ中填入的公網IP地址與WAN口IP地址都不在同一網段。外網訪問數據是通過WAN口再到DMZ口。此模式實際中很少使用。

接口間模式關系為：

_____________________________________________________________________

DMZ簡介：

DMZ是 “Demilitarized Zone”的縮寫，中文名稱為“隔離區”，也稱“非軍事化區”。它是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內，在這個小網絡區域內可以放置一些必須公開的服務器設置，如企業Web服務器、FTP服務器等。另一方面，通過這樣一個DMZ區域，更加有效地保護了內部網絡，常見網絡結構如下：

DMZ方案為要保護的內部網絡增加了一道安全防線，同時它提供了一個區域放置公共服務器，從而又能有效地避免一些互聯應用需要公開，而與內部安全策略相矛盾的情況發生。在DMZ區域中通常放置公共服務器等一些公共設施。簡單來說DMZ區是一個不同于LAN的另外一個區域，但位于防火墻之上，不受防火墻限制。