擁有客戶使用之公共網站的企業,必須使其網頁伺服器能夠存取網際網路。為了保護公司區域網路,網路伺服器安裝在與內部資源分開的電腦上。DMZ 可實現受保護業務資源之間的通訊,例如內部資料庫和來自網際網路的合格流量。
DMZ 網路在網際網路和組織私人網路之間提供緩衝。DMZ 由安全閘道隔離,例如防火牆,可篩選 DMZ 和 LAN 之間的流量。預設 DMZ 伺服器受到另一個安全閘道的保護,該閘道可篩選來自外部網路的流量。
它位於兩台防火牆之間,且 DMZ 防火牆設定可確保防火牆 防火牆 或其他安全工具在將傳入的網路封包傳遞到 DMZ 中託管的伺服器之前,能夠對其進行監控。這意味著即使複雜的攻擊者能夠通過第一個防火牆,他們也必須存取 DMZ 中的強化服務,才能對企業造成傷害。
如果攻擊者能夠滲透外部防火牆並入侵 DMZ 中的系統,則他們也必須通過內部防火牆,才能存取敏感的公司資料。高度熟練的惡意行為者或許能夠入侵安全的 DMZ,但其中的資源應能發出警報,發出大量警告,警告正在發生入侵。
需要遵守Health Insurance Portability and Accountability Act (HIPAA) 等法規的組織,有時會在 DMZ 中安裝代理伺服器。這使他們能夠簡化使用者活動的監控和記錄、集中網頁內容過濾,並確保員工使用系統存取網際網路。