什么是DMZ区域：

DMZ区域又称为“隔离区”或者“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些公司对外开放的服务器，例如Web服务器，Ftp服务器，邮件服务器等。其实从ISA的角度来看，DMZ就是一个网络。为什么不把这些服务器直接放到内网呢?为什么需要DMZ这个单独的网络呢?被发布的服务器放在内网是可以的，但把发布服务器放在内网并非最佳选择，因为内网中还有其他的计算机，这些计算机和发布服务器的安全设置并不相同。例如内网中的域控制器并不适合开放给外网用户，财务室人员使用的工作站更是要严加防护。但如果这些计算机和发布服务器都放在内网，对我们进行访问控制是不利的。一旦发布服务器出现安全问题，有可能会危及内网其他计算机的安全。因此比较安全的解决方法是把发布的服务器放在一个单独的隔离网络中，管理员针对隔离网络进行有别于内网的安全配置，这样一来的话显然对安全更加有利。

下面我们就结合一个实例来看一下如何发布DMZ区域中的服务器，各种服务器的发布步骤是大同小异，我们在此就以最常见的WEB服务器为例：

实例：发布DMZ区域中的WEB服务器

说明：

ISA 有三张网卡：

外网：192.168.2.157 内网:192.168.1.1 DMZ:192.168.2.1

WEB服务器：192.168.2.2

步骤1：创建DMZ网络

在ISA Server上手工创建DMZ网络，网络范围是192.168.2.0—192.168.2.255。这个工作我们也可以通过ISA2006自带的三向外围防火墙模板来进行，因为涉及到网络环境的问题，一般在国内大家都手动创建DMZ网络，因为国外公司的DMZ使用的往往是公网地址，而国内DMZ使用的大多是私网地址。

现在我们开始创建DMZ，在Beijing上打开ISA管理器，如下图所示，选择新建网络。

▲

为新创建的网络命名为DMZ。

网络类型是外围网络。

DMZ的地址范围是192.168.2.0-192.168.2.255。

如下图所示，我们成功地完成了DMZ网络的创建。

步骤2：创建网络规则

DMZ网络创建完毕后，我们需要创建DMZ网络和其他网络之间的网络规则。因为我们知道，ISA处理数据的访问请求，首先考虑的是这个数据包的源网络和目标网络的网络规则，因此网络规则决定了两个网络之间数据通讯的方向性和可能性。网络规则的设定取决于实际的访问需求，在此实例中，希望内网用户和外网用户都可以访问DMZ的资源，同时DMZ的服务器需要对外网进行访问。基于这个需求，我们可以把网络规则设定为从内网到DMZ是NAT，从DMZ到外网是NAT。为什么DMZ到外网不设定为路由呢?因为DMZ使用的是内网地址，外网用户无法直接访问这些IP地址。

(责任编辑：闫小琪)