安然区的定义在成立安然收集过程中起着相当首要的感化。DMZ (Demilitarized Zone)是收集安然中最首要的分区术语之尸。因为DMZ包含设备性质，所以将其同收集的其他部门分隔开来。这些设备凡是是需要从公共收集上拜候的办事器，不承诺在它们地点的区域实现太严格的安然策略，因此需要分手开来。

　　DMZ凡是是驻留于专用收集和公共收集之间的一个子网，从公共收集的连接到DMZ设备终止：这些办事器也常常被相对安然的专用收集设备拜候。

　　成立DMZ的编制有良多，如何成立DMZ有赖于收集的安然需求，成立DMZ的最常常利用的编制以下4种。

　　1、利用防火墙成立DMZ

　　这类编制利用一个有3个接口的防火墙往成立隔离区，每个隔离区成为这个防火墙接口的一员。防火墙供给区与区之间的隔离。这类机制供给了良多关于DMZ安然的节制。图1显示了如何利用一个防火墙成立DMZ一个防火墙也能够有多个接口，承诺成立多个DMZ。此种编制是成立DMZ最常常利用的编制。

　　图1利用防火墙成立DMZ

　　2、在防火墙以外的公共收集和防火墙之间成立DMZ

　　在这类建设中，DMZ透露在防火墙的公共面一侧。经由过程防火墙的流量，起首要经由过程DMZ。一般环境下不保举这类建设，因为DMZ中可以或许用来节制设备安然的节制很是少。这些设备实际上是公共区域的一部门，它们本身并没有遭到真实的呵护。图2显示了成立DMZ的编制。

　　图2 防火墙之夕随公共收集和防火墙之间成立DMZ

　　3、在防火墙以外且不在公共收集和防火墙之间成立DMZ

　　这类类型的建设同第二种编制近似(如图3所示)，独一的辨别是：这里的DMZ不是位于防火墙和公共收集之间，而是位于连接防火墙同公共收集的边缘路由器的一个隔离接口。这类类型的建设向DMZ收集中的设备供给了很是小的安然性，可是这类建设使防火墙有从未呵护和易受报复打击的DMZ收集的隔离性。这类建设中的边缘路由器可以或许用于拒尽所有从DMZ子网到防火墙地点的子网的拜候。并且，隔离的VLAN可以或许承诺防火墙地点的子网和DMZ子网间有第二层的隔离。当位于DMZ子网的主机遭到风险，并且报复打击者开端利用这个主机对防火墙和收集策动更进一步报复打击的景象下这类型的建设是有效的。

　　图3 在防火墙以外且不在公共收集和防火墙之间的成立DMZ

　　4、在层叠防火墙之间成立DMZ

　　在这类机制(如图4所示)下，两个防火墙层叠放置，拜候专用收集时，所有的流量必需颠末两个层叠防火墙，两个防火墙之间的收集用作DMZ。因为DMZ前面的防火墙使它获得了大年夜量的安然性，可是它的缺点是所有专用收集到公共收集之间的数据流必需颠末DMZ,一个被攻下的DMZ设备可以或许使报复打击者以不合的编制阻截和报复打击这个流量。可以在防火墙之间设置专用VLAN减轻这类风险。

　　分区是安然设计中的一个首要概念，利用设计杰出的DMZ隔离编制，在一个低安然区设备受损时，包含在替他区域设备受损的风险也很小。

　　图4 在层叠防火墙之间成立DMZ