DMZ主机与特殊应用程序

NAT作为现代网络必不可少的一种技术，已经作为一种架构嵌入到网络系统中，也因此为基础，许多应用借助NAT的便利发挥着自己的作用，转发规则功能就是其中一种，通过对内外网络的分析，转发规则提供了**而且便利的通信手段，其中被广泛应用的有DMZ主机和特殊应用程序。

DMZ是英文“Demilitarized Zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防*墙后（路由器就是一个天然防*墙）外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和**等。

通从分析虚拟服务器的配置文件可以看出，虚拟服务器可以支持把一个或者多个端口的访问数据转发到内部主机上，而DMZ主机是默认把所有端口的访问数据都转发到内网一台电脑上，这样虽然容易配置，但在灵活性上不如虚拟服务器，只有当端口不固定或者用户无法确定服务器的端口时才使用。当把局域网内的一台计算机设置成为DMZ主机时，它将**暴露给广域网，实现双方的通信。这样设置对于DMZ主机本身来说是不安全的，但它隐藏了其他内网主机，**其不受外网攻击侵害。

而特殊应用程序是什么呢？在现实生活中，我们可能会遇到这样的情况：某些程序需要多条连接，如Internet游戏，视频会议，网络电话等。由于防*墙的存在，这些程序无法在简单的NAT路由下工作。特殊应用程序的作用就是使得某些这样的应用程序能够在NAT路由下工作。当一个应用程序在触发端口上发起连接时，在开放端口中的所有端口就会打开，准备接受后续连接。特殊应用程序中的触发端口指的是应用程序*先发起连接的端口，只有在该端口上发起连接，开放端口中的所有端口才可以开放，否则开放端口中的所有端口是不会开放的。而开放端口指的是触发端口发起连接后打开的端口，应用程序所有的后续连接都只能在开放端口上操作，开放端口可以是一个端口也可以是一个端口段。另外触发端口与开放端口上使用的协议可以相同也可以不同。

对于不同协议，开放端口的关闭过程略显不同，对于TCP连接，当触发端口的TCP连接关闭后，开放端口也就随之关闭；而对于UDP协议，因为UDP跟TCP不同，它本身是无连接服务，所以无法通过触发端口的连接状态来决定开放端口的开闭。在触发端口发起连接后，UDP会启动一个定时器，在定时器有效期间，开放端口打开，可以接受外部网络的连接请求，而当定时器结束时，会将开放端口一起关闭。