n1ftp伺服器

Ⅰ ftp進行控制連接時使用的默認埠號為

【答案】:D
FTP文件傳輸服務,默認情況下,其控制埠為TCP 21,上傳文件時的埠為數據埠為TCP 20。80號埠為HTTP協議的默認埠,大於1024的埠為客戶端自定義埠。

FTP是一種基於TCP的高級文件協議,在傳輸過程中,主要分為連接建立和數據傳輸兩部分,響應的涉及伺服器端的命令埠和數據埠。 建立連接是一種基於tcp的三次握手模型,對於ftp伺服器,它使用固定的21命令埠與客戶端進行通信。 在數據傳輸期間、ftp傳輸期間,通過在服務端數據通信期間選擇不同的數據埠,可以將ftp分為主動模式(Port )和被動模式(Pasv )。 對於客戶端,這兩種模式對埠沒有固定性,只能在創建時主動指定本地埠或隨機埠,但對於伺服器,可以使用伺服器上固定的20個埠,或伺服器根據連接立即指定1025個或更多數據埠但是,命令傳輸埠對伺服器來說始終是21個埠。

FTP服務端支持兩種模式。 在具體的通信過程中,選擇哪個模式取決於客戶端的選擇。 然後介紹了兩種模式的具體流程和相關原理。

1.ftp兩種運行模式

Port模式(主動)

FTP客戶端從任何非特殊埠(N 1023 )連接到FTP伺服器命令埠21。 然後,客戶端在n1(n1=1024 )埠上監聽,並通過n1(n1=1024 )埠向FTP伺服器發送命令。 服務建立從服務20埠到用戶本地指定埠的數據傳輸連接。

處於活動模式的FTP的主要問題實際上在於客戶端。 FTP客戶端不會主動連接到伺服器的數據埠,而是告訴伺服器正在接收哪個埠,然後伺服器開始連接到客戶端上的指定埠。 但是,這樣的連接有時候會被客戶端的防火牆阻止

具體原理

以下是活動模式下的FTP的具體示例。

在活動模式的FTP中,客戶端通過隨機非系統埠(N 1023 )連接到FTP伺服器的命令埠21。 然後,客戶端開始監聽埠N 1,並將FTP命令埠N 1告訴FTP伺服器「請將數據發送到我的N 1埠」。 然後,服務從本地數據埠(埠20 )連接到客戶端數據埠,即N 1埠。

由於伺服器防火牆已隔離,因此必須確保從伺服器FTP到客戶端的以下幾個通道已順利進行:

FTP伺服器埠21 (接受所有客戶端) ) ) ) ) ) ) )。

FTP伺服器埠21~1023 (伺服器響應客戶端控制埠)

FTP伺服器埠20到1023上的埠(伺服器開始連接到客戶端數據埠)。

從1023埠到FTP伺服器埠20 (客戶端向伺服器數據埠發送ack ) )。

用圖表示這些通道:

在步驟1中,客戶端命令埠連接到伺服器命令埠,並發送命令埠1027。 然後,服務在步驟2中將ACK發送回客戶端命令埠。 在步驟3中,服務在本地數據埠上啟動連接,並連接到前面指定的客戶端數據埠。 最後,客戶端返回ACK,如步驟4所示。

Pasv模式(被動)

Pasv是Passive的縮寫,中文處於被動模式。 工作原理: FTP客戶端連接到FTP伺服器的21個埠,並通過發送用戶名和密碼進行登錄。 成功登錄後,讀取list列表或數據時,將Pasv命令發送到FTP伺服器。 伺服器本地隨機開放一個埠(1024或更高),將開放埠傳遞給客戶端,然後客戶端連接到伺服器的開放埠進行數據傳輸

被動模式的FTP的具體例子如下所示。

在被動模式的FTP中,客戶端啟動到伺服器的兩個連接,以解決防火牆阻止伺服器到客戶端的傳入數據埠連接的問題。 建立FTP連接後,客戶端將在本地打開兩個隨機的非系統埠n和n1(n1023 )。 第一個埠連接到伺服器的21個埠,但客戶端現在發出PASV命令。 這意味著伺服器不能重新連接到數據埠。 這將使服務打開隨機的非系統埠p(p1023 ),並將p發送到客戶端以響應PASV命令。 然後,客戶端啟動從埠N 1到埠p的連接並傳輸數據。

被動模式保持以下通道的平滑度:

FTP伺服器的21個埠(接受所有客戶端)

從FTP伺服器的21埠到1023埠的遠程埠(伺服器響應客戶端控制埠) ) ) )。

FTP伺服器1023上的埠(從所有客戶端接受到伺服器指定隨機埠的連接)。

從FTP伺服器1023的埠到1023的遠程埠(伺服器將ack和數據發送到客戶端數據埠)。

被動模式用圖表示:

在步驟1中,客戶端通過命令埠連接到伺服器並發出PASV命令。 然後,服務在步驟2中使用埠2024進行響應,並通知客戶端正在接收的數據連接

口。第 3 步,客戶端啟動從其數據埠到指定伺服器數據埠的數據連接。最後,伺服器在第 4 步將 ACK 發送回客戶端的數據埠。

      被動模式的FTP的需要在服務端進行開放埠區段設置,用來開放給客戶端進行連接,如果被動模式下,出現客戶端可以訪問ftp服務端文件的列表,但是無法進行下載等進一步操操作,出現這種問題的原因,是服務端的文件無法被讀取或者是無法通過網路埠進行傳輸。可以按照以下步驟進行排查:

1)檢查服務端端對文件的許可權設置是否完全,登錄用戶是否存在下載許可權;

2)如果登錄用戶存在下載許可權,那麼需要進一步檢查伺服器端的數據傳輸介面是否開放,如果有防火牆的話,是否配置了防火牆的出站入站埠規則;

3)如果仍然存在問題,檢查被動模式下的ftp伺服器的數據埠設置是否進行指定,默認是1025-6000,指定的埠區段是否已經配置了防火牆的出站規則;

2.兩種模式的比較

     從上面的運行原來看到,主動模式和被動模式的不同簡單概述為: 主動模式傳送數據時是「伺服器」連接到「客戶端」的埠;被動模式傳送數據是「客戶端」連接到「伺服器」的埠。

    主動模式需要客戶端必須開放埠給伺服器,很多客戶端都是在防火牆內,開放埠給FTP伺服器訪問比較困難。

    被動模式只需要伺服器端開放埠給客戶端連接就行了。

3.不同工作模式的網路設置

    我在實際項目中碰到的問題是,FTP的客戶端和伺服器分別在不同網路,兩個網路之間有至少4層的防火牆,伺服器端只開放了21埠, 客戶端機器沒開放任何埠。FTP客戶端連接採用的被動模式,結果客戶端能登錄成功,但是無法LIST列表和讀取數據。很明顯,是因為伺服器端沒開放被動模式下的隨機埠導致。

    由於被動模式下,伺服器端開放的埠隨機,但是防火牆要不能全部開放,解決的方案是,在ftp伺服器配置被動模式下開放隨機埠在 50000-60000之間(范圍在ftp伺服器軟體設置,可以設置任意1024上的埠段),然後在防火牆設置規則,開放伺服器端50000-60000之間的埠端。

    主動模式下,客戶端的FTP軟體設置主動模式開放的埠段,在客戶端的防火牆開放對應的埠段。

    4.常見的ftp客戶端設置被動模式

(1)IE:工具 -> Internet選項 -> 高級 -> 「使用被動FTP」(需要IE6.0以上才支持)。(2)CuteFTP:Edit -> Setting -> Connection -> Firewall -> 「PASV Mode」 或File -> Site Manager,在左邊選中站點 -> Edit -> 「Use PASV mode」 。(3)FlashGet:工具 -> 選項 -> 代理伺服器 -> 直接連接 -> 編輯 -> 「PASV模式」。(4)FlashFXP:選項 -> 參數選擇 -> 代理/防火牆/標識 -> 「使用被動模式」 或 站點管理 -> 對應站點 -> 選項 -> 「使用被動模式」或快速連接 -> 切換 -> 「使用被動模式」。

極速賽車五碼穩贏技巧否完全,登錄用戶是否存在下載許可權;

2)如果登錄用戶存在下載許可權,那麼需要進一步檢查伺服器端的數據傳輸介面是否開放,如果有防火牆的話,是否配置了防火牆的出站入站埠規則;

3)如果仍然存在問題,檢查被動模式下的ftp伺服器的數據埠設置是否進行指定,默認是1025-6000,指定的埠區段是否已經配置了防火牆的出站規則;

2.兩種模式的比較

     從上面的運行原來看到,主動模式和被動模式的不同簡單概述為: 主動模式傳送數據時是「伺服器」連接到「客戶端」的埠;被動模式傳送數據是「客戶端」連接到「伺服器」的埠。

    主動模式需要客戶端必須開放埠給伺服器,很多客戶端都是在防火牆內,開放埠給FTP伺服器訪問比較困難。

    被動模式只需要伺服器端開放埠給客戶端連接就行了。

3.不同工作模式的網路設置

    我在實際項目中碰到的問題是,FTP的客戶端和伺服器分別在不同網路,兩個網路之間有至少4層的防火牆,伺服器端只開放了21埠, 客戶端機器沒開放任何埠。FTP客戶端連接採用的被動模式,結果客戶端能登錄成功,但是無法LIST列表和讀取數據。很明顯,是因為伺服器端沒開放被動模式下的隨機埠導致。

    由於被動模式下,伺服器端開放的埠隨機,但是防火牆要不能全部開放,解決的方案是,在ftp伺服器配置被動模式下開放隨機埠在 50000-60000之間(范圍在ftp伺服器軟體設置,可以設置任意1024上的埠段),然後在防火牆設置規則,開放伺服器端50000-60000之間的埠端。

    主動模式下,客戶端的FTP軟體設置主動模式開放的埠段,在客戶端的防火牆開放對應的埠段。

    4.常見的ftp客戶端設置被動模式

(1)IE:工具 -> Internet選項 -> 高級 -> 「使用被動FTP」(需要IE6.0以上才支持)。(2)CuteFTP:Edit -> Setting -> Connection -> Firewall -> 「PASV Mode」 或File -> Site Manager,在左邊選中站點 -> Edit -> 「Use PASV mode」 。(3)FlashGet:工具 -> 選項 -> 代理伺服器 -> 直接連接 -> 編輯 -> 「PASV模式」。(4)FlashFXP:選項 -> 參數選擇 -> 代理/防火牆/標識 -> 「使用被動模式」 或 站點管理 -> 對應站點 -> 選項 -> 「使用被動模式」或快速連接 -> 切換 -> 「使用被動模式」。

Ⅱ 電腦中的 bind()錯誤是什麼

Berkeley Internert Name Domain(BIND)是我們所熟知的域名軟體，它具有廣泛的使用基礎，Internet上的絕大多數 Py`<W
DNS伺服器都是基於這個軟體的。BIND目前由ISC(Internet Software Consortium)負責維護，具體的開發由 7! J"|RRH*
Nominum(www.nominum.com)公司來完成。下面編譯的這個常見問題集就是由該公司所發布的（同時也見於 @W(6pyQd
http://www.isc.org/bind)，可以說，它具有較強的針對性和實用性。 V;gkSh*^i
1） 哪裡可以找到BIND? j 9|KD
BIND以源碼的格式發布。當前的版本為BIND 9,不過BIND 8.2.2-P5仍然是廣泛發布的版本。考慮到早期版本的安全問 FGX G7vl
題，如果您還在運行比8.2.2-P5更早的版本，那麼我們強烈推薦您升級軟體。 RB2/TwDZ%
以下的URL包括了源碼和其他相關資源的鏈接，你可能會覺得很有用處： &]L~(kL
http://www.isc.org/procts/BIND/ I4o^<P+
源碼也可以使用ftp從ftp://ftp.isc.org/isc/bind/src/8.2.2-P5/bind-src.tar.gz 獲得。 'f Vw$0W
鏡像BIND的ftp伺服器列表和其它ISC維護的開發源碼軟體可以在ftp://ftp.isc.org/isc/MIRRORS上找到。 `1N.=
W
2） 怎樣安裝BIND? l.%B,bUg
下載源碼到一個空的目錄。如果你需要的話，你也可以下載文檔和捆綁的包。 OqOA*AnNK[
接下來，你需要解壓（unzip）和解包（untar）發布的包。 <n1],wY
gunzip < bind-src.tar.gz | tar xf - w

0_x\
然後，你需要編譯和安裝軟體。常見src/INSTALL以獲知指令。在安裝之前請備份系統，因為安裝可能會覆蓋舊的二進制 a_$ Xi
代碼；這是依賴於系統的。 W"$w57
如果你是從BIND 4轉過來的，那麼你需要將配置文件named.boot轉成新的語法。這里包含了一個轉換程序。 Q-! |C
named-bootconf }
(y
< /etc/named.boot w1'SM}J%
> /etc/named.conf 9JE
C+]6
同時，如果你正從BIND 4轉換而來，那麼系統啟動腳本需要進行修改，以使之查找/etc/named.conf，而不是 z$Tk?0*a
/etc/named.boot。 f o+-<s
接著，你需要終止老的named並啟動新的。 TD:^&o+
kill -TERM tF /[A-
ndc start [#yE)| Q
檢查系統日誌（在大多數Unix系統上，錯誤都存放在/var/adm/messages中），因為當前的版本比先前的版本容錯性會差 g^|3;F2j
一些。 cw%V0r
3） 哪裡有基於NT的BIND? {}x.lWT-
最新的基於NT的BIND可以從ftp://ftp.isc.org/isc/bind/src/8.2.2-P5/bind-src.tar.gz上的8.2.2p5源碼中找 R zsW2.& 
到。你應該能夠使用WinZip來解壓/解包8.2.2p5文件。一旦解壓了源碼，你會在src/port/winnt目錄下找到NT的移植程 ]NcAW6"
序。你需要Visual C++ 6.0來編譯它。 lyh=!F*X4
4） 哪裡可以找到有關BIND的信息？ l;,wcU
i
先從http://www.isc.org/procts/BIND/開始。 DA #S
對於BIND用戶，有一個可用的郵件列表。使用http://www.isc.org/services/public/lists/bind-lists.html上的表 sw*ryaPHw
單訂閱。在你提交你的問題到郵件列表之前，請檢查郵件列表的檔案以查看是否你的問題已經回答過了。可搜索的 gPoZfV
bind-users郵件列表檔案位於http://www.isc.org/ml-archives/bind-users/。 p6ba)>r
Bind-users郵件列表同時指向了中等的Usenet新聞組comp.protocols.dns.bin.你可以在http://www.deja.com/上搜 <SjBK\.>
索該新聞組。 )6=~|6c^
BIND的"聖經"是DNS and BIND,Third Edition,作者：Paul Albitz和Cricket Liu。 - ]*R[}a8p
5） 為什麼我應該升級BIND到最新的版本？ b>NV)
最新的BIND版本解決了在以前版本中發現的bug和/或安全漏洞。 V)]OHyC6{
6） 我現在使用的是BIND的什麼版本？ ohF8Rfr/2
有幾種方法可用來確定你正在使用什麼版本的BIND。請注意有一些是針對於特定操作系統的，而其它一些不能在早於 b>\F K
4.9.5的BIND版本上工作。我們會在下面的描述中指明這些限制。 5pB5KCV
● 最簡單的告知版本號的方法是查找named啟動時寫到系統日誌文件中的消息。例如： #I Q1
Jul 14 12:54:21 ns named[15677]: starting. named 8.2.2-P5 !\cM,+6R
Jul 14 12:54:21 [email protected]:/usr/sbin/named C<ruBa9Z
● named帶"-v"開關會顯示版本： 0Hq N[ @
# named -v ''dfa<5%I
named 8.2.2-P5 Thu Jul 20 17:19:57 PDT 2000 g-qJi ~6#
[email protected]:/usr/sbin/named ;lM _
● 當使用更新版本的BIND時，BIND的name後台守護程序的控制介面程序可以提供版本信息： *${\w`H
ndc status (+-S_A(o
● 源代碼控制系統（SCSS）的"what"命令提供了文件的標示信息。 Bh(iA\/
what /named e5r8_50ut|
以下命令當在運行BIND 4.9.5及以上版本的伺服器上檢查時會起作用。這兩個程序都包括在BIND的發布版本中。 "$CYOoa
●nslookup _|h1 
# nslookup h;*Hd>W>_
Default Server: ns.yourco.bogus (?j47Ts
Address: 333.333.333.333 _K)pf
> set class=chaos ve;qLn/o
> set type=txt ;["?u S
> version.bind @c.rC090
Server: ns.yourco.bogus "^L%]
Address: 333.333.333.333 i3ovFUs(
VERSION.BIND text = "8.2.2-P5" x]OiQL%jz
〉 cf1V^v3
●dig :.hnR&>r;
dig version.bind txt chaos @ server name z$X1,h.\U
或者 W*1?87<'r
dig @ server name txt chaos version.bind  ^f$7t
7） 我得到一個錯誤提示:No default TTL set using SOA minimum instead.為什麼會這樣？怎麼辦？ D3rJ0m7[
從BIND 8.2開始，你需要一條$TTL指示來設置域的默認TTL。可在域的SOA記錄之前添加一條'$TTL XXXXXX'指示。 .X Xv2R
（XXXXXX表示計算到秒的默認TTL.） ..s6$i#@
8） 主機名可使用哪些有效字元？ IG/*CJ}@
主機名可以包括字母，數字以及連字元，但不能以連字元開頭。下劃線（_）在主機名中不是有效的字元。盡管有一些DNS ^b{ 
服務軟體包可以允許下劃線在主機名中出現，但大多數是不行的。使用一個帶有下劃線的域或者主機名會導致大多數 @em=?gla
Internet上的名字伺服器不能識別相關的主機/IP地址。 s5Av"Jy:k
9） 為什麼當我在本域中的一台主機上使用nslookup時會得到non-authoritative的答復？ Q*z
"m |
這通常發生在域（zone）文件中有錯誤出現的時候。檢查系統日誌文件'messages'以查證錯誤。 GtZ(rVA0F/
10） 我已經修改了自己的域，但是在Internet上的其它地方看不到這種改變，為什麼？ nE8IaTpT
每當你修改了你的域文件，例如當你添加或者修改了主機記錄的時候，你也必須更新域的SOA記錄的文件版本，或者是 ]Bl.m:vMc
"serial number"，因為名字伺服器從你的伺服器檢索信息時需要知道發生了修改。如果從上次查詢之後版本號沒有修 q6BW*<
改，就不會執行更新。舉例如下： Dl6]iB
; foo.com. DuB;X\E`{
$TTL 14400 |6p ^Gz.H,
@ IN SOA o.8J#XJP*
someplace.foo.com. admin.foo.com. ( K$i<D) c
1 ; this file's version -- change I2NfG ~9 J
43200 ; refresh twice a day yj~cD9:(e
1800 ; retry refresh every 15 minutes yj->X7}+'
604800 ; expire after 1000 hours (over week) Ve
\2#Yh
259200 ) ; minimum TTL of 3 day t~?^o!Q
顯而易見，帶'file's version'的行是我們想要修改的。版本序號可以為任何數字；1，2，3，4或者2001，2002， ngx6}[tgV
2003，等等。唯一的限制是版本號不能多於10位。在這個示例中，如果你對域文件作了修改，你需要將版本序號改為 TSBSfc4zu
'2'。 $g_TC
dN%
11） 為什麼沒有IP地址？ ((${Ea1
在/etc/resolv.conf中沒有名字伺服器記錄。 4o _G ,/G_
12） 在我的日誌文件中出現的"lame server"錯誤是什麼？ Aa]0IY'7jp
"lame server"指的是不能確信其是否具有域的授權的伺服器。如果你有lame server，或者是授權給了lame server的 I<zvq!Z)
域，那麼"lame server"消息很有用。如果你寧願不看到"lame server"消息，你可以使用logging語句丟棄它們： YbA ]9uB
logging { X TDb R]
category lame-servers{ null; }; $=?:-f5 
}; LOFv5H4I
13） Microsoft Windows 2000和BIND的關系怎樣？ MFY813 `
BIND默認會檢查所有記錄以確保只在需要主機名的地方使用了主機名，這能夠防止意外的一致性問題。 <;+\&u7x*
Microsoft Windows 2000使用一個稱為"_msdcs"來存放動態目錄數據。盡管這種子域不會與合法的主機名產生不一致， p\9x[9:iR1
但是也使得在子域中存放非法的主機名成為可能。這種主機名的使用默認是被BIND拒絕的。 @YS osEk}
動態目錄希望在_msdcs中有"全局目錄(global catalog)"(例如，gc._msdcs.example.com),這默認是拒絕的。為了解 Q/&"5rvC
決此問題,我們推薦動態目錄設為獨立的域(例如,"_msdcs.example.com")並配置成不檢查非法的主機名。這應該是合理 -'Z ~(su
的，因為Window 2000伺服器創建這些數據，而且不應該會與其它希望訪問這些數據的Windows 2000機器產生不一致問 iIaj )ihQI
題。 })7p M`a
例如， WI:kRt1
zone "_msdcs.example.com" { >x=?UPe8
type master; }26- @:
file "_msdcs.example.db"; JCbt$6Tv
check-names ignore; @eaD5'$bt)
allow-update { localnets; }; ec?mz?
}; sU QfN{:
14） 什麼是TSIG key? (+5m(CvN
TSIG key提供了一種鑒別和驗證交換的DNS數據有效性的方法，它在解析器和伺服器之間或者兩台伺服器之間使用一個密  cy_*
鑰。 Z lY<!
15） 我怎樣使用TSIG key來動態更新我的DNS? 1vB(T!9%
首先你需要使用以下命令生成一個TSIG密鑰（我們將使用tsig-key作為密鑰文件名）： (+zhM'Z
dnskeygen -H 128 -h -n tsig-key。 Vh#X8 S 4
這會生成一對密鑰文件： AvU =D$a
'Ktsig-key.+157+00000.key'，這是一個ASCII文件，它包括以下行： YML|F;
tsig-key. IN KEY 513 3 157 <$u32YI H.
awwLOtRfpGE+rRKF2+DEiw== t 9 O;*rv
和 rmbW3!bh
'Kvip-key.+157+00000.private' ，這包括： N&-tX$iLa5
Private-key-format: v1.2 Algorithm: 157 (HMAC) .bkk
{&*{
Key: awwLOtRfpGE+rRKF2+DEiw== i5:W'g1b?
你將需要獲取base64編碼的密鑰awwLOtRfpGE+rRKF2+DEiw== 並在配置你的伺服器命名設置中使用它。例如： J,6Ir/f"b
key tsig-key. { algorithm hmac-md5; secret "awwLOtRfpGE+rRKF2+DEiw=="; }; rkn#b:Dxq
zone "ddns.dregis.com" { 3K|*Bd()t
... 0z]o0= {
... l40iikt
allow-update { key tsig-key. ; }; ImBFtHXYo
} 
kJVcF)
記得在這之後重啟named。 UEPu;.#=Q
然後，你需要復制這兩個密鑰文件到客戶系統的某個位置（例如使用/var/named/tsig）。最後，你需要運行以下命令： dC*\GwP
nsupdate -k /var/named/tsig:tsig-key。 FCr\
16） 在named.conf中的'forwarder'選項有何作用？ EKH!_!
forwarder行告訴伺服器轉發所有查詢，因為它對另一個域名伺服器沒有授權或緩沖的數據。

Ⅲ 什麼叫DMZ區DMZ區有什麼作用應該怎樣構建DMZ

它是為了解決安裝防火牆後外部網路不能訪問內部網路伺服器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，這個緩沖區位於企業內部網路和外部網路之間的小網路區域內，在這個小網路區域內可以放置一些必須公開的伺服器設施，如企業Web伺服器、FTP伺服器和論壇等。另一方面，通過這樣一個DMZ區域，更加有效地保護了內部網路，因為這種網路部署，比起一般的防火牆方案，對攻擊者來說又多了一道關卡。
生動解釋：您的公司有一堆電腦，但可以歸為兩大類：客戶機、伺服器。所謂客戶機就是主動發起連接請求的機器，所謂伺服器就是被動響應提供某些服務的機器。伺服器又可以分僅供企業內網使用和為外網提供服務兩種。
OK，您只要按以下規則配置防火牆，就構造了一個DMZ區（您也可以叫love區，隨您）：
1.內網可以訪問外網
內網的用戶顯然需要自由地訪問外網。在這一策略中，防火牆需要進行源地址轉換。
2.內網可以訪問DMZ
此策略是為了方便內網用戶使用和管理DMZ中的伺服器。
3.外網不能訪問內網
很顯然，內網中存放的是公司內部數據，這些數據不允許外網的用戶進行訪問。
4.外網可以訪問DMZ
DMZ中的伺服器本身就是要給外界提供服務的，所以外網必須可以訪問DMZ。同時，外網訪問DMZ需要由防火牆完成對外地址到伺服器實際地址的轉換。
5.DMZ不能訪問內網
很明顯，如果違背此策略，則當入侵者攻陷DMZ時，就可以進一步進攻到內網的重要數據。
6.DMZ不能訪問外網