回答:
はい。いずれかのコンピューターからの要求に対する応答ではない、インターネットからの着信トラフィックが疑われる必要があります。ウェブサイトが侵害され、内部ネットワークへのアクセスを可能にするシナリオが数多くあります。
現在、残念なことに、ほとんどの商用ホームルーターには適切なDMZをセットアップする機能がありません。すべての外部トラフィックがルーティングされるDMZ IPを設定できる場合があります。これは、DMZが提供する必要のある分離を可能にしません。DMZを機能させるには、DMZ内のコンピューターがメインネットワークとは異なるIP範囲またはサブネット上にあり、DMZ IP範囲のみをサポートするルーターの異なるポート上にある必要があります。適切に構成されたDMZの最終結果は、DMZ内のシステムがメインネットワーク上のIPに直接アクセスできないことです。
また、ルーターが管理の目的でDMZを内部として処理しないことを確認してください。したがって、インターネットからのトラフィックを信頼する以上にDMZからのトラフィックを信頼してはならず、DMZ上のどのシステムからもルーターの管理インターフェイスにアクセスできないはずです。これは多くの場合、他の人が提案した「2つのルーター」ソリューションの問題です。外部ルーターは引き続きDMZ内のシステムを内部の信頼できるシステムとして扱います。この外部ルーターは危険にさらされている可能性があり、すべての内部トラフィックはインターネットに到達するためにそれを通過する必要があります。
それを行うのは比較的簡単なので、私はまだそうします。2つのブロードバンドルーターがある場合、それらをインラインで異なるプライベートIPアドレススペース(192.168.100.1-254や192.168.200.1-254など)で設定できます。インターネットに直接接続されている最初のサーバーからWebサーバーを吊り下げます。ポート転送を使用してWebサーバーにダイレクトします。プライベートネットワークに配置するすべてのシステムを2番目のブロードバンドルーターの背後に配置します。そうすれば、何らかの理由でWebサーバーが危険にさらされた場合、他のシステムにアクセスするために、2番目のブロードバンドルーターを経由する必要があります。
ほとんどのホームネットワークには、DMZを効果的にセットアップするのに十分なパブリックIPアドレススペースがありません。ただし、DMZのポイントは、通常、プレゼンテーションレイヤーをWebサーバーのように配置し、データベースサーバーをファイアウォールの背後に置いて、DMZ内のマシンのみが指定のポートとプロトコルを介してデータベースサーバーと通信できるようにすることです。セキュリティは向上しますが、ホームセットアップの場合、DMZに適したN層アプリケーションを提供しない限り、あまり意味がありません。