非武装地帯 (コンピュータセキュリティ) - Wikipedia
非武装地帯 (DMZ) の特徴は、内部ネットワークと外部ネットワークからDMZに接続することは許容しながらも、DMZからは外部ネットワークだけに接続を許容している点にある。すなわち、DMZ内のホストからは、内部ネットワークに接続することができない。DMZは、侵入者がDMZのホストに侵入した場合にも、内部ネットワークを保護しながら、DMZのホストが外部ネットワークに対してサービスを供給することを可能にする。したがって、誰かが外部ネットワークから内部ネットワークに不法な接続を試みる場合、DMZは侵入者にとっての袋小路(dead end)として機能することになる。
一般的にDMZは、メールサーバ、ウェブサーバ、DNSサーバ、Proxyサーバなど、外部ネットワークからアクセスしやすい状況が必要な接続サーバのために使われる。
外部ネットワークからDMZまでの接続は、一般的にポートアドレス変換(port address translation, PAT)の使用によって制御される。
ADSLのダイアルアップルータやFTTHの加入者網終端装置(CTU)には、ほとんどの場合このDMZ機能が用意されています。 ウチで使っているCTUは PR-200NEですが、もちろんDMZ機能を持っています。
自宅でWebサーバーを運用し始めてもう8年くらいになりますが、DMZではなく普通に内部ネットワークに置いています。
メリットがよく分からなかったし、内部ネットワークに置いていても不自由を感じなかったからです。
確かにWebサーバーが攻撃されて、それを踏み台にして内部ネットワークに侵入される可能性もありますが、それよりはデスクトップPCがウィルスに感染する確率の方が高いように思います。
現在のWebサーバーのシステム(FreeBSD 8.0-STABLE + Apache2.2)は堅牢だし、マメにアップデートしています。 FWに開けているポートも最小限ですから、侵入される可能性は低いだろうと思います。
ただガンブラーの件のように、どんな攻撃方法が見つかるかは予測不能ですから、DMZ機能を有効に活用した方がいいのかもしれませんね。