Способ думать об этом - доверие. Прямо сейчас вы доверяете всему во внутренней сети и ничему внешнему. Это потому, что вы уверены, что ваши внутренние сетевые устройства находятся под вашим контролем, и знаете, что вы не управляете ничем внешним. Все внешнее не заслуживает доверия (это не слово, но обычно используется)
Любое взаимодействие между внутренней и внешней сетями приводит к снижению доверия к внутренней сети. Потому что даже когда вы просматриваете веб-сервер во внешней сети с помощью чего-то во внутренней сети, вы обнаруживаете это - возможно, что-то вредоносное может использовать уязвимость вашего браузера, например.
Этот тип риска смягчается тщательным контролем исходящих соединений. В корпоративной среде вы можете использовать прокси-сервер для веб-трафика, который может сканировать на наличие вредоносных действий. Для электронной почты вы бы использовали внутреннее реле. Оба из них помогают избежать прямого контакта между доверенными устройствами и ненадежными устройствами.
Когда вы переадресовываете порт, вы разрешаете прямой доступ к вашим доверенным устройствам из ненадежного источника. Это резко снижает доверие к этому устройству до такой степени, что оно больше не должно считаться надежным: полу доверенным.
Если этот компьютер находится в вашей внутренней сети, у вас теперь есть доверенные устройства, способные напрямую взаимодействовать с полудоверенным устройством и наоборот, и, таким образом, снижается их сетевое доверие.
Чтобы смягчить это, мы помещаем полудоверенные устройства в их собственную сеть и тщательно контролируем доступ между полудоверенной сетью (называемой DMZ) и внутренней сетью.
В идеале это может быть связано с использованием брандмауэра, который не позволяет инициировать подключения от DMZ к внутренней сети. Во многих случаях это невозможно, и некоторый доступ должен быть разрешен.
Доступ к DMZ из внутренней сети должен контролироваться аналогичным образом и быть сведен к минимуму с помощью правил брандмауэра.