Да. Любой входящий трафик из Интернета, который не является ответом на запрос одного из ваших компьютеров, должен быть подозрительным. Существует много сценариев, когда ваш сайт может быть взломан, и это может привести к тому, что кто-то получит доступ к внутренней сети.
Теперь, к сожалению, реальность такова, что большинство коммерческих домашних маршрутизаторов не имеют возможности настроить надлежащую DMZ. Они могут позволить вам установить IP-адрес DMZ, на который направляется весь внешний трафик. Это не учитывает разделение, которое должна обеспечить DMZ. Чтобы иметь функциональную DMZ, компьютеры в DMZ должны находиться в другом диапазоне IP-адресов или подсети, чем основная сеть, и иметь другой порт на маршрутизаторе, который поддерживает только диапазон IP-адресов DMZ. Конечным результатом правильно сконфигурированной DMZ является то, что системы в DMZ не могут напрямую обращаться к IP-адресам в основной сети.
Также убедитесь, что ваш маршрутизатор не рассматривает DMZ как внутреннюю для целей администрирования. Поэтому он не должен доверять трафику из DMZ больше, чем он доверяет трафику из Интернета, и вы не сможете получить доступ к интерфейсу администрирования маршрутизатора из каких-либо систем в DMZ. Это часто проблема с решениями «два маршрутизатора», предложенными другими. Внешний маршрутизатор все еще рассматривает системы в DMZ как внутренние и доверенные. Этот внешний маршрутизатор может быть скомпрометирован, и весь внутренний трафик должен пройти через него, чтобы попасть в Интернет.