Strefa zdemilitaryzowana (DMZ) to segment sieci oddzielony od innych sieci. Wiele organizacji używa ich do oddzielania swoich sieci lokalnych (LAN) od Internetu. Zapewnia to dodatkowe bezpieczeństwo między ich siecią firmową a publicznym Internetem. Może być również używany do oddzielenia jednego konkretnego komputera od reszty sieci, przenosząc go poza ochronę firewalla.
Częste zastosowania
Typowe elementy umieszczane w strefie DMZ to serwery dostępne publicznie. Na przykład, jeśli organizacja utrzymuje swoją witrynę internetową na serwerze, ten serwer sieciowy może zostać umieszczony w „strefie zdemilitaryzowanej” komputera. W ten sposób, jeśli złośliwy atak kiedykolwiek skompromituje komputer, pozostała część sieci firmy pozostaje bezpieczna przed niebezpieczeństwem. Ktoś może również umieścić komputer w strefie DMZ poza siecią, aby przetestować problemy z łącznością tworzone przez zaporę sieciową chroniącą resztę systemu.
Konfiguracja i funkcjonalność routera
Podczas łączenia sieci LAN z Internetem router zapewnia fizyczne połączenie z publicznym Internetem, a oprogramowanie zapory oferuje bramę zapobiegającą przedostawaniu się szkodliwych danych do sieci. Jeden port na zaporze często łączy się z siecią przy użyciu adresu wewnętrznego, umożliwiając wysyłanie ruchu przez osoby fizyczne do Internetu. Inny port jest zwykle skonfigurowany z adresem publicznym, który umożliwia dotarcie ruchu internetowego do systemu. Te dwa porty umożliwiają przesyłanie danych przychodzących i wychodzących między siecią a Internetem.
Cel strefy zdemilitaryzowanej
Tworząc strefę DMZ, organizacja dodaje kolejny segment sieci lub podsieć, która nadal jest częścią systemu, ale nie jest połączona bezpośrednio z siecią. Dodanie strefy DMZ wykorzystuje trzeci port interfejsu na zaporze. Ta konfiguracja umożliwia zaporze wymianę danych zarówno z siecią ogólną, jak i izolowanym komputerem przy użyciu translacji adresów sieciowych (NAT). Zapora zwykle nie chroni izolowanego systemu, co pozwala mu łączyć się bardziej bezpośrednio z Internetem.
Funkcjonalność NAT
Translacja adresów sieciowych umożliwia kierowanie danych otrzymanych na określonym porcie lub interfejsie do określonej sieci. Na przykład, gdy ktoś odwiedza witrynę internetową organizacji, przeglądarka jest wysyłana do serwera obsługującego tę witrynę. Jeśli ta organizacja utrzymuje swój serwer sieciowy w strefie DMZ, zapora wie, że cały ruch wysyłany na adres powiązany z jej witryną internetową powinien być przekazywany do serwera znajdującego się w strefie DMZ, a nie bezpośrednio do sieci wewnętrznej organizacji.
Wady i inne metody
Ponieważ komputer w strefie DMZ znajduje się poza ochroną zapory, może być podatny na ataki złośliwych programów lub hakerów. Firmy i osoby fizyczne nie powinny przechowywać wrażliwych danych w tego typu systemie i wiedzieć, że taka maszyna może potencjalnie ulec uszkodzeniu i „zaatakować” resztę sieci. Wielu specjalistów ds. sieci zaleca „przekierowanie portów” osobom, które mają problemy z siecią lub połączeniem. Zapewnia to określony, ukierunkowany dostęp do określonych portów sieciowych bez całkowitego otwierania systemu.