O zonă demilitarizată (DMZ) este un segment de rețea care este separat de alte rețele. Multe organizații le folosesc pentru a-și separa rețelele locale (LAN) de internet. Acest lucru pune o securitate suplimentară între rețeaua lor corporativă și internetul public. De asemenea, poate fi folosit pentru a separa o anumită mașină de restul unei rețele, mutându-l în afara protecției unui firewall.
Utilizări frecvente
Elementele obișnuite care sunt plasate într-un DMZ sunt servere publice. De exemplu, dacă o organizație își menține site-ul web pe un server, acel server web ar putea fi plasat într-un computer „Zonă Demilitarizată”. În acest fel, dacă un atac rău intenționat compromite vreodată mașina, restul rețelei companiei rămâne ferit de pericol. De asemenea, cineva poate plasa un computer pe un DMZ în afara unei rețele pentru a testa problemele de conectivitate create de un firewall care protejează restul sistemului.
Configurarea și funcționalitatea routerului
Când conectați o rețea LAN la Internet, un router oferă o conexiune fizică la Internetul public, iar software-ul firewall oferă o poartă pentru a preveni intrarea datelor rău intenționate în rețea. Un port de pe firewall se conectează adesea la rețea folosind o adresă internă, permițând traficului trimis de către persoane să ajungă la Internet. Un alt port este de obicei configurat cu o adresă publică, care permite traficului de Internet să ajungă în sistem. Aceste două porturi permit datelor de intrare și de ieșire să comunice între rețea și Internet.
Scopul unei zone demilitarizate
La crearea unei DMZ, o organizație adaugă un alt segment de rețea sau subrețea care este încă parte din sistem, dar care nu este conectată direct la rețea. Adăugarea unui DMZ folosește un al treilea port de interfață pe firewall. Această configurație permite firewall-ului să schimbe date atât cu rețeaua generală, cât și cu mașina izolată utilizând Network Address Translation (NAT). Firewall-ul nu protejează de obicei sistemul izolat, permițându-i să se conecteze mai direct la Internet.
Funcționalitatea NAT
Network Address Translation permite ca datele primite pe un anumit port sau interfață să fie direcționate către o anumită rețea. De exemplu, atunci când cineva vizitează site-ul web al unei organizații, browserul este trimis către serverul care găzduiește site-ul. Dacă această organizație își păstrează serverul web într-un DMZ, firewall-ul știe că tot traficul trimis la adresa asociată site-ului lor web ar trebui să fie transmis către serverul aflat în DMZ, mai degrabă decât direct în rețeaua internă a organizației.
Dezavantaje și alte metode
Deoarece computerul DMZ se află în afara protecției firewall-ului, acesta poate fi vulnerabil la atacurile de la programe rău intenționate sau hackeri. Companiile și persoanele fizice nu ar trebui să stocheze date sensibile pe acest tip de sistem și să știe că o astfel de mașină poate deveni coruptă și „ataca” restul rețelei. Mulți profesioniști în rețele recomandă „port-forwarding” pentru persoanele care se confruntă cu probleme de rețea sau de conexiune. Acest lucru oferă acces specific, direcționat la anumite porturi de rețea, fără a deschide complet un sistem.