در مبحث امنیت کامپیوترها، شبکه DMZ (یا Demilitarized Zone) شامل خدماتی میباشد که در معرض دسترسی عموم قرار دارد و معمولا این نقطه ناامن، اینترنت میباشد.
هدف اصلی DMZ، افزودن یک لایۀ امنیتی مازاد به شبکه سازمان است. یک node محافظت شده و کنترل شدۀ شبکه که با شبکۀ داخلی در ارتباط است، میتواند به آنچه که در DMZ قرار دارد دسترسی پیدا کند، درحالیکه بقیۀ اجزا شبکهی سازمان در قسمت پشت فایروال ایمن هستند.
یک شبکه DMZ که به درستی پیادهسازی شده، قادر است امنیت بیشتری را در تشخیص و کاهش نقضهای امنیتی تامین کند و این کار را قبل از این که آنها به شبکۀ داخلی یعنی جایی که اطلاعات مهم و با ارزش نگهداری میشود برسند، انجام میدهد.
هدف شبکه DMZ
شبکه DMZ به منظور ایجاد امنیت برای هاستهایی که بیشتر در معرض خطر هستند، ایجاد شده است. این هاستها معمولا شامل خدماتی میشوند که به قسمت خارج از LAN مربوط میگردد.
رایجترین انواع این خدمات ایمیل، سرورهای وب و سرورهای DNS میباشد. از آن جا که احتمال حمله زیاد است، آنها در قسمت زیر مجموعههای تحت کنترل شبکه قرار میگیرند تا در صورت به خطر افتادن بقیۀ اجزای شبکه، از آنها محافظت کنند.
هاستهای داخل DMZ، دسترسی به سایر دستگاههای درون شبکه را به شدت کنترل میکنند. دلیل آن این است که دادههایی که از DMZ عبور کردهاند، چندان ایمن نیستند. به علاوه، ارتباط بین هاستهای داخل DMZ و شبکه خارجی، در جهت افزایش امنیت منطقۀ مرزی (border zone) محدود شده است.
این امر موجب میشود هاستهای درون شبکۀ محافظت شده با شبکههای خارجی و داخلی در تعامل باشند، درحالیکه فایروال، تمام ترافیکهای مشترک بین DMZ و شبکۀ داخلی را از هم جدا نموده و مدیریت میکند.
به طور معمول، یک فایروال مازاد، مسئولیت امنیت DMZ را به هنگام قرار گرفتن در معرض شبکۀ خارجی بر عهده میگیرد.
بهتر است کلیۀ خدمات قابل دسترس برای کاربران در جهت ارتباط با شبکههای خارجی در DMZ قرار گیرد. متداولترین نوع این خدمات شامل موارد ذیل میباشد:
-
سرورهای وب:
سرورهای وب، مسئول حفظ ارتباط با سرور پایگاه دادههای داخلی که ممکن است داخل DMZ قرار گیرد، میباشند. این امر موجب اطمینان خاطر از امنیت پایگاه دادهها میشود که غالبا اطلاعات مهم و حیاتی در آنها نگهداری میشود.
سپس سرورهای وب میتوانند با سرورهای پایگاه دادههای داخلی از طریق فایروال و یا به صورت مستقیم در تعامل باشند، درحالیکه هنوز هم تحت محافظت DMZ هستند.
-
سرورهای ایمیل:
پیامهای شخصی ایمیل و همچنین پایگاه دادههای کاربر که برای ذخیره اطلاعات ورود به سیستم و پیامهای شخصی ایجاد شدهاند، معمولا بر روی سرورها و بدون دسترسی مستقیم به اینترنت ذخیره میشوند.
بنابراین، یک سرور ایمیل در داخل DMZ قرار میگیرد تا بتواند با پایگاه دادههای ایمیل ارتباط برقرار کند و به آن دسترسی پیدا کند، بدون اینکه آن را در معرض ترافیک مضر قرار دهد.
-
سرورهای FTP:
این سرورها میتوانند میزبان محتوای حیاتی و مهم بر روی سایتهای سازمان باشند. همچنین امکان تعامل مستقیم با فایلها را نیز ایجاد میکنند. بنابراین، یک سرور FTP بهتر است همیشه مقداری از سیستمهای داخلی مهم جدا باشد.
تنظیمات و پیکربندی DMZ، امنیت بیشتری را در مقایل حملات خارجی تامین میکند، اما معمولا در مقابل حملات داخلی این گونه نیست.
طرحهای DMZ
راههای زیادی برای ایجاد شبکه به وسیلۀ یک DMZ وجود دارد. دو روش اصلی شامل یک فایروال واحد و دو فایروال است. هر یک از این روشها میتوانند جهت ایجاد یک ساختار پیچیده، در راستای برآوردن نیازهای شبکه، مورد استفاده قرار گیرند.
-
یک فایروال واحد:
رویکردی در ساختار شبکه است که شامل استفاده از یک فایروال واحد و حداقل سه رابط شبکه میگردد. DMZ را میتوان داخل این فایروال قرار داد. مراحل این عملیات به قرار زیر است:
دستگاه شبکه خارجی، ارتباط را از طریق ISP برقرار میکند و شبکۀ داخلی توسط دستگاه دوم متصل میشود و همچنین کانکشن داخل DMZ توسط یک دستگاه سوم اداره میشود.
-
فایروال دوتایی:
این روش ایجاد DMZ، ایمنتر از تک فایروالی میباشد. فایروال اول (که به آن فایروال fronted نیز گفته میشود) طوری تنظیم میشود که تنها ترافیکهایی که مقصدشان DMZ میباشد، مجاز باشند. فایروال دوم (که به آن فایروال backend گفته میشود) مسئول ترافیکی است که از DMZ به شبکۀ داخلی میرود.
یک روش موثر جهت افزایش امنیت، استفاده از فایروالهای کمپانیهای مختلف میباشد، زیرا احتمال آسیبپذیری در کمترین حالت ممکن قرار میگیرد. قابل ذکر است، پیادهسازی این روش موثر برای شبکههای بزرگ، هزینههای زیادی در بر دارد.
چرا شبکههای DMZ مهم هستند؟
در بسیاری از شبکههای خانگی، دستگاههای دارای اینترنت در اطراف یک local area network ساخته شدهاند که از طریق روتر broadband به اینترنت دسترسی دارند. با این حال، روتر هم به عنوان یک نقطه اتصال (connection point) و هم یک firewall عمل میکند و به طور خودکار فیلترینگ ترافیک را انجام میدهد تا مطمئن شود تنها پیامهای ایمن به LAN وارد میگردند.
بنابراین، یک DMZ در یک شبکۀ خانگی را میتوان با افزودن یک فایروال اختصاصی بین LAN و روتر ایجاد نمود. اگرچه این ساختار، پرهزینهتر است، اما میتواند از دستگاههای داخلی در برابر حملات پیشرفته خارجی محافظت نماید.
DMZها بخش مهمی از امنیت شبکه برای کاربران شخصی و همین طور برای سازمانها محسوب میشوند. عملکرد آنها به گونهای است که با محدود کردن دسترسیهای از راه دور به سرورهای داخلی و اطلاعات، امنیت بیشتری را برای شبکههای کامپیوتری تامین میکنند. چنانچه دسترسی به این سرورها و دادهها رخ دهد، اثرات جبران ناپذیری خواهد داشت.