Demilitarizirana zona (DMZ) je segment mreže koji je odvojen od ostalih mreža. Mnoge organizacije ih koriste za odvajanje svojih lokalnih mreža (LAN) od interneta. To postavlja dodatnu sigurnost između njihove korporativne mreže i javnog Interneta. Također se može koristiti za odvajanje jednog određenog stroja od ostatka mreže, premještajući ga izvan zaštite vatrozida.
Česte upotrebe
Uobičajene stavke koje se postavljaju u DMZ su javni poslužitelji. Na primjer, ako organizacija održava svoju web stranicu na poslužitelju, taj web poslužitelj može biti smješten u računalnu “demilitariziranu zonu”. Na taj način, ako zlonamjerni napad ikada kompromituje stroj, ostatak mreže tvrtke ostaje siguran od opasnosti. Netko također može postaviti računalo na DMZ izvan mreže kako bi testirao probleme s povezivanjem koje stvara vatrozid koji štiti ostatak sustava.
Postavljanje i funkcionalnost rutera
Prilikom spajanja LAN-a na Internet, usmjerivač omogućuje fizičku vezu s javnim internetom, a softver vatrozida nudi pristupnik za sprječavanje zlonamjernih podataka od ulaska u mrežu. Jedan port na firewall-u često se povezuje s mrežom koristeći internu adresu, dopuštajući da pojedinci šalju promet do Interneta. Drugi priključak obično je konfiguriran s javnom adresom, što omogućuje da internetski promet dođe do sustava. Ova dva porta omogućuju komunikaciju ulaznih i odlaznih podataka između mreže i Interneta.
Svrha demilitarizirane zone
U stvaranju DMZ-a, organizacija dodaje još jedan mrežni segment ili podmrežu koji je još uvijek dio sustava, ali nije povezan izravno s mrežom. Dodavanjem DMZ-a koristi se treći port sučelja na vatrozidu. Ova konfiguracija omogućuje vatrozidu razmjenu podataka i s općom mrežom i s izoliranim strojem pomoću prevođenja mrežnih adresa (NAT). Vatrozid obično ne štiti izolirani sustav, dopuštajući mu izravnije povezivanje s internetom.
NAT funkcionalnost
Prijevod mrežnih adresa omogućuje usmjeravanje podataka primljenih na određenom portu ili sučelju na određenu mrežu. Na primjer, kada netko posjeti web-stranicu organizacije, preglednik se šalje na poslužitelj na kojem se nalazi web-mjesto. Ako ova organizacija zadrži svoj web poslužitelj u DMZ-u, vatrozid zna da bi sav promet poslan na adresu povezanu s njihovom web-stranicom trebao biti proslijeđen poslužitelju koji sjedi u DMZ-u, a ne izravno u internu mrežu organizacije.
Nedostaci i druge metode
Budući da se DMZ računalo nalazi izvan zaštite vatrozida, može biti ranjivo na napade zlonamjernih programa ili hakera. Tvrtke i pojedinci ne bi trebali pohranjivati osjetljive podatke na ovu vrstu sustava i znati da se takav stroj potencijalno može oštetiti i “napasti” ostatak mreže. Mnogi stručnjaci za umrežavanje preporučuju “prosljeđivanje portova” za ljude koji imaju problema s umrežavanjem ili vezom. To omogućuje specifičan, ciljani pristup određenim mrežnim priključcima, bez potpunog otvaranja sustava.