En Demilitarized Zone (DMZ) är ett nätverkssegment som är separerat från andra nätverk. Många organisationer använder dem för att separera sina lokala nätverk (LAN) från Internet. Detta ger ytterligare säkerhet mellan deras företagsnätverk och det offentliga Internet. Den kan också användas för att separera en viss maskin från resten av ett nätverk och flytta den utanför skyddet av en brandvägg.
Frekventa användningar
Vanliga objekt som placeras i en DMZ är servrar som är vända mot allmänheten. Till exempel, om en organisation underhåller sin webbplats på en server, kan den webbservern placeras i en dator ”Demilitarized Zone”. På detta sätt, om en skadlig attack någonsin äventyrar maskinen, förblir resten av företagets nätverk säker från fara. Någon kan också placera en dator på en DMZ utanför ett nätverk för att testa anslutningsproblem som skapas av en brandvägg som skyddar resten av systemet.
Routerinställningar och funktionalitet
När du ansluter ett LAN till Internet ger en router en fysisk anslutning till det offentliga Internet, och brandväggsprogram erbjuder en gateway för att förhindra att skadlig data kommer in i nätverket. En port på brandväggen ansluter ofta till nätverket med en intern adress, vilket gör att trafik som skickas ut av individer kan nå Internet. En annan port är vanligtvis konfigurerad med en offentlig adress, vilket gör att internettrafik kan nå systemet. Dessa två portar tillåter inkommande och utgående data att kommunicera mellan nätverket och Internet.
Syftet med en demilitariserad zon
När en DMZ skapas lägger en organisation till ytterligare ett nätverkssegment eller subnät som fortfarande är en del av systemet, men som inte är anslutet direkt till nätverket. Att lägga till en DMZ använder sig av en tredje gränssnittsport på brandväggen. Denna konfiguration tillåter brandväggen att utbyta data med både det allmänna nätverket och den isolerade maskinen med hjälp av Network Address Translation (NAT). Brandväggen skyddar vanligtvis inte det isolerade systemet, vilket gör att det kan ansluta mer direkt till Internet.
NAT-funktionalitet
Network Address Translation tillåter att data som tas emot på en viss port eller gränssnitt dirigeras till ett specificerat nätverk. Till exempel, när någon besöker en organisations webbplats, skickas webbläsaren till servern som är värd för webbplatsen. Om denna organisation håller sin webbserver i en DMZ, vet brandväggen att all trafik som skickas till adressen som är kopplad till deras webbplats ska skickas till servern som sitter i DMZ, snarare än direkt till organisationens interna nätverk.
Nackdelar och andra metoder
Eftersom DMZ-datorn ligger utanför brandväggens skydd kan den vara sårbar för attacker från skadliga program eller hackare. Företag och individer bör inte lagra känsliga data på denna typ av system, och veta att en sådan maskin potentiellt kan skadas och ”attackera” resten av nätverket. Många nätverksproffs rekommenderar ”port-forwarding” för personer som upplever nätverks- eller anslutningsproblem. Detta ger specifik, riktad åtkomst till vissa nätverksportar, utan att öppna ett system helt.