Demilitarizirana cona (DMZ) je segment omrežja, ki je ločen od drugih omrežij. Številne organizacije jih uporabljajo za ločevanje svojih lokalnih omrežij (LAN) od interneta. To postavlja dodatno varnost med njihovim korporativnim omrežjem in javnim internetom. Uporablja se lahko tudi za ločevanje enega določenega stroja od preostalega omrežja in ga premakne izven zaščite požarnega zidu.
Pogoste uporabe
Pogosti elementi, ki so nameščeni v DMZ, so javni strežniki. Na primer, če organizacija vzdržuje svoje spletno mesto na strežniku, bi lahko ta spletni strežnik postavili v računalniško “demilitarizirano območje”. Na ta način, če zlonamerni napad kdaj ogrozi stroj, ostane preostali del omrežja podjetja varen pred nevarnostjo. Nekdo lahko tudi namesti računalnik v DMZ zunaj omrežja, da preizkusi težave s povezljivostjo, ki jih ustvari požarni zid, ki ščiti preostanek sistema.
Nastavitev in funkcionalnost usmerjevalnika
Ko povežete LAN z internetom, usmerjevalnik zagotovi fizično povezavo z javnim internetom, programska oprema požarnega zidu pa ponuja prehod za preprečevanje vstopa zlonamernih podatkov v omrežje. Ena vrata na požarnem zidu se pogosto povežejo z omrežjem z uporabo notranjega naslova, kar omogoča, da posamezniki pošiljajo promet, da doseže internet. Druga vrata so običajno konfigurirana z javnim naslovom, ki omogoča dostop do internetnega prometa v sistem. Ti dve pristanišči omogočata komunikacijo vhodnih in odhodnih podatkov med omrežjem in internetom.
Namen demilitarizirane cone
Pri ustvarjanju DMZ organizacija doda še en segment omrežja ali podomrežje, ki je še vedno del sistema, vendar ni neposredno povezan z omrežjem. Če dodate DMZ, uporabite tretja vmesniška vrata na požarnem zidu. Ta konfiguracija požarnemu zidu omogoča izmenjavo podatkov tako s splošnim omrežjem kot z izoliranim računalnikom s prevajanjem omrežnih naslovov (NAT). Požarni zid običajno ne ščiti izoliranega sistema, kar mu omogoča bolj neposredno povezavo z internetom.
Funkcionalnost NAT
Prevajanje omrežnih naslovov omogoča, da se podatki, prejeti na določena vrata ali vmesnik, usmerijo v določeno omrežje. Na primer, ko nekdo obišče spletno mesto organizacije, se brskalnik pošlje na strežnik, ki gosti spletno mesto. Če ta organizacija hrani svoj spletni strežnik v DMZ, požarni zid ve, da je treba ves promet, poslan na naslov, povezan z njihovo spletno stranjo, posredovati strežniku, ki sedi v DMZ, in ne neposredno v notranje omrežje organizacije.
Pomanjkljivosti in druge metode
Ker je računalnik DMZ zunaj zaščite požarnega zidu, je lahko ranljiv za napade zlonamernih programov ali hekerjev. Podjetja in posamezniki ne bi smeli shranjevati občutljivih podatkov v tovrstni sistem in vedeti, da se tak stroj lahko poškoduje in “napade” preostanek omrežja. Mnogi strokovnjaki za mreženje priporočajo “posredovanje vrat” za ljudi, ki imajo težave z omrežjem ali povezavo. To zagotavlja specifičen, ciljno usmerjen dostop do določenih omrežnih vrat, ne da bi v celoti odprl sistem.