Demilitarisoitu vyöhyke (DMZ) on verkkosegmentti, joka on erotettu muista verkoista. Monet organisaatiot käyttävät niitä paikallisten verkkojen (LAN) erottamiseen Internetistä. Tämä lisää tietoturvaa yritysten verkon ja julkisen Internetin välillä. Sitä voidaan käyttää myös erottamaan yksi kone muusta verkosta siirtämällä se palomuurin suojan ulkopuolelle.
Usein käytetyt
Yleiset kohteet, jotka on sijoitettu DMZ: hen, ovat julkisia palvelimia. Jos esimerkiksi organisaatio ylläpitää verkkosivustoaan palvelimella, se voidaan sijoittaa demilitarisoituun tietokoneeseen. Tällä tavalla, jos haitallinen hyökkäys vaarantaa koneen, loput yrityksen verkosta pysyvät turvassa vaaroilta. Joku voi myös sijoittaa tietokoneen DMZ -verkkoon verkon ulkopuolelle testatakseen muita järjestelmää suojaavan palomuurin luomia yhteysongelmia.
Reitittimen asetukset ja toiminnot
Kun lähiverkko kytketään Internetiin, reititin muodostaa fyysisen yhteyden julkiseen Internetiin, ja palomuuriohjelmisto tarjoaa yhdyskäytävän estämään haitallisten tietojen pääsyn verkkoon. Yksi palomuurin portti muodostaa usein yhteyden verkkoon sisäisen osoitteen avulla, jolloin yksilöt lähettävät liikennettä Internetiin. Toinen portti on yleensä määritetty julkisella osoitteella, jonka avulla Internet -liikenne pääsee järjestelmään. Nämä kaksi porttia mahdollistavat saapuvan ja lähtevän datan kommunikoinnin verkon ja Internetin välillä.
Demilitarisoidun vyöhykkeen tarkoitus
DMZ: tä luodessaan organisaatio lisää toisen verkkosegmentin tai aliverkon, joka on edelleen osa järjestelmää, mutta jota ei ole kytketty suoraan verkkoon. DMZ: n lisääminen käyttää palomuurin kolmatta liitäntäporttia. Tämän kokoonpanon avulla palomuuri voi vaihtaa tietoja sekä yleisen verkon että eristetyn koneen kanssa käyttämällä verkko -osoitteiden kääntämistä (NAT). Palomuuri ei yleensä suojaa eristettyä järjestelmää, joten se voi muodostaa yhteyden suoraan Internetiin.
NAT -toiminnallisuus
Verkko -osoitteen kääntäminen mahdollistaa tietylle portille tai rajapinnalle vastaanotettujen tietojen reitittämisen määritettyyn verkkoon. Esimerkiksi, kun joku vierailee organisaation verkkosivustolla, selain lähetetään palvelimelle, joka isännöi sivustoa. Jos tämä organisaatio pitää verkkopalvelimensa DMZ -alueella, palomuuri tietää, että kaikki heidän verkkosivustoonsa liitettyyn osoitteeseen lähetetty liikenne tulee välittää DMZ -alueella olevalle palvelimelle eikä suoraan organisaation sisäiseen verkkoon.
Haitat ja muut menetelmät
Koska DMZ -tietokone on palomuurin suojauksen ulkopuolella, se voi olla altis haittaohjelmien tai hakkereiden hyökkäyksille. Yritysten ja yksityishenkilöiden ei pitäisi tallentaa arkaluonteisia tietoja tämän tyyppiseen järjestelmään ja tietää, että tällainen kone voi mahdollisesti vioittua ja “hyökätä” muuhun verkkoon. Monet verkkoammattilaiset suosittelevat “portin edelleenlähetystä” ihmisille, joilla on verkko- tai yhteysongelmia. Tämä tarjoaa tarkan, kohdennetun pääsyn tiettyihin verkkoportteihin avaamatta järjestelmää kokonaan.