DMZ چیست و چه کاربردی دارد؟ به همراه ویدئو

Mrshabake
4 min readJun 30, 2022

--

DMZ یا Demilitarized zone در دنیای واقعی به منطقه ای گفته می شود که نیروهای نظامی اجازه ورود به آن منطقه را ندارند و اما در یک شبکه کامپیوتری به محیطی گفته می شود که حفاظت فایروال در آن وجود ندارد. در واقع DMZ یک شبکه محیطی است که از شبکه داخلی محلی (LAN) سازمان در برابر ترافیک غیرقابل اعتماد محافظت می کند. یعنی شبکه DMZ شامل خدماتی می باشد که در معرض دسترسی عموم قرار دارد و معمولا این نقطه ناامن، اینترنت می باشد.

معنای DMZ، زیر شبکه ای است که بین اینترنت عمومی و شبکه های خصوصی قرار دارد. شبکه DMZ سرویس های خارجی را در معرض شبکه های غیرقابل اعتماد قرار می دهد و یک لایه امنیتی اضافی برای محافظت از اطلاعات حساس ذخیره شده در شبکه های داخلی، با استفاده از فایروال برای فیلتر کردن ترافیک ، ایجاد می کند.

هدف نهایی DMZ این است که به سازمان اجازه دسترسی به شبکه های غیرقابل اعتماد مانند اینترنت را بدهد، در حالیکه از امنیت شبکه خصوصی یا شبکه محلی آن اطمینان حاصل می کند. سازمان ها معمولاً خدمات و منابع خارجی و همچنین سرورهای (DNS)، پروتکل انتقال فایل (FTP)، ایمیل، پروکسی، پروتکل انتقال صدا از طریق اینترنت (VoIP) و وب سرورها را در DMZ ذخیره می کنند. در نتیجه، رویکرد شبکه DMZ دسترسی مستقیم به داده های سازمان و سرورهای داخلی از طریق اینترنت را برای هکر دشوارتر می کند.

شبکه DMZ چگونه کار می کند؟

برای مثال شرکتی را در نظر بگیرید که دارای یک وب سایت است و باید وب سرور خود را از طریق اینترنت قابل دسترسی نماید. اما همانطور که می دانید این کار می تواند کل شبکه داخلی آن را به خطر بیاندازد. برای جلوگیری از آن می توان از یک شرکت ارائه دهنده هاست درخواست کرده تا وب سایت یا سرورهای عمومی را از طریق فایروال میزبانی نماید، که این کار ممکن است بر عملکرد تاثیر بگذارد. بنابراین بهتر است در عوض توسط سرورهای عمومی در شبکه ای مجزا و جداگانه میزبانی شوند.

یک شبکه DMZ یک بافر بین اینترنت و شبکه خصوصی یک سازمان فراهم می کند. شبکه DMZ توسط یک درگاه امنیتی مانند فایروال که ترافیک بین DMZ و LAN را فیلتر می کند، جدا شده است. البته DMZ توسط درگاه امنیتی دیگری محافظت می شود که ترافیکی را که از شبکه های خارجی وارد می شود را نیز فیلتر می کند.

این مکان بین دو فایروال واقع شده است و تنظیمات فایروال DMZ قبل از ورود به سرورهای میزبان در شبکه DMZ، از مشاهده بسته های شبکه ورودی توسط یک فایروال یا سایر ابزارهای امنیتی اطمینان حاصل می کند. این بدان معناست که حتی اگر یک مهاجم پیچیده قادر به عبور از اولین فایروال باشد، قبل از آسیب رساندن به یک شبکه، باید به تنظیمات DMZ نیز دسترسی داشته باشد.

اگر یک مهاجم بتواند به فایروال خارجی نفوذ کند و سیستمی را در DMZ به خطر بیندازد، پس از آن باید قبل از دسترسی به داده های حساس شرکت، از یک فایروال داخلی نیز عبور کنند. ممکن است یک هکر ماهر بتواند یک DMZ امن را به خطر بیاندازد، اما تنظیمات موجود در DMZ شما را از این تهدیدات مطلع خواهد کرد.

برای مثال برخی از سازمان ها که امنیت اطلاعات برای آنها اهمیت دارد یک پروکسی بر روی سرور DMZ نصب می کنند، که با استفاده از آن می توانند کلیه فعالیت های یک کاربر را ضبط کرده و زیر نظر داشته باشند و یا حتی اطمینان داشته باشند که کارمندان از اینترنت استفاده می کنند.

مزایای استفاده از DMZ:

مزیت اصلی DMZ فراهم کردن شبکه داخلی با یک لایه امنیتی اضافی از طریق محدود کردن دسترسی به داده های حساس و سرورها است. شبکه DMZ بازدید کنندگان وب سایت را قادر می سازد تا خدمات خاصی را بدست آورند در حالی که یک بافر بین آنها و شبکه خصوصی سازمان فراهم می کند.

در نتیجه، DMZ مزایای زیر را ارائه می دهد:

ـ امکان کنترل دسترسی: مشاغل می توانند از طریق اینترنت عمومی، دسترسی به خدمات خارج از محیط شبکه داخلی خود را در اختیار کاربران قرار دهند. DMZ امکان دسترسی به این سرویس ها را در حین اجرای تقسیم بندی شبکه فراهم می کند تا دسترسی کاربر غیر مجاز به شبکه خصوصی را دشوارتر کند. شبکه DMZ همچنین ممکن است شامل یک سرور پراکسی باشد که جریان داخلی ترافیک را متمرکز کرده و نظارت و ضبط آن ترافیک را ساده می کند.

ـ جلوگیری از شناسایی شبکه: با تهیه یک بافر بین اینترنت و یک شبکه خصوصی، یک DMZ مانع از انجام کار شناسایی توسط مهاجمان در تأمین اهداف بالقوه می شود. سرورهای داخل DMZ در معرض دید عموم قرار می گیرند اما توسط فایروال یک لایه امنیتی دیگر ارائه می شود که مانع از مشاهده حمله به داخل شبکه داخلی می شود. حتی اگر یک سیستم DMZ به خطر بیافتد، فایروال داخلی شبکه خصوصی را از DMZ جدا می کند تا امنیت آن را حفظ کرده و شناسایی خارجی را دشوار کند.

ـ مسدود کردن کلاهبرداری پروتکل اینترنت (IP): مهاجمان می توانند با جعل آدرس IP و جعل هویت دستگاه تأیید شده به سیستم در شبکه، به سیستم ها دسترسی پیدا کنند. DMZ می تواند چنین تلاش های کلاهبرداری را کشف و متوقف کند زیرا سرویس دیگری قانونی بودن آدرس IP را تأیید می کند. DMZ همچنین تقسیم بندی شبکه را ایجاد می کند تا فضایی برای سازماندهی ترافیک و دسترسی به خدمات عمومی به دور از شبکه خصوصی داخلی ایجاد کند.

جهت مطالعه ادامه مطلب به لینک زیر مراجعه نمایید:

🔗https://bit.ly/3lZLLLT

☎️021–62913

--

--