DMZ – Demilitarized Zone چیست

DMZ – Demilitarized Zone چیست؟
یک نوع طراحی شبکه است، در واقع DMZ یک شبکه است که در میان شبکه خصوصی یا داخلی و شبکه خارجی یا اینترنت قرار می گیرد. این شبکه به کاربران خارج از سازمان اجازه برقراری ارتباط با سرورهای داخلی سازمان بصورت مستقیم را نمی دهند و به همین وسیله از اطلاعات سازمان حفاظت می کند.

DMZ یک مرز ارتباطی بین دو شبکه است که به هم اعتماد ندارند و شما نیز قطعا به شبکه اینترنت اعتماد ندارید. ساختار DMZ معمولا توسط فایروال ها و یا پروکسی سرور هایی طراحی می شوند که در لایه های مختلف شبکه قرار می گیرند.

در یک ساختار DMZ ساده در یک شبکه معمولی، یک سرور یا کامپیوتر که در اینجا به عنوان Host معرفی می شود در محیط DMZ قرار می گیرد و تمامی درخواست هایی که کاربران داخلی برای برقراری ارتباط با خارج از شبکه دارند را دریافت می کند، این سرور بعد از دریافت این بسته های درخواست (مثلا درخواست وب سایت) آنها را به سمت شبکه عمومی یا اینترنت هدایت می کند و سپس پاسخ این درخواست ها را در همان Session ای که توسط کاربر داخلی ایجاد شده بود برای وی ارسال می کند، توجه کنید که در این طراحی ساده، هیچگونه ترافیکی نمی تواند از شبکه بیرونی به شبکه داخلی وارد شود.
کاربرانی که در شبکه اینترنت یا خارجی قرار دارند صرفا می توانند به Host ای که برای DMZ استفاده می شود دسترسی پیدا کنند و به هیچ عنوان به شبکه داخلی دسترسی نخواهند داشت. یکی دیگر از کارهایی که در این Host می تواند انجام شود این است که صفحات وب ای که قرار است از طرف سازمان بر روی اینترنت در معرض دسترسی قرار بگیرند می توانند بر روی این Host قرار بگیرند. اما توجه کنید که DMZ به شبکه داخلی نیز در این حالت دسترسی نخواهد داشت. شما فرض کنید که در این حالت یک هکر قصد حمله به وب سایت سازمان را دارد، حتی اگر موفق به هک این صفحات شود، به اطلاعات خاصی در خصوص شبکه داخلی و اطلاعات خصوصی سازمان دست پیدا نخواهد کرد. بدون شک یکی از بهترین تجهیزات شبکه ای که برای استفاده ویژه در ساختار DMZ مورد استفاده قرار می گیرد تجهیزات فایروال شرکت سیسکو می باشد.
اگر بخواهیم از نظر امنیتی DMZ را تعریف کنیم، می توانی آنرا به نوعی تنظیمات پیشرفته در فایروال های شبکه نیز معرفی کنید. در تنظیمات DMZ اکثر کامپیوترهایی که در شبکه LAN قرار گرفته اند در پشت فایروال قرار می گیرند که این فایروال به شبکه اینترنت یا شبکه عمومی متصل شده است. از طرفی یک یا چندین سرور نیز در محلی بعد از فایروال قرار می گیرند، یعنی در شبکه داخلی نیستند، این سرورهایی که در بعد از فایروال قرار می گیرند، درخواست های کاربران داخلی را همانطور که اعلام شد از شبکه داخلی دریافت کرده و سپس آنها را به شبکه اینترنتی که به آن متصل هستند ارسال می کنند، این دقیقا همان مفهوم امنیتی است که مد نظر است، خاطرتان هست که در جنگ بین کره شمالی و جنوبی یک شهر به عنوان محل رابط بین دو کشور انتخاب شد که در آن جنگی در کار نبود، این را دقیقا در شبکه نیز می توانید تصورکنید.
توجه کنید که شما واژه DMZ را در بسیاری از تجهیزات شبکه اعم از روترهای اینترنتی خانگی نیز مشاهده می کنید اما آنها واقعا DMZ نیستند بلکه صرفا قابلیت پشتیبانی از این نوع تنظیمات هستند که در تجهیزات شبکه دیده شده است. این نوع تجهیزات با طراحی واقعی DMZ در ساختار های سازمانی به کلی تفاوت دارند، آنها صرفا چند Rule ساده در تنظیمات روتر خانگی هستند، اما در DMZ های سازمانی، سرورها و تجهیزات حرفه ای در طراحی استفاده می شود.

در حوزه امنیت اطلاعات ممکن است DMZ به عنوان Perimeter Network نیز مطرح شود که نام دیگر همین نوع طراحی شبکه است. در اکثر سازمان های دولتی و حتی شرکت ها، سرویس هایی وجود دارد که سازمان ها قصد دارند به بیرون از شبکه ارائه دهند، مثلا وب سایت یا پورتال سازمانی، سرویس ایمیل، سرویس میزبانی وب یا حتی سرویس DNS. فرض کنید که این سرویس ها را در درون شبکه داخلی قرار بدهید و به کاربرانی که از اینترنت قصد استفاده از این سرویس ها را دارند اجازه ورود به شبکه داخلی را بدهید، این خود یک نقظه ضعف امنیتی می باشد، بنابراین همیشه برای اینگونه سرویس های عمومی استفاده از طراحی DMZ توصیه می شود.
در چنین شرایطی شما سرویس ها و سرورهای مورد نظر خود را در محیط DMZ قرار می دهید و ارتباط محدودی با شبکه داخلی برای آنها ایجاد می کنید، ارتباطی که در سطح بسیار کم و با درصد خطر کمتری نسبت به ارتباطات معمول شبکه باشد. طراحی DMZ برای محافظت از حملاتی است که از بیرون سازمان به سرویس ها انجام می شود و معمولا در این نوع طراحی خطرات شبکه داخلی سازمان از جمله Spoofing و Sniffing و. . . آنها دیده نمی شود.

اما چه سرویس هایی را ما در قسمت DMZ یا Perimeter شبکه قرار می دهیم؟ همانطور که گفتیم سرویس هایی که نیازمند دسترسی عمومی می باشند را در این منطقه از شبکه قرار می دهیم، مهمترین و معروف ترین سرویس هایی که در قسمت DMZ شبکه قرار می گیرند به شکل زیر می باشند :

۱- سرویس دهنده های وب یا Web Server ها

۲- سرویس دهنده های Voip

۳- سرویس دهنده های ایمیل یا Mail Server ها

۴- سرویس دهنده های FTP

نکته ای که در اینجا بسیار مهم است، این است که وب سرورهای سازمانی معمولا صفحات ایستا نیستند که صرفا چند صفحه باشند، بلکه صفحات دینامیکی هستند که در پس زمینه خود دارای یک پایگاه داده اطلاعاتی می باشند، این وب سرور ها باید بتوانند از این پایگاه داده استفاده کنند، قاعدتا اگر این پایگاه داده را در خود محیط DMZ قرار بدهید، کار اشتباهی خواهد بود، در این حالت پایگاه داده مورد نظر را یا در شبکه داخلی و پشت فایروال قرار می دهند و یا در پشت یک فایروال و در شبکه ای در همان طراحی DMZ قرار می دهند. در این حالت اگر هکری موفق به نفوذ به وب سایت شود، صرفا به صفحات وب سایت دسترسی پیدا می کند و نمی تواند داده ها و اطلاعات موجود در پایگاه داده را که در پشت فایروال دیگری قرار دارد را مورد هجوم قرار دهد.

سرویس های ایمیل یا همان Email Server ها نیز دارای اطلاعات کاربری و پایگاه داده خاص خود می باشند که آنها نیز بایستی محافظت شوند. آنها را در پشت یک فایروال جداگانه قرار می دهیم، توجه کنید که معمولا سرویس دهنده های ایمیل از سرویسی به نام Webmail پشتیبانی می کنند که می توان از طریق وب به آنها دسترسی داشت، شما می توانید ایمیل سرور خود را در پشت فایروال DMZ قرار داده و از طریق امکانی به نام Publishing صفحه وب ایمیل را برای دسترسی عمومی Publish کنید.