DMZ چیست؟ هدف و نحوه پیاده سازی demilitarized zone
DMZ چیست؟ هدف و نحوه پیاده سازی demilitarized zone
در امنیت شبکه، ناحیه DMZ (که بعضاً به عنوان ” demilitarized zone” نیز شناخته می شود) به عنوان یک ناحیه امنیتی برای سیستم های که نیاز به دیده شدن از طریق اینترنت دارند تعریف میگردد. سیستم های قرار گرفته در ناحیه امنیتی DMZ جزو سیستم های غیرقابل اعتماد قرار گرفته و دسترسی آنها به باقی سیستم ها توسط پالیسی های امنیتی کنترل می شود.
هدف از ایجاد DMZ چیست؟
هدف DMZ افزودن یک لایه امنیتی بیشتر به شبکه محلی سازمان است. از آنجا که سیستمهایی که بیشتر در معرض حمله قرار دارند، سیستمهایی هستند که به کاربران خارج از شبکه داخلی و از طریق اینترنت خدمات ارائه می دهند، مانند ایمیل ، سرورهای وب و سیستم نام دامنه (DNS)، در داخل ناحیه DMZ قرنطینه می شوند، از آنجا که دسترسی محدودی به شبکه داخلی دارند. سیستم های داخل DMZ می توانند با شبکه داخلی و خارجی ارتباط برقرار کنند، اما ارتباطات با سیستم های شبکه داخلی کاملاً محدود شده است.
DMZ چگونه پیاده سازی می شود؟
DMZ با استفاده از یک درگاه امنیتی (به عنوان مثال فایروال) و با ایجاد پالیسی برای فیلتر کردن ترافیک بین DMZ و شبکه خصوصی جدا شده است. DMZ خود یک دروازه امنیتی نیز در جلوی خود دارد تا بتواند ترافیک ورودی را از شبکه خارجی فیلتر کند.
هدف نهایی DMZ اجازه دسترسی به منابع شبکه های غیرقابل اعتماد در عین ایمن نگه داشتن شبکه خصوصی است.
منابعی که معمولاً در DMZ قرار می گیرند عبارتند از:
سرورهای وب: وب سرورهایی که مسئول برقراری ارتباط با یک سرور پایگاه داده داخلی هستند ممکن است لازم باشد در DMZ قرار بگیرند. این امر به اطمینان از امنیت پایگاه داده داخلی که غالباً اطلاعات حساس را ذخیره می کند کمک می کند. وب سرورها می توانند از طریق فایروال برنامه یا مستقیم با سرور پایگاه داده داخلی ارتباط برقرار کنند در حالی که هنوز در زیر چتر محافظ های DMZ قرار دارند.
سرورهای ایمیل: پیام های ایمیل فردی و همچنین بانک اطلاعاتی کاربر ساخته شده برای ذخیره اطلاعات ورود به سیستم و پیام های شخصی معمولاً بدون دسترسی مستقیم به اینترنت در سرورها ذخیره می شوند. بنابراین یک سرور ایمیل ساخته می شود یا در داخل DMZ قرار می گیرد تا با پایگاه داده ایمیل ارتباط برقرار کند و به آن دسترسی نداشته باشد بدون اینکه مستقیماً آن را در معرض ترافیک بالقوه مضر قرار دهد.
سرورهای FTP: اینها می توانند محتوای مهم سایت سازمان را میزبانی کنند و امکان تعامل مستقیم با پرونده ها را فراهم می کنند. بنابراین ، یک سرور FTP همیشه باید تا حدی از سیستمهای داخلی حیاتی جدا باشد.
یک پیکربندی demilitarized zone امنیت بیشتری را در برابر حملات خارجی ایجاد می کند، اما به طور معمول هیچ تاثیری در حملات داخلی مانند Sniffing ارتباط از طریق آنالیز کننده بسته یا جعل اطلاعات از طریق ایمیل یا روش های دیگر ندارد.
طراحی های DMZ
روشهای بی شماری برای ساخت شبکه با DMZ وجود دارد. دو روش عمده عبارتند از: محافظت با یک فایروال(که گاهی اوقات آن را مدل سه پایه می نامند) یا محافظت از طریق دو فایروال. هر یک از این سیستم ها را می توان برای ایجاد معماری های پیچیده ساخته شده برای تأمین نیازهای شبکه استفاده کرد:
فایروال تک: یک رویکرد معمولی در شبکه شامل استفاده از فایروال منفرد، با حداقل ۳ کارت شبکه است. demilitarized zone در داخل این فایروال قرار می گیرد. ردیف عملیات به شرح زیر است: کارت شبکه خارجی اتصال را از طریق ISP برقرار می کند ، شبکه داخلی توسط کارت شبکه دوم متصل می شود و ارتباطات درون demilitarized zone توسط کارت شبکه سوم انجام می شود.
فایروال دوگانه: روش امن تر استفاده از دو دیوار آتش برای ایجاد DMZ است. اولین فایروال (که به آن فایروال “frontend” گفته می شود) به گونه ای پیکربندی شده است که فقط اجازه می دهد ترافیکی که برای DMZ است. دیوار آتش دوم (که به آن دیوار آتش “backend” گفته می شود) فقط مسئول ترافیکی است که از demilitarized zone به شبکه داخلی می رود. یک روش موثر برای افزایش بیشتر حفاظت ، استفاده از دیوارهای آتش ساخته شده توسط فروشندگان جداگانه است زیرا احتمال آسیب پذیری های امنیتی آنها کمتر است. در حالی که کارآمدتر است اما اجرای این طرح در یک شبکه بزرگ می تواند هزینه بیشتری داشته باشد.
چرا ناحیه DMZ مهم است
DMZ بخش مهمی از امنیت شبکه برای کاربران فردی و سازمانهای بزرگ است. آنها با محدود کردن دسترسی از راه دور به سرورهای داخلی و اطلاعات، یک لایه امنیتی اضافی را برای شبکه رایانه فراهم می کنند که در صورت نقض آنها می تواند بسیار مضر باشد.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.