setakit.com
setakit.com

شبکه DMZ چیست

شبکه DMZ

در مبحث امنیت کامپیوترها، شبکه DMZ (یا demilitarized zone) شامل خدماتی می باشد که در معرض دسترسی عموم قرار دارد و معمولا این نقطه ناامن، اینترنت می باشد.

هدف اصلی DMZ، افزودن یک لایه ی امنیتی مازاد به شبکه سازمان می باشد. یک node محافظت شده و کنترل شده ی شبکه که با شبکه ی داخلی در ارتباط است، می تواند به آن چه که در DMZ قرار دارد، دسترسی پیدا کند، در حالی که بقیه ی اجزا شبکه ی سازمان در قسمت پشت فایروال ایمن هستند.

یک شبکه DMZ که به درستی پیاده سازی شده، قادر است امنیت بیشتری را در تشخیص و کاهش نقض های امنیتی تامین کند و این کار را قبل از این که آن ها به شبکه ی داخلی یعنی جایی که اطلاعات مهم و با ارزش نگهداری می شود، برسند، انجام می دهد.


در این مقاله می خوانید:

هدف شبکه DMZ

طرح های DMZ

اهمیت شبکه DMZ

مشاهده فیلم آموزشی DMZ


هدف شبکه DMZ

شبکه DMZ به منظور ایجاد امنیت برای هاست هایی که بیشتر در معرض خطر هستند، ایجاد شده است. این هاست ها معمولا شامل خدماتی می شوند که به قسمت خارج از local area network مربوط می گردد. رایج ترین انواع این خدمات ایمیل، سرورهای وب و سرورهای DNS می باشد. از آن جا که احتمال حمله زیاد است، آن ها در قسمت زیر مجموعه های تحت کنترل شبکه قرار می گیرند تا در صورت به خطر افتادن بقیه ی اجزا شبکه، از آن ها محافظت کنند.

هاست های داخل DMZ، دسترسی به سایر دستگاه های درون شبکه را به شدت کنترل می کند. دلیل آن این است که داده هایی که از DMZ عبور کرده اند، چندان ایمن نیستند. به علاوه، ارتباط بین هاست های داخل DMZ و شبکه خارجی، در جهت افزایش امنیت منطقه ی مرزی (border zone) محدود شده است. این امر موجب می شود هاست های درون شبکه ی محافظت شده با شبکه های خارجی و داخلی در تعامل باشند، در حالی که فایروال، تمام ترافیک های مشترک بین DMZ و شبکه ی داخلی را از هم جدا نموده و مدیریت می کند. به طور معمول، یک فایروال مازاد، مسئولیت امنیت DMZ را به هنگام قرار گرفتن در معرض شبکه ی خارجی بر عهده می گیرد.

بهتر است کلیه ی خدمات قابل دسترس برای کاربران در جهت ارتباط با شبکه های خارجی در DMZ قرار گیرد. متداول ترین نوع این خدمات شامل موارد ذیل می باشد:

  • سرورهای وب: سرورهای وب، مسئول حفظ ارتباط با سرور پایگاه داده های داخلی که ممکن است داخل DMZ قرار گیرد، می باشند. این امر موجب اطمینان خاطر از امنیت پایگاه داده ها می شود که غالبا اطلاعات مهم و حیاتی در آن ها نگهداری می شود. سپس سرورهای وب می توانند با سرورهای پایگاه داده های داخلی ار طریق فایروال و یا به صورت مستقیم در تعامل باشند، در حالی که هنوز هم تحت محافظت DMZ هستند.
  • سرورهای ایمیل: پیام های شخصی ایمیل و همچنین پایگاه داده های کاربر که برای ذخیره اطلاعات ورود به سیستم و پیام های شخصی ایجاد شده اند، معمولا بر روی سرورها و بدون دسترسی مستقیم به اینترنت ذخیره می شوند. بنابراین، یک سرور ایمیل در داخل DMZ قرار می گیرد تا بتواند با پایگاه داده های ایمیل ارتباط برقرار کند و به آن دسترسی پیدا کند، بدون این که آن را در معرض ترافیک مضر قرار دهد.
  • سرورهای FTP: این سرورها می توانند میزبان محتوای حیاتی و مهم بر روی سایت های سازمان باشند. همچنین امکان تعامل مستقیم با فایل ها را نیز ایجاد می کند. بنابراین، یک سرور FTP بهتر است همیشه مقداری از سیستم های داخلی مهم جدا باشد.

تنظیمات و پیکربندی DMZ، امنیت بیشتری را در مقایل حملات خارجی تامین می کند، اما معمولا در مقابل حملات داخلی این گونه نیست.

طرح های DMZ

راه های زیادی برای ایجاد شبکه به وسیله ی یک DMZ وجود دارد. دو روش اصلی شامل یک فایروال واحد و دو فایروال است. هر یک از این روش ها می توانند جهت ایجاد یک ساختار پیچیده، در راستای برآوردن نیازهای شبکه، مورد استفاده قرار گیرند.

  • یک فایروال واحد: رویکردی در ساختار شبکه است که شامل استفاده از یک فایروال واحد و حداقل سه رابط شبکه می گردد. DMZ را می توان داخل این فایروال قرار داد. مراحل این عملیات به قرار زیر است: دستگاه شبکه خارجی، ارتباط را از طریق ISP برقرار می کند و شبکه ی داخلی توسط دستگاه دوم متصل می شود و همچنین کانکشن داخل DMZ توسط یک دستگاه سوم اداره می شود.
  • فایروال دوتایی: این روش ایجاد DMZ، ایمن تر از تک فایروالی می باشد. فایروال اول (که به آن فایروال fronted نیز گفته می شود) طوری تنظیم می شود که تنها ترافیک هایی که مقصدشان DMZ می باشد، مجاز باشند. فایروال دوم (که به آن فایروال backend گفته می شود) مسئول ترافیکی است که از DMZ به شبکه ی داخلی می رود. یک روش موثر جهت افزایش امنیت، استفاده از فایروال های کمپانی های مختلف می باشد، زیرا احتمال آسیب پذیری در کمترین حالت ممکن قرار می گیرد. قابل ذکر است، پیاده سازی این روش موثر برای شبکه های بزرگ، هزینه های زیادی در بر دارد.

چرا شبکه های DMZ مهم هستند؟

در بسیاری از شبکه های خانگی، دستگاه های دارای اینترنت در اطراف یک local area network ساخته شده اند که از طریق روتر broadband به اینترنت دسترسی دارند. با این حال، روتر هم به عنوان یک نقطه اتصال (connection point) و هم یک firewall عمل می کند و  به طور خودکار فیلترینگ ترافیک را انجام می دهد تا مطمئن شود تنها پیام های ایمن به local area network وارد می گردند. بنابراین، یک DMZ در یک شبکه ی خانگی را می توان با افزودن یک فایروال اختصاصی بین local area network و روتر ایجاد نمود. اگر چه این ساختار، پرهزینه تر است، اما می تواند از دستگاه های داخلی در برابر حملات پیشرفته خارجی محافظت نماید.

DMZها بخش مهمی از امنیت شبکه برای کاربران شخصی و همین طور برای سازمان ها محسوب می شوند. عملکرد آن ها به گونه ای است که با محدود کردن دسترسی های از راه دور به سرورهای داخلی و اطلاعات، امنیت بیشتری را برای شبکه های کامپیوتری تامین می کنند. چنانچه دسترسی به این سرورها و داده ها رخ دهد، اثرات جبران ناپذیری خواهد داشت.

شبکه DMZ چه کاربردی دارد؟

سایر مطالب مرتبط
    شبکه anycast چیست    DNS چیست         تفاوت NFS و CIFS

    شبکه anycast چیست                شبکه DNS چیست                تفاوت CIFS و NFS در شبکه