شبکه dmz چیست؟
توسط Fateme Zahra
در دنیای شبکه dmz که مخفف عبارت Demilitarized Zone است، شبکههای غیر نظامی را نشان میدهد. این شبکهها که به صورت طبقه بندی شده هستند، نقش بزرگی را در افزایش امنیت سازمانها بازی میکنند.
به طور کلی میتوان گفت که dmz یکی از اصلیترین مفاهیم در شبکه محسوب میشود. به همین دلیل افراد فعال در این زمینه باید کاملا با dmz آشنا باشند تا بتوانند شبکههای بیعیب و نقصی را به وجود بیاورند. همچنین این شبکه ویژگیهای منحصر به فردی دارد که باید بشناسید.
هدف شبکه DMZ
شبکه DMZ به منظور ایجاد امنیت برای هاست هایی که بیشتر در معرض خطر هستند، ایجاد شده است. این هاست ها معمولا شامل خدماتی می شوند که به قسمت خارج از local area network مربوط می گردد.
رایج ترین انواع این خدمات ایمیل، سرورهای وب و سرورهای DNS می باشد. از آن جا که احتمال حمله زیاد است، آن ها در قسمت زیر مجموعه های تحت کنترل شبکه قرار می گیرند تا در صورت به خطر افتادن بقیه ی اجزای شبکه، از آن ها محافظت کنند.
هاست های داخل DMZ، دسترسی به سایر دستگاه های درون شبکه را به شدت کنترل می کند. دلیل آن این است که داده هایی که از DMZ عبور کرده اند، چندان ایمن نیستند.
این امر موجب می شود هاست های درون شبکه ی محافظت شده با شبکه های خارجی و داخلی در تعامل باشند، در حالی که فایروال، تمام ترافیک های مشترک بین DMZ و شبکه ی داخلی را از هم جدا نموده و مدیریت می کند.
متداول ترین خدمات ارائه شده توسط شبکه DMZ به کاربران
سرورهای وب:
سرورهای وب، مسئول حفظ ارتباط با سرور پایگاه داده های داخلی که ممکن است داخل DMZ قرار گیرد، می باشند. این امر موجب اطمینان خاطر از امنیت پایگاه داده ها می شود که غالبا اطلاعات مهم و حیاتی در آن ها نگهداری می شود. سپس سرورهای وب می توانند با سرورهای پایگاه داده های داخلی ار طریق فایروال و یا به صورت مستقیم در تعامل باشند، در حالی که هنوز هم تحت محافظت DMZ هستند.
سرورهای ایمیل:
پیام های شخصی ایمیل و همچنین پایگاه داده های کاربر که برای ذخیره اطلاعات ورود به سیستم و پیام های شخصی ایجاد شده اند، معمولا بر روی سرورها و بدون دسترسی مستقیم به اینترنت ذخیره می شوند. بنابراین، یک سرور ایمیل در داخل DMZ قرار می گیرد تا بتواند با پایگاه داده های ایمیل ارتباط برقرار کند و به آن دسترسی پیدا کند، بدون این که آن را در معرض ترافیک مضر قرار دهد.
سرورهای FTP:
این سرورها می توانند میزبان محتوای حیاتی و مهم بر روی سایت های سازمان باشند. همچنین امکان تعامل مستقیم با فایل ها را نیز ایجاد می کند. بنابراین، یک سرور FTP بهتر است همیشه مقداری از سیستم های داخلی مهم جدا باشد.
تنظیمات و پیکربندی DMZ، امنیت بیشتری را در مقایل حملات خارجی تامین می کند، اما معمولا در مقابل حملات داخلی این گونه نیست.
پیاده سازی سرویس VoIP
سرویس VoIP (Voice over ip) که به تازگی محبوبیت زیادی پیدا کرده است، یکی از کاربردهای شبکه dmz محسوب میشود.خدمات VoIP به شدت در معرض حمله قرار دارند. به همین دلیل ممکن است که تماسهای کاربران شنود شوند. اما زمانی که چنین خدماتی با امنیت dmz همراه میشوند، نگرانیها بابت شنود یا سایر خطرات احتمالی کمتر خواهد شد.
پروتکل های امنیتی مانند HTTP
کافیست نگاهی به ابتدای نام سایتها در ابتدای نوار آدرس مرورگر خود داشته باشید. شبکه dmz میتواند خدمات و پروتکلهای امنیتی مانند HTTP را ارائه دهند.
البته که سایر پروتکلها در شبکه dmz به سادگی در دسترس هستند و میتوانند تاثیر شگفت انگیزی روی امنیت شبکه بگذارند. برای مثال کارشناسان شبکه پروتکلهای FTP، Telnet و SMTP دسترسی دارند. بدیهی است که این پروتکل هرکدام به صورت جداگانه مزایایی را به همراه میآورند.
پنل های ثبت احراز هویت
شبکههای dmz که با دو فایروال راه اندازی میشوند، گزینه خوبی برای طراحی پنلها یا سیستمهای احراز هویت است. در این معماری که اصطلاحا Back To Back نام دارد، دو فایروال احراز هویت کاربران را با امنیت بیشتری همراه میکند. البته دیده شده که برخی از طراحان شبکه از همان معماری Three Legged Model یا تک فایروال برای طراحی سیستمهای احراز هویت کمک میگیرند.
خدمات VPN
نرم افزارها و سایتهایی که خدمات Vpn را ارائه میکنند، معمولا dmz را در شبکه خود دارند. البته این کار تنها توسط پلتفرمهایی انجام میشود که برای امنیت کاربرانشان ارزش زیادی قائل هستند؛ زیرا معمولا سرویسهای VPN اطلاعات شخصی کاربران را در معرض سرقت هکرها قرار میدهند. همچنین dmz برای نقاط انتهایی VPN نیز کاربردهای زیادی دارد.
گیت ویت های اپلیکیشن
زمانی که تلفنهای هوشمند همهگیر شدند، گیتویتهای اپلیکیشن یا اتصال آنها به سرورها نیز اهمیت بیشتری شدند. در این سیستمها نرم افزار با گیتویت به سرور اصلی متصل شده و اطلاعات یا خدمات مختلفی را در اختیار کاربر قرار میدهد.
مزایا طراحی DMZ
اجبار کاربران داخلی جهت استفاده از اینترنت از طریق Proxy Server
کاهش نیاز به پهنای باند بر روی شبکه اینترنت به علت استفاده از قابلیت cache در پروکسی سرور
متمرکز سازی فرآیند فیلترکردن وب سایت ها و محتویات وب
ساده سازی فرآیند مانیتورینگ اینترنت مصرفی کاربران
معایب شبکه DMZ
یکی از معایب استفاده از طراحی شبکه DMZ این است که قابلیت دسترسی به هیچ داده ذخیره شده ای در سرور شبکه خصوصی در منطقه DMZ وجود ندارد. در صورت لزوم برای دسترسی سرورهای منطقه DMZ به داده های ذخیره شده، دو کار را باید انجام داد:
فراهم کردن ارتباط به سرور وب به صورت دستی جهت upload کردن داده
استفاده از دو منطقه DMZ جداگانه Anonymous DMZ و Authenticated DMZ که جداسازی اطلاعات عمومی از خصوصی را انجام می دهد.
روش نصب dmz در سرورها
انتخاب سرور مناسب
در قدم اول باید دقت داشته باشید که dmz روی یک قطعه متفاوت از شبکه باید پیاده سازی شود. یعنی باید یک سرور را برای شبکه dmz در نظر بگیرید و سایر سرویسها را در سرور دیگری قرار دهید.
ایجاد اینترفیس های کافی
معماری Back To Back شبکه dmz نیاز به سه اینترفیس دارد.
استفاده از فایروال
بدون شک پیکربندی فایروال مهمترین کاری است که در هنگام نصب dmz روی سرور انجام میشود. اول از همه دقت کنید که تمامی دادههای مهم و پایگاههای داده داخلی باید در پشت فایروال قرار بگیرند.
پست های توصیه شده
کلان داده
14 مهر, 1402
تحول دیجیتال
14 مهر, 1402
تجزیه و تحلیل داده ها
14 مهر, 1402