شبکه dmz چیست؟

در دنیای شبکه dmz که مخفف عبارت Demilitarized Zone است، شبکه‌‌های غیر نظامی را نشان می‌دهد. این شبکه‌ها که به صورت طبقه بندی شده هستند، نقش بزرگی را در افزایش امنیت سازمان‌ها بازی می‌کنند.

به طور کلی می‌توان گفت که dmz یکی از اصلی‌ترین مفاهیم در شبکه محسوب می‌شود. به همین دلیل افراد فعال در این زمینه باید کاملا با dmz آشنا باشند تا بتوانند شبکه‌های بی‌عیب و نقصی را به وجود بیاورند. همچنین این شبکه ویژگی‌های منحصر به فردی دارد که باید بشناسید.

هدف شبکه DMZ

شبکه DMZ به منظور ایجاد امنیت برای هاست هایی که بیشتر در معرض خطر هستند، ایجاد شده است. این هاست ها معمولا شامل خدماتی می شوند که به قسمت خارج از local area network مربوط می گردد.

رایج ترین انواع این خدمات ایمیل، سرورهای وب و سرورهای DNS می باشد. از آن جا که احتمال حمله زیاد است، آن ها در قسمت زیر مجموعه های تحت کنترل شبکه قرار می گیرند تا در صورت به خطر افتادن بقیه ی اجزای شبکه، از آن ها محافظت کنند.

هاست های داخل DMZ، دسترسی به سایر دستگاه های درون شبکه را به شدت کنترل می کند. دلیل آن این است که داده هایی که از DMZ عبور کرده اند، چندان ایمن نیستند.

این امر موجب می شود هاست های درون شبکه ی محافظت شده با شبکه های خارجی و داخلی در تعامل باشند، در حالی که فایروال، تمام ترافیک های مشترک بین DMZ و شبکه ی داخلی را از هم جدا نموده و مدیریت می کند.

متداول ترین خدمات ارائه شده توسط شبکه DMZ به کاربران

سرورهای وب:
سرورهای وب، مسئول حفظ ارتباط با سرور پایگاه داده های داخلی که ممکن است داخل DMZ قرار گیرد، می باشند. این امر موجب اطمینان خاطر از امنیت پایگاه داده ها می شود که غالبا اطلاعات مهم و حیاتی در آن ها نگهداری می شود. سپس سرورهای وب می توانند با سرورهای پایگاه داده های داخلی ار طریق فایروال و یا به صورت مستقیم در تعامل باشند، در حالی که هنوز هم تحت محافظت DMZ هستند.

سرورهای ایمیل:
پیام های شخصی ایمیل و همچنین پایگاه داده های کاربر که برای ذخیره اطلاعات ورود به سیستم و پیام های شخصی ایجاد شده اند، معمولا بر روی سرورها و بدون دسترسی مستقیم به اینترنت ذخیره می شوند. بنابراین، یک سرور ایمیل در داخل DMZ قرار می گیرد تا بتواند با پایگاه داده های ایمیل ارتباط برقرار کند و به آن دسترسی پیدا کند، بدون این که آن را در معرض ترافیک مضر قرار دهد.

سرورهای FTP:
این سرورها می توانند میزبان محتوای حیاتی و مهم بر روی سایت های سازمان باشند. همچنین امکان تعامل مستقیم با فایل ها را نیز ایجاد می کند. بنابراین، یک سرور FTP بهتر است همیشه مقداری از سیستم های داخلی مهم جدا باشد.

تنظیمات و پیکربندی DMZ، امنیت بیشتری را در مقایل حملات خارجی تامین می کند، اما معمولا در مقابل حملات داخلی این گونه نیست.

پیاده سازی سرویس VoIP
سرویس VoIP (Voice over ip) که به تازگی محبوبیت زیادی پیدا کرده است، یکی از کاربردهای شبکه dmz محسوب می‌شود.خدمات VoIP به شدت در معرض حمله قرار دارند. به همین دلیل ممکن است که تماس‌های کاربران شنود شوند. اما زمانی که چنین خدماتی با امنیت dmz همراه می‌شوند، نگرانی‌ها بابت شنود یا سایر خطرات احتمالی کمتر خواهد شد.

پروتکل های امنیتی مانند HTTP

کافیست نگاهی به ابتدای نام سایت‌ها در ابتدای نوار آدرس مرورگر خود داشته باشید. شبکه dmz می‌تواند خدمات و پروتکل‌های امنیتی مانند HTTP را ارائه دهند.

البته که سایر پروتکل‌ها در شبکه dmz به سادگی در دسترس هستند و می‌توانند تاثیر شگفت انگیزی روی امنیت شبکه بگذارند. برای مثال کارشناسان شبکه پروتکل‌های FTP، Telnet و SMTP دسترسی دارند. بدیهی است که این پروتکل هرکدام به صورت جداگانه مزایایی را به همراه می‌آورند.

پنل های ثبت احراز هویت
شبکه‌های dmz که با دو فایروال راه اندازی می‌شوند، گزینه خوبی برای طراحی پنل‌ها یا سیستم‌های احراز هویت است. در این معماری که اصطلاحا Back To Back نام دارد، دو فایروال احراز هویت کاربران را با امنیت بیشتری همراه می‌کند. البته دیده شده که برخی از طراحان شبکه از همان معماری Three Legged Model یا تک فایروال برای طراحی سیستم‌های احراز هویت کمک می‌گیرند. 

خدمات VPN
نرم افزارها و سایت‌هایی که خدمات Vpn را ارائه می‌کنند، معمولا dmz را در شبکه خود دارند. البته این کار تنها توسط پلتفرم‌هایی انجام می‌شود که برای امنیت کاربرانشان ارزش زیادی قائل هستند؛ زیرا معمولا سرویس‌های VPN اطلاعات شخصی کاربران را در معرض سرقت هکرها قرار می‌دهند. همچنین dmz برای نقاط انتهایی VPN نیز کاربردهای زیادی دارد.

گیت ویت های اپلیکیشن
زمانی که تلفن‌های هوشمند همه‌گیر شدند، گیت‌ویت‌های اپلیکیشن یا اتصال آن‌ها به سرورها نیز اهمیت بیشتری شدند. در این سیستم‌ها نرم افزار با گیت‌ویت به سرور اصلی متصل شده و اطلاعات یا خدمات مختلفی را در اختیار کاربر قرار می‌دهد.

مزایا طراحی DMZ

اجبار کاربران داخلی جهت استفاده از اینترنت از طریق Proxy Server
کاهش نیاز به پهنای باند بر روی شبکه اینترنت به علت استفاده از قابلیت cache در پروکسی سرور
متمرکز سازی فرآیند فیلترکردن وب سایت ها و محتویات وب
ساده سازی فرآیند مانیتورینگ اینترنت مصرفی کاربران

معایب شبکه DMZ

یکی از معایب استفاده از طراحی شبکه DMZ این است که قابلیت دسترسی به هیچ داده ذخیره شده ای در سرور شبکه خصوصی در منطقه DMZ وجود ندارد. در صورت لزوم برای دسترسی سرورهای منطقه DMZ به داده های ذخیره شده، دو کار را باید انجام داد:

فراهم کردن ارتباط به سرور وب به صورت دستی جهت upload کردن داده
استفاده از دو منطقه DMZ جداگانه Anonymous DMZ و Authenticated DMZ که جداسازی اطلاعات عمومی از خصوصی را انجام می دهد.

روش نصب dmz در سرورها

انتخاب سرور مناسب
در قدم اول باید دقت داشته باشید که dmz روی یک قطعه متفاوت از شبکه باید پیاده سازی شود. یعنی باید یک سرور را برای شبکه dmz در نظر بگیرید و سایر سرویس‌ها را در سرور دیگری قرار دهید.

ایجاد اینترفیس های کافی
 معماری Back To Back شبکه dmz نیاز به سه اینترفیس دارد.

استفاده از فایروال
بدون شک پیکربندی فایروال مهم‌ترین کاری است که در هنگام نصب dmz روی سرور انجام می‌شود. اول از همه دقت کنید که تمامی داده‌های مهم و پایگاه‌های داده داخلی باید در پشت فایروال قرار بگیرند.