DMZ (Demilitarized Zone, strefa zdemilitaryzowana) to wyizolowany segment sieci, który działa jako strefa buforowa między niezaufanym internetem a wrażliwą siecią wewnętrzną organizacji. Głównym celem DMZ jest umieszczenie publicznie dostępnych usług w oddzielnej podsieci, gdzie w przypadku włamania atakujący nie uzyska bezpośredniego dostępu do wewnętrznych zasobów.
DMZ jest chroniona przez dwie zapory sieciowe: zewnętrzną, która filtruje ruch z internetu, oraz wewnętrzną, która oddziela DMZ od sieci lokalnej. Jeśli serwer w DMZ zostanie skompromitowany, atakujący pozostaje uwięziony w strefie buforowej bez możliwości dostępu do wrażliwych danych w sieci wewnętrznej. Reguły firewalla są konfigurowane tak, aby blokować wszelkie połączenia inicjowane z DMZ do sieci wewnętrznej, przy jednoczesnym zezwoleniu na kontrolowany ruch między DMZ a internetem.
Kiedy używać DMZ
DMZ należy wdrożyć w następujących sytuacjach:
- Hosting serwerów publicznych – gdy prowadzisz własny serwer WWW, serwer e-mail lub FTP, które muszą być dostępne z internetu
- Serwery gier online – aby zapewnić dostęp graczom z zewnątrz bez narażania głównej sieci domowej
- Kamery IP i monitoring – urządzenia wymagające dostępu zdalnego powinny być izolowane od reszty sieci
- Środowiska testowe – gdy testujesz aplikacje webowe i potrzebujesz bezpiecznej izolacji
Kiedy nie używać DMZ
Unikaj umieszczania w DMZ urządzeń lub usług o niezweryfikowanym poziomie bezpieczeństwa. W wielu przypadkach prostsze rozwiązania jak port forwarding lub VPN mogą być wystarczające bez potrzeby tworzenia dedykowanej strefy DMZ.
