dmz چیست و چه کاربردهایی دارد؟

dmz چیست؟ در طول روز همگی ما شاهد سطوح مختلفی از حفاظت هستیم. برای مثال در محل کارمان برای حفظ اسنادی که روی میز قرار دارند در هنگام خروج در اتاق را قفل می‌کنیم. در اینجا درب، نقش یک مانع فیزیکی را در برابر دسترسی افراد غیر مجاز ایفا می‌کند. اما ممکن است کسانی که به هر دلیلی کلید در را دارند به اسناد دست یابند. پس باید به فکر یک اقدام امنیتی اضافی مانند استفاده از یک گاوصندوق باشیم! حال اگر همین مثال را به امنیت شبکه بسط دهیم، dmz در آن همانند گاوصندوق، یک لایه امنیتی اضافی برای اطلاعات حساس به وجود می‌آورد.

مفهوم dmz

شبکه dmz چیست؟

DMZ یا منطقه غیر نظامی (Demilitarized Zone) یک زیر شبکه است که با افزودن یک لایه امنیتی اضافی به شبکه محلی داخلی یک سازمان، آن را در برابر ترافیک غیرقابل اعتماد محافظت می‌کند.

هدف شبکه dmz چیست؟

هدف نهایی یک شبکه دی ام زد این است که به یک سازمان اجازه دهد تا به شبکه‌های غیرقابل اعتماد مانند اینترنت دسترسی داشته باشد، در حالی که اطمینان حاصل کند که شبکه خصوصی یا LAN آن امن باقی می‌ماند. سازمان‌ها معمولا سرویس‌ها و منابع خارجی و همچنین سرورهای سیستم نام دامنه (DNS)، پروتکل انتقال فایل (FTP)، پست، پروکسی، صدا روی پروتکل اینترنت (VoIP) و سرورهای وب را در DMZ ذخیره می‌کنند.

این سرورها و منابع، ایزوله هستند و دسترسی محدودی به LAN دارند تا اطمینان حاصل شود که می‌توان از طریق اینترنت به آن‌ها دسترسی داشت؛ اما LAN داخلی نمی‌تواند. در نتیجه، رویکرد DMZ دسترسی مستقیم به داده‌ها و سرورهای داخلی یک سازمان از طریق اینترنت را برای هکر دشوارتر می‌کند.

یک شرکت می‌تواند با استفاده از dmz، آسیب پذیری‌های شبکه محلی (Local Area Network) خود را به حداقل برساند و محیطی امن در برابر تهدیدات ایجاد نماید. در عین حال اطمینان حاصل کند که کارکنان می‌توانند به طور موثر ارتباط برقرار کنند و اطلاعات را مستقیماً از طریق یک اتصال ایمن به اشتراک بگذارند.

مطالعه بیشتر: شبکه محلی چیست؟

کاربردهای مختلف یک شبکه dmz

کاربردهای dmz

کابرد شبکه dmz چیست؟ شبکه‌های DMZ از زمان معرفی فایروال‌ها، مرکز تامین امنیت شبکه‌های سازمانی جهانی بوده‌اند. آن‌ها با جدا نگه داشتن شبکه‌های داخلی از سیستم‌هایی که می‌توانند مورد هدف مهاجمان قرار بگیرند، از داده‌ها، سیستم‌ها و منابع حساس سازمان‌ها محافظت می‌کنند. دی ام زدها همچنین سازمان‌ها را قادر می‌سازند تا سطوح دسترسی به سیستم‌های حساس را کنترل و کاهش دهند.

شرکت‌ها به طور فزاینده‌ای از کانتینرها و ماشین‌های مجازی (VMs) برای جداسازی شبکه‌ها یا برنامه‌های خاص خود از بقیه سیستم‌ها استفاده می‌کنند. رشد فضای ابری به این معنی است که بسیاری از کسب وکارها دیگر نیازی به سرورهای وب داخلی ندارند. آن‌ها همچنین با استفاده از اپلیکیشن‌های نرم افزار به عنوان سرویس (SaaS)، بسیاری از زیرساخت‌های خارجی خود را به فضای ابری منتقل کرده‌اند.

مطالعه بیشتر: ماشین مجازی چیست؟

علاوه بر این، DMZها در مقابله با خطرات امنیتی ناشی از فناوری جدید مانند دستگاه‌های اینترنت اشیا (IoT) و سیستم‌های فناوری عملیاتی مفید هستند. این تکنولوژی‌ها تولید و ساخت را هوشمندتر می‌کنند. اما سطح تهدید گسترده‌ای را ایجاد می‌کنند. این به این دلیل است که تجهیزات OT برای مقابله یا بازیابی حملات سایبری مانند دستگاه‌های دیجیتال IoT طراحی نشده‌اند، که خطر قابل‌توجهی برای داده‌ها و منابع حیاتی سازمان‌ها ایجاد می‌کند. یک DMZ بخش‌بندی شبکه را برای کاهش خطر حمله‌ای که می‌تواند به زیرساخت‌های صنعتی آسیب برساند، فراهم می‌کند.

نحوه کار dmz

شبکه دی ام زد چگونه کار می‌کند؟

کسب و کارهایی که وب سایت عمومی دارند و مشتریان از آن استفاده می‌کنند، باید وب سرور خود را در دسترس اینترنت قرار دهند. برای حفاظت از شبکه محلی شرکت، سرور وب بر روی یک کامپیوتر جداگانه از منابع داخلی نصب می‌شود.  DMZ ارتباط بین منابع کسب‌و‌کار حفاظت شده، مانند پایگاه‌های داده داخلی، و ترافیک واجد شرایط از اینترنت را ممکن می‌سازد.

یک شبکه DMZ یک بافر بین اینترنت و شبکه خصوصی یک سازمان فراهم می‌کند. دی ام زد  توسط یک دروازه امنیتی مانند فایروال که ترافیک بین DMZ و LAN را فیلتر می‌کند، جدا می‌شود. سرور پیش فرض DMZ توسط یک دروازه امنیتی دیگر محافظت می‌شود که ترافیک ورودی از شبکه‌های خارجی را فیلتر می‌نماید.

در حالت ایده‌آل بین دو فایروال قرار دارد و راه اندازی فایروال DMZ تضمین می‌کند که بسته‌های شبکه ورودی قبل از اینکه به سرورهای میزبانی شده در DMZ برسند، توسط یک فایروال یا سایر ابزارهای امنیتی مشاهده می‌شوند. این بدان معناست که حتی اگر یک مهاجم خبره بتواند از اولین فایروال عبور کند، قبل از اینکه بتواند به یک تجارت آسیب برساند، باید به خدمات محافظت شده در DMZ نیز دسترسی داشته باشد.

اگر یک هکر قادر به نفوذ به دیواره آتش خارجی و به خطر انداختن یک سیستم در DMZ باشد، آن‌ها همچنین باید قبل از دسترسی به داده‌های حساس شرکت از یک دیواره آتش داخلی عبور کنند. یک بازیگر بد بسیار ماهر ممکن است به خوبی بتواند یک DMZ امن را نقض کند، اما منابع درون آن باید زنگ خطرهایی را به صدا درآورند که هشدار زیادی در مورد اینکه یک نقض در حال پیشرفت است، فراهم می‌کند.

اگر مهاجم بتواند به فایروال خارجی نفوذ کند و سیستمی را در DMZ به خطر بیندازد، قبل از دسترسی به داده‌های حساس شرکت، باید از یک فایروال داخلی نیز عبور کند. یک هکر کلاه سیاه و ماهر ممکن است  بتواند یک DMZ ایمن را نقض کند، اما منابع موجود در آن باید برای هشدار نقض ایمنی آلارم‌هایی را به صدا آورند و اعلام کنند که مشکل امنیتی در جریان است.

سازمان‌هایی که نیاز به رعایت مقررات دارند، گاهی اوقات یک سرور پروکسی در DMZ نصب می‌کنند. این امر آن‌ها را قادر می‌سازد تا نظارت و ثبت فعالیت کاربران را ساده انجام دهند، فیلترینگ محتوای وب را متمرکز کرده و اطمینان حاصل نمایند که کارمندان از این سیستم برای دسترسی به اینترنت استفاده می‌کنند.

سرویس‌های محافظت شده از طریق dmz

خدمات dmz چیست؟

شبکه DMZ برای محافظت از میزبان‌هایی که بیشتر در معرض حمله هستند وجود دارد. این هاست‌ها معمولا شامل سرویس‌هایی هستند که به کاربران خارج از شبکه محلی گسترش می‌یابند. رایج‌ترین نمونه‌ها عبارتند از: سرورهای ایمیل، وب و DNS. به دلیل افزایش پتانسیل حمله، آن‌ها معمولاً در یک dmz قرار می‌گیرند تا در صورت به خطر افتادن، از بقیه شبکه محافظت شود.

سرورهای وب

Web servers در خدمات dmz چیست؟ وب سرورها مسئول حفظ ارتباط با یک سرور پایگاه داده داخلی هستند و ممکن است لازم باشد در یک DMZ قرار داده شوند. این به اطمینان از ایمنی پایگاه داده داخلی، که اغلب اطلاعات حساس را ذخیره می‌کند، کمک می‌کند. سپس وب سرورها می‌توانند با سرور پایگاه داده داخلی از طریق فایروال برنامه یا مستقیماً تعامل داشته باشند، در حالی که همچنان تحت چتر حفاظت‌های DMZ قرار دارند.

سرورهای ایمیل

پیام‌های ایمیل فردی و همچنین پایگاه داده کاربر ساخته شده برای ذخیره اطلاعات ورود و پیام‌های شخصی، معمولاً بدون دسترسی مستقیم به اینترنت در سرورها ذخیره می‌شوند. بنابراین، یک سرور ایمیل برای تعامل و دسترسی به پایگاه داده ایمیل بدون اینکه مستقیماً در معرض ترافیک بالقوه مضر قرار گیرد، در داخل DMZ ساخته یا قرار می‌گیرد.

سرورهای ftp

FTP servers در شبکه dmz چیست؟ سرورهای ftp می‌توانند محتوای مهم را در سایت سازمان میزبانی کنند و امکان تعامل مستقیم با فایل‌ها را فراهم نمایند. بنابراین، یک سرور FTP همیشه باید تا حدی از سیستم‌های داخلی مهم جدا باشد.

چرا شبکه‌های dmz مهم هستند؟

در بسیاری از شبکه‌های خانگی، دستگاه‌های متصل به اینترنت در اطراف یک شبکه محلی ساخته می‌شوند که از یک روتر باند پهن به اینترنت دسترسی دارند. با این حال، روتر هم به عنوان یک نقطه اتصال و هم یک فایروال عمل می‌کند و فیلترینگ ترافیک را خودکار می‌کند تا اطمینان حاصل شود که تنها پیام‌های ایمن وارد شبکه محلی می‌شوند. بنابراین در یک شبکه خانگی، یک DMZ می‌تواند با اضافه کردن یک فایروال اختصاصی، بین شبکه منطقه محلی و روتر ساخته شود. این ساختار گران‌تر است؛ اما می‌تواند به محافظت بهتر از دستگاه‌های داخلی در برابر حملات پیچیده کمک کند.

DMZ یک بخش ضروری از حفاظت شبکه هم برای کاربران فردی و هم برای سازمان‌های بزرگ است. آن‌ها با محدود کردن دسترسی از راه دور به سرورها و اطلاعات داخلی، یک لایه امنیتی اضافی برای شبکه کامپیوتری فراهم می‌کنند که در صورت رخنه می‌تواند بسیار مخرب باشد.

معماری دی ام زد

معماری و طرح‌های dmz

خب با تعریف و کاربردهای دی ام زد آشنا شدیم. معماری شبکه dmz چیست و چگونه است؟ DMZ یک شبکه گسترده ” wide-open network ” است اما چندین رویکرد طراحی و معماری وجود دارد که از آن محافظت می‌کند. یک DMZ می‌تواند به چندین روش طراحی شود، از یک طراحی با دیواره آتش منفرد (Single firewall) گرفته تا داشتن دیواره آتش دوگانه و چندگانه. اکثر معماری‌های مدرن DMZ از فایروال دوگانه استفاده می‌کنند که می‌توانند برای توسعه سیستم‌های پیچیده‌تر گسترش یابند.

• فایروال تکی (Single firewall): یک DMZ با طراحی تک فایروال به سه یا چند رابط شبکه نیاز دارد. اولی شبکه خارجی است که اتصال اینترنت عمومی را به فایروال متصل می‌کند. دومی شبکه داخلی را تشکیل می‌دهد، در حالی که سومی به DMZ متصل است. قوانین مختلف ترافیکی که اجازه دسترسی به DMZ و محدود کردن اتصال به شبکه داخلی را دارند، نظارت و کنترل می‌کنند.
• فایروال دوگانه (Dual firewall): استفاده از دو فایروال با یک DMZ بین آن‌ها به طور کلی گزینه امن‌تری است. فایروال اول تنها اجازه ترافیک خارجی به DMZ را می‌دهد و فایروال دوم تنها اجازه ترافیکی را می‌دهد که از DMZ به شبکه داخلی می‌رود. یک مهاجم باید هر دو فایروال را به خطر بیندازد تا به LAN  یک سازمان دسترسی پیدا کند.

سازمان‌ها همچنین می‌توانند کنترل‌های امنیتی را برای بخش‌های مختلف شبکه تنظیم کنند. این بدان معنی است که یک سیستم تشخیص نفوذ  (IDS) یا سیستم جلوگیری از نفوذ (IPS) در یک DMZ می‌تواند برای مسدود کردن هر ترافیکی به غیر از درخواست‌های امن پروتکل انتقال ابر متن (HTTPS) به پورت ۴۴۳ پروتکل کنترل انتقال (TCP) پیکربندی شود.

مزیت‌های استفاده از dmz

مزایای dmz

مزایای استفاده از DMZ چیست؟ مزیت اصلی DMZ فراهم کردن یک شبکه داخلی با یک لایه امنیتی پیشرفته از طریق محدود کردن دسترسی به داده‌ها و سرورهای حساس است. یک DMZ بازدیدکنندگان وب سایت را قادر می‌سازد تا ضمن ایجاد یک بافر بین آن‌ها و شبکه خصوصی سازمان، از خدمات خاصی بهره‌مند شوند. البته DMZ مزایای امنیتی بیشتری را نیز ارائه می‌دهد که شامل موارد زیر می‌شوند.

• فعال سازی کنترل دسترسی: کسب‌وکارها می‌توانند دسترسی به سرویس‌های خارج از محدوده شبکه خود را از طریق اینترنت عمومی برای کاربران فراهم کنند. DMZ دسترسی به این خدمات را در حین اجرای بخش‌بندی شبکه ممکن می‌سازد تا دسترسی به شبکه خصوصی برای یک کاربر غیر مجاز دشوارتر شود. یک دی ام زد همچنین ممکن است شامل یک سرور پروکسی باشد. که جریان ترافیک داخلی را متمرکز می‌کند و نظارت و ثبت آن ترافیک را ساده می‌کند.
• جلوگیری از شناسایی شبکه DMZ: با ایجاد یک بافر بین اینترنت و یک شبکه خصوصی، مانع از انجام کار شناسایی توسط مهاجمان می‌شود. سرورهای داخل DMZ به صورت عمومی در معرض دید قرار می‌گیرند اما لایه امنیتی دیگری توسط فایروال ارائه می‌شود که مانع از دید مهاجم به درون شبکه داخلی می‌شود. حتی اگر یک سیستم DMZ به خطر بیفتد، فایروال داخلی، شبکه خصوصی را از DMZ جدا می‌کند تا آن را امن نگه دارد و شناسایی خارجی را دشوار کند.
• جعل پروتکل اینترنت (IP): مهاجمان تلاش می‌کنند تا با جعل آدرس IP و یک دستگاه تایید شده در شبکه، راه‌هایی برای دسترسی به سیستم‌ها پیدا کنند. یک DMZ می‌تواند چنین تلاش‌های جعلی را کشف و متوقف کند زیرا سرویس دیگری مشروعیت آدرس IP را تایید می‌کند. DMZ همچنین بخش بندی شبکه را برای ایجاد فضایی برای سازماندهی ترافیک و دسترسی به خدمات عمومی به دور از شبکه خصوصی داخلی فراهم می‌کند.

سخن پایانی

در طول این مقاله مفصل با هم بررسی کردیم و متوجه شدیم که dmz چیست. همچنین مزایا و کاربردهای یک شبکه dmz نیز شناختیم. معماری و خدمات دی ام زد را نیز برایتان شرح دادیم. به طور خلاصه، شبکه‌های dmz می‌توانند در حفظ امنیت سازمانی مفید باشند در حالی که به کاربران اجازه می‌دهند با اتصالات خارجی تعامل برقرار کنند. امروزه سازمان‌ها برای اکثر عملیات‌ها به وب و سرویس‌های ابری عمومی متکی هستند و تقریباً غیرممکن است که دسترسی خارجی را به طور کامل محدود نمایند. با ایجاد یک DMZ بین LAN اصلی و شبکه گسترده اینترنت، دسترسی خارجی را بدون وقفه و به شکل ایمن می‌توانند در اختیار داشته باشند.

فناوران آتیه گئومات

سوالات متداول

• کاربرد شبکه DMZ چیست؟

شبکه‌های DMZ اغلب برای ایزوله کردن و جدا نگه داشتن سیستم‌های هدف بالقوه از شبکه‌های داخلی، کاهش و کنترل دسترسی به آن سیستم‌ها توسط کاربران خارجی به کار می‌روند. همچنین میزبان منابع سازمانی است تا برخی از آن‌ها را در دسترس کاربران مجاز خارجی قرار دهد.

• چرا DMZ مهم است؟

دی ام زدها بخش مهمی از حفاظت شبکه هم برای کاربران شخصی و هم برای سازمان‌های بزرگ هستند. آن‌ها با محدود کردن دسترسی از راه دور به سرورها و اطلاعات داخلی، یک لایه امنیتی اضافی برای شبکه کامپیوتری فراهم می‌کنند که در صورت رخنه می‌تواند بسیار مخرب باشد.

• تفاوت VLAN و DMZ چیست؟

VLAN و DMZ چیزهای جداگانه‌ای هستند. VLAN به شما کمک می‌کند شبکه خود را بدون نیاز به اضافه کردن یک NIC فیزیکی جدید تقسیم بندی کنید. DMZ شبکه‌ای است که از LAN اصلی شما بخش بندی شده است.