Demilitariseeritud tsoon (DMZ) on võrgusegment, mis on teistest võrkudest eraldatud. Paljud organisatsioonid kasutavad neid oma kohtvõrkude (LAN) Internetist eraldamiseks. See loob täiendava turvalisuse nende ettevõtte võrgu ja avaliku Interneti vahele. Seda saab kasutada ka ühe konkreetse masina eraldamiseks ülejäänud võrgust, nihutades selle tulemüüri kaitsest väljapoole.
Sagedased kasutused
Levinud üksused, mis paigutatakse DMZ-sse, on avalikud serverid. Näiteks kui organisatsioon haldab oma veebisaiti serveris, võib selle veebiserveri paigutada arvutisse “Demilitariseeritud tsooni”. Sel viisil, kui pahatahtlik rünnak kunagi masinat ohustab, jääb ülejäänud ettevõtte võrk ohtude eest kaitstuks. Samuti võib keegi paigutada arvuti DMZ-le väljaspool võrku, et testida ülejäänud süsteemi kaitsva tulemüüri tekitatud ühenduvusprobleeme.
Ruuteri seadistamine ja funktsionaalsus
LAN-i ühendamisel Internetti loob ruuter füüsilise ühenduse avaliku Internetiga ja tulemüüritarkvara pakub lüüsi, mis takistab pahatahtlike andmete võrku sisenemist. Üks tulemüüri port ühendub sageli sisemise aadressi abil võrguga, võimaldades üksikisikute poolt välja saadetud liiklusel Internetti jõuda. Teine port on tavaliselt konfigureeritud avaliku aadressiga, mis võimaldab Interneti-liiklusel süsteemi jõuda. Need kaks porti võimaldavad sissetulevate ja väljaminevate andmete edastamist võrgu ja Interneti vahel.
Demilitariseeritud tsooni eesmärk
DMZ-i loomisel lisab organisatsioon teise võrgusegmendi või alamvõrgu, mis on endiselt süsteemi osa, kuid ei ole otse võrku ühendatud. DMZ lisamine kasutab tulemüüri kolmandat liideseporti. See konfiguratsioon võimaldab tulemüüril vahetada andmeid nii üldvõrgu kui ka eraldatud masinaga, kasutades võrguaadressi tõlkimist (NAT). Tavaliselt ei kaitse tulemüür isoleeritud süsteemi, võimaldades sellel luua otsesemalt Interneti-ühenduse.
NAT-i funktsionaalsus
Võrguaadressi tõlkimine võimaldab teatud pordi või liidese kaudu vastuvõetud andmeid suunata määratud võrku. Näiteks kui keegi külastab organisatsiooni veebisaiti, saadetakse brauser seda saiti majutavasse serverisse. Kui see organisatsioon hoiab oma veebiserverit DMZ-s, teab tulemüür, et kogu nende veebisaidiga seotud aadressile saadetud liiklus tuleks edastada DMZ-s asuvasse serverisse, mitte otse organisatsiooni sisevõrku.
Puudused ja muud meetodid
Kuna DMZ-arvuti asub väljaspool tulemüüri kaitset, võib see olla haavatav pahatahtlike programmide või häkkerite rünnakute suhtes. Ettevõtted ja üksikisikud ei tohiks seda tüüpi süsteemis tundlikke andmeid talletada ning teadke, et selline masin võib potentsiaalselt rikkuda ja “rünnata” ülejäänud võrku. Paljud võrguspetsialistid soovitavad pordi edastamist inimestele, kellel on võrgu- või ühenduseprobleeme. See tagab konkreetse, sihipärase juurdepääsu teatud võrguportidele ilma süsteemi täielikult avamata.