Demilitarizuota zona (DMZ) yra tinklo segmentas, atskirtas nuo kitų tinklų. Daugelis organizacijų juos naudoja vietiniams tinklams (LAN) atskirti nuo interneto. Tai suteikia papildomos apsaugos tarp jų įmonės tinklo ir viešojo interneto. Jis taip pat gali būti naudojamas atskirti vieną konkretų įrenginį nuo likusio tinklo, perkeliant jį už ugniasienės apsaugos ribų.
Dažnas naudojimas
Įprasti elementai, dedami į DMZ, yra viešieji serveriai. Pavyzdžiui, jei organizacija tvarko savo svetainę serveryje, tas žiniatinklio serveris gali būti dedamas į kompiuterio „Demilitarizuotą zoną“. Tokiu būdu, jei kenkėjiška ataka kada nors pažeidžia įrenginį, likusi įmonės tinklo dalis išlieka apsaugota nuo pavojaus. Kažkas taip pat gali įdėti kompiuterį į DMZ už tinklo ribų, kad patikrintų, ar nėra ryšio problemų, kurias sukuria užkarda, apsauganti likusią sistemos dalį.
Maršrutizatoriaus sąranka ir funkcionalumas
Jungiant LAN prie interneto, maršrutizatorius užtikrina fizinį ryšį su viešuoju internetu, o ugniasienės programinė įranga siūlo šliuzus, kad į tinklą nepatektų kenkėjiškų duomenų. Vienas ugniasienės prievadas dažnai jungiasi prie tinklo naudodamas vidinį adresą, leidžiantį asmenų siunčiamam srautui pasiekti internetą. Kitas prievadas paprastai sukonfigūruojamas viešuoju adresu, kuris leidžia interneto srautui pasiekti sistemą. Šie du prievadai leidžia įeinantiems ir išeinantiems duomenims susisiekti tarp tinklo ir interneto.
Demilitarizuotos zonos paskirtis
Kurdama DMZ, organizacija prideda kitą tinklo segmentą arba potinklį, kuris vis dar yra sistemos dalis, bet nėra tiesiogiai prijungtas prie tinklo. Pridėjus DMZ, naudojamas trečiasis ugniasienės sąsajos prievadas. Ši konfigūracija leidžia ugniasienei keistis duomenimis tiek su bendruoju tinklu, tiek su atskirtu įrenginiu naudojant tinklo adresų vertimą (NAT). Užkarda paprastai neapsaugo izoliuotos sistemos, leidžianti jai tiesiogiai prisijungti prie interneto.
NAT funkcionalumas
Tinklo adresų vertimas leidžia per tam tikrą prievadą arba sąsają gautus duomenis nukreipti į nurodytą tinklą. Pavyzdžiui, kai kas nors apsilanko organizacijos svetainėje, naršyklė siunčiama į serverį, kuriame yra svetainė. Jei ši organizacija laiko savo žiniatinklio serverį DMZ, ugniasienė žino, kad visas srautas, siunčiamas adresu, susietu su jų svetaine, turėtų būti perduodamas serveriui, esančiam DMZ, o ne tiesiai į organizacijos vidinį tinklą.
Trūkumai ir kiti metodai
Kadangi DMZ kompiuteris neapsaugotas užkardos, jis gali būti pažeidžiamas kenkėjiškų programų ar įsilaužėlių atakų. Įmonės ir asmenys neturėtų saugoti neskelbtinų duomenų tokio tipo sistemose ir žinoti, kad toks įrenginys gali būti sugadintas ir „atakuoti“ likusią tinklo dalį. Daugelis tinklų specialistų rekomenduoja „prievado persiuntimą“ žmonėms, turintiems tinklo ar ryšio problemų. Tai suteikia specifinę, tikslinę prieigą prie tam tikrų tinklo prievadų, visiškai neatveriant sistemos.