Strefa zdemilitaryzowana (DMZ, demilitarized zone) to miejsce, gdzie umieszczamy serwery, do których dostęp będą mieli użytkownicy, którym nie do końca powinniśmy ufać. Poprzez izolację serwera w DMZ, możemy ukryć lub zablokować dostęp do reszty naszej sieci. Możemy wciąż mieć dostęp do serwera poprzez internet, ale nie jesteśmy w stanie uzyskać dostępu do zasobów pozostałych obszarów sieci. Zapewnia to dodatkową warstwę bezpieczeństwa sieci wewnętrznej, uniemożliwiając dostęp intruzom do prywatnych danych.
Każda usługa, która powinna być udostępniona użytkownikom zewnętrznym powinna być umieszczona w DMZ. Najczęściej są to serwery www. Strefa ta powinna zostać zabezpieczona, ponieważ wystawiona jest bezpośrednio na ataki hakerów. Kiedy chcemy oddzielić publiczne informacje od prywatnych DMZ nam to umożliwi.
Najprostszym sposobem, aby stworzyć strefę zdemilitaryzowaną jest użyć firewalla, który dane będzie przesyłał w trzech kierunkach:
- do sieci wewnętrznej
- do sieci zewnętrznej
- do danych, które chcemy udostępnić
Tutaj powinniśmy zdecydować jaki ruch gdzie trafia, na przykład ruch HTTP powinien zostać przekierowany do DMZ.
Należy pamiętać, żeby nie trzymać danych prywatnych (np. dane firmowe) w DMZ. Wszystko o wartości dla nas, czy firmy powinno być trzymane w wydzielonej strefie prywatnej LAN.
Mamy tutaj przykładową infrastrukturę. Zastosowano tutaj wydzielone strefy DMZ i LAN, podwójny firewall, router brzegowy i odpowiednio systemy IDS. Powinniśmy stworzyć reguły dla ruchu pomiędzy DMZ, LAN a Internetem jak na przykład które porty czy usługi powinny być dozwolone.
Ciekawa wydaje się opcja zastosowania Stateful Packet Inspection Firewall, który będzie dbał o bezpieczeństwo usług i użytkowników sieci wewnętrznej. Pozwoli on na ruch z sieci zewnętrznej do wewnętrznej tylko pod warunkiem, że będzie to na przykład odpowiedź na żądanie z sieci wewnętrznej.
