DMZ چیست؟ مجتمع کردن دستگاه های اطراف شبکه به منظور محافظت از شبکه خصوصی مؤلفه مهمی برای طراحی امنیت محیط پیرامون است. انتخاب دستگاه ها بستگی به فاکتورهای متعددی برای هر کمپانی دارد، اما دستگاه های ضروری و لازم که باید لحاظ گردند به منظور صورت گرفتن این امنیت، روتر و فایروال هستند.   DMZ چیست ، روتر به عنوان اولین خط دفاعی عمل می کند و فایروال به عنوان ناظر ترافیک عمل می کند و فقط به ترافیک های مجاز شبکه اجازه می دهد. یک IDS یا IPS باید حتماً در محیط پیرامون شبکه لحاظ گردند تا از شبکه خصوصی در مقابل فعالیت های مخرب محافظت کنند. به طور کلی در معماری شبکه سازمان سه ناحیه وجود دارد:

    Border Network یا Internet : شبکه ای است که مستقیماً با اینترنت در تماس است.

    Perimeter Network: شبکه ای که کاربران ورودی را به سرورهای وب یا دیگر سرویس ها متصل می کند و معمولاً DMZ یا Edge Network نامیده می شود.

    Internal Network یا Private Network : شبکه داخلی سازمان است که سرورها را به یکدیگر و به کاربران داخلی متصل می کند.

این نواحی در شکل 1 نشان داده شده اند.

فایروال و DMZ

شکل 1 : نواحی مختلف یک شبکه داخلی متصل به اینترنت

یک شبکه ساده که هیچ سرویس اینترنتی برای مشتریان فراهم نکرده است محافظت کردن آن ساده تر خواهد بود. روتر و فایروال اینترنت را از شبکه خصوصی جدا می کند، IDS یا IPS همه ترافیک ها را مانیتور می کند وVPN دستیابی از راه دور را فراهم می کند. هر کدام برای دفاع در عمق محیط پیرامون لازم هستند.

پیکربندی فایروال و DMZ

شکل 2 : شبکه ساده بدون سرویس دهنده وب یا پست الکترونیک در شبکه خصوصی

پیکربندی رولهای فایروال برای اینچنین شبکه ای آسان است. فایروال دو دسته رول دارد که رول ingress و رول egress نامیده میشوند که به ترتیب مشخص میکند که ترافیک شبکه اجازه ورود و ترک را دارد. آن بخش از ترافیک شبکه که برای رسیدن به آدرس IP اختصاصی تلاش میکند باید به وسیله رولهای ingress، با استفاده از فیلترینگ استاتیک توسط روتر یا فایروال بلوکه شود.

در دوره آموزش نتورک پلاس بصورت کلی در خصوص ماهیت فایروال و نحوه عملکرد آن صحبت کرده ایم.

یک استثناء وجود دارد و آن زمانی است که یک ارتباط از راه دور از طریق سازمان، مجوز اتصال به شبکه خصوصی را دارد. ارتباطات از راه دور باید از یک ارتباط ایمن همچون VPN برای اتصال استفاده کنند.VPN باید با فایروال مجتمع گردد یا توسط یک appliance جداگانه پشت فایروال قرار گیرد.

هنگامی که سرویس های وب و پست الکترونیک در شبکه خصوصی ارائه دهنده سرویس به اینترنت هستند به طراحی پیچیده تری برای محیط پیرامون شبکه نیاز می باشد به منظور فراهم کردن محیطی امن. سرورهای وب و پست الکترونیک نسبت به حمله آسیب پذیری بیشتری دارند به خاطر پیکربندی های پیچیده و متدلوژی های برنامه نویسی نامناسب که طرح امنیت را از ابتدا با مشکل مواجه می کند. این سرورها لازم است در فضایی از شبکه خصوصی قرار گیرند، اما ایزوله باشند. این جداسازی توسط DMZ محقق می شود. یکی از روش های پیاده سازی DMZ استفاده از دو دستگاه فایروال است و در فضای بین دو فایروال DMZ subnet قرار می گیرد. هزینه اضافی و نگهداری این طراحی می تواند فقط برای شبکه هایی با پهنای باند مناسب توجیه گردد. نوعاً DMZ با استفاده از سه ارتباط روی فایروالی که برای اینترنت، DMZ و شبکه خصوصی استفاده شده است، پیاده سازی می شود. به خاطر اینکه شبکه خصوصی و شبکه DMZ به صورت فیزیکی با هم ارتباط ندارند یک IDS یا IPS باید در جلوی فایروال قرار گیرد تا تمامی ترافیک شبکه را ضبط کند. آموزش لینوکس ، یک عیب برای طراحی یک DMZ زمانی است که داده ذخیره شده در شبکه خصوصی قابل دسترسی توسط هیچ سروری که در ناحیه DMZ قرار دارند نمی باشد. چنانچه داده ذخیره شده لازم باشد که در دسترس سروری در ناحیه DMZ قرار گیرد دو سناریو وجود دارد. سناریوی اول ارتباط دستی به سرور وب به منظور اپلود کردن داده است. سناریو دوم استفاده از دو ناحیه DMZ جداگانه است که اطلاعات عمومی را از اطلاعات خصوصی جدا میکند که به ترتیب Anonymous DMZ و Authenticated DMZ نامیده میشود و در شکل 3 مشاهده میگردد.

پیکربندی فایروال و DMZ

شکل 3 : طراحی DMZ دوگانه به منظور جداسازی اطلاعات خصوصی و عمومی

در ادامه به معماریهای مختلف طراحی ناحیه DMZ با استفاده از فایروال می پردازیم. به طور کلی فایروال ها نقش اساسی در ایجاد DMZ ایفا می کنند. به عنوان مثال در سه معماری مختلف زیر که برای ایجاد DMZ ارائه شده است، از فایروال بهره گرفته شده است.