شبکه DMZ
در مبحث امنیت کامپیوترها، شبکه DMZ یا ( demilitarized zone) شامل خدماتی می باشد که در معرض دسترسی عموم قرار دارد و معمولا این نقطه ناامن، اینترنت می باشد.
هدف اصلی DMZ، افزودن یک لایه ی امنیتی مازاد به شبکه سازمان می باشد. یک node محافظت شده و کنترل شده ی شبکه که با شبکه ی داخلی در ارتباط است، می تواند به آن چه که در DMZ قرار دارد، دسترسی پیدا کند، در حالی که بقیه ی اجزا شبکه ی سازمان در قسمت پشت فایروال ایمن هستند.
یک شبکه DMZ که به درستی پیاده سازی شده، قادر است امنیت بیشتری را در تشخیص و کاهش نقض های امنیتی تامین کند و این کار را قبل از این که آن ها به شبکه ی داخلی یعنی جایی که اطلاعات مهم و با ارزش نگهداری می شود، برسند، انجام می دهد.
هدف شبکه DMZ
شبکه DMZ به منظور ایجاد امنیت برای هاست هایی که بیشتر در معرض خطر هستند، ایجاد شده است. این هاست ها معمولا شامل خدماتی می شوند که به قسمت خارج از local area network مربوط می گردد. رایج ترین انواع این خدمات ایمیل، سرورهای وب و سرورهای DNS می باشد. از آن جا که احتمال حمله زیاد است، آن ها در قسمت زیر مجموعه های تحت کنترل شبکه قرار می گیرند تا در صورت به خطر افتادن بقیه ی اجزا شبکه، از آن ها محافظت کنند.
هاست های داخل DMZ، دسترسی به سایر دستگاه های درون شبکه را به شدت کنترل می کند. دلیل آن این است که داده هایی که از DMZ عبور کرده اند، چندان ایمن نیستند. به علاوه، ارتباط بین هاست های داخل DMZ و شبکه خارجی، در جهت افزایش امنیت منطقه ی مرزی (border zone) محدود شده است. این امر موجب می شود هاست های درون شبکه ی محافظت شده با شبکه های خارجی و داخلی در تعامل باشند، در حالی که فایروال، تمام ترافیک های مشترک بین DMZ و شبکه ی داخلی را از هم جدا نموده و مدیریت می کند. به طور معمول، یک فایروال مازاد، مسئولیت امنیت DMZ را به هنگام قرار گرفتن در معرض شبکه ی خارجی بر عهده می گیرد.
بهتر است کلیه ی خدمات قابل دسترس برای کاربران در جهت ارتباط با شبکه های خارجی در DMZ قرار گیرد. متداول ترین نوع این خدمات شامل موارد ذیل می باشد:
- سرورهای وب: سرورهای وب، مسئول حفظ ارتباط با سرور پایگاه داده های داخلی که ممکن است داخل DMZ قرار گیرد، می باشند. این امر موجب اطمینان خاطر از امنیت پایگاه داده ها می شود که غالبا اطلاعات مهم و حیاتی در آن ها نگهداری می شود. سپس سرورهای وب می توانند با سرورهای پایگاه داده های داخلی ار طریق فایروال و یا به صورت مستقیم در تعامل باشند، در حالی که هنوز هم تحت محافظت DMZ هستند.
- سرورهای ایمیل: پیام های شخصی ایمیل و همچنین پایگاه داده های کاربر که برای ذخیره اطلاعات ورود به سیستم و پیام های شخصی ایجاد شده اند، معمولا بر روی سرورها و بدون دسترسی مستقیم به اینترنت ذخیره می شوند. بنابراین، یک سرور ایمیل در داخل DMZ قرار می گیرد تا بتواند با پایگاه داده های ایمیل ارتباط برقرار کند و به آن دسترسی پیدا کند، بدون این که آن را در معرض ترافیک مضر قرار دهد.
- سرورهای FTP: این سرورها می توانند میزبان محتوای حیاتی و مهم بر روی سایت های سازمان باشند. همچنین امکان تعامل مستقیم با فایل ها را نیز ایجاد می کند. بنابراین، یک سرور FTP بهتر است همیشه مقداری از سیستم های داخلی مهم جدا باشد.
تنظیمات و پیکربندی DMZ، امنیت بیشتری را در مقایل حملات خارجی تامین می کند، اما معمولا در مقابل حملات داخلی این گونه نیست.
DMZها بخش مهمی از امنیت شبکه برای کاربران شخصی و همین طور برای سازمان ها محسوب می شوند. عملکرد آن ها به گونه ای است که با محدود کردن دسترسی های از راه دور به سرورهای داخلی و اطلاعات، امنیت بیشتری را برای شبکه های کامپیوتری تامین می کنند. چنانچه دسترسی به این سرورها و داده ها رخ دهد، اثرات جبران ناپذیری خواهد داشت.

کاربرد شبکه DMZ
شبکهی DMZ از همان ابتدای معرفی فایروالها، یکی از روشهای فراگیر حفاظت از امنیت اطلاعات شبکههای سازمانی بهحساب آمده است. همانطور که پیشتر گفته شد مهمترین کاربرد شبکهی منطقه غیرنظامی حفاظت از دادههای حساس سازمانی و سیستمهای شبکهی محلی و منابع داخلی سازمان است که سازوکاری مشابه با خندقهای اطراف قصرها و شهرها در هزاران سال پیش دارد.
کسبوکارهای زیادی امروزه در حال استفاده از ماشینهای مجازی هستند تا به کمک آنها شبکههای خود یا اپلیکیشنهای خاصی را از سایر سیستمها جدا کنند. علاوه بر این، رشد فضاهای ابری با سرویسهای سریع و هزینهی کمتر باعث شده است که کسبوکارها دیگر به راهاندازی سرورهای داخلی نیاز نداشته باشند.
از سویی دیگر، اغلب کسبوکارها با بهکارگیری روش نرمافزار بهعنوان یک سرویس (Software as a service) که آن را با سرنام SaaS نشان میدهند و میتوان از آن به تعبیر «اجاره نرمافزار» و «رایانش ابری» نیز یاد کرد، بخش اعظم زیرساختهای خارجی خود را به فضاهای ابری منتقل کردند.
برای مثال، یک سرویس ابری مثل مایکروسافت آژور برای سازمانها امکانی را فراهم میکند که اپلیکیشنها را روی به صورت on-premises (رایانش درون سازمانی و محلی) و روی شبکههای مجازی خصوصی (ویپیان) راهاندازی کنند تا از رویکرد ترکیبی بهرهمند شوند و شبکهی DMZ در بین این دو استقرار یابد. این روش همچنین برای زمانی کاربردی است که ترافیک خروجی نیاز به بازرسی دارد یا باید ترافیک بین مرکز داده on-premises و شبکههای مجازی کنترل شود.
علاوهبراینها، شبکهی DMZ در برخورد با خطرات امنیتی در فناوریهای جدید مثل دستگاههای اینترنت اشیاء (IoT) و سیستمهای فناوری عملیاتی (Operational Technology) که تولید و ساخت محصولات را هوشمندسازی میکنند؛ اما موجب افزایش گسترهی خطرات تهدیدی خواهند شد نیز کارآمد ظاهر شده است.
علت این است که تجهیزات سیستمهای فناوری عملیاتی (OT) برای مقابله یا بازیابی از حملات سایبری مانند دستگاههای IoT طراحی نشدند و در نتیجه باعث شدهاند که با بهکارگیری از تجهیزات سیستم عملیاتی دادهها و منابع حیاتی سازمانها را در معرض خطرات درخورتوجهی قرار دهد. بنابراین، شبکهی DMZ با تقسیمبندی شبکهی خطر، نفوذ هکری را که بتواند به زیرساختهای صنعتی آسیب بزند؛ بهطور چشمگیری کاهش خواهد داد.
یکی دیگر از کاربردها شبکهی DMZ میتواند برای شبکههای خانگی باشد که در آن کامپیوترها و سایر دستگاهها از طریق روتر به اینترنت متصل میشوند و سپس به یک شبکهی محلی پیکربندی میشوند. برخی از روترهای خانگی ویژگی میزبانی DMZ را برای شبکه فراهم میکنند. این ویژگی را میتوان متفاوت از زیرشبکهی DMZ مورد استفاده در سازمانها قلمداد کرد. ویژگی هاست DMZ موجود در مودم مشخص میکند که یک دستگاه در شبکهی خانگی خارج از فایروال بهعنوان شبکهی DMZ کار کند، درحالیکه سایر دستگاههای شبکهی خانگی داخل فایروال به فعالیت بپردازند.
در مثالهای سادهتر از کاربرد شبکهی DMZ باید به راهاندازی سرورهای ایمیل، افتیپی و وبسایت در این نوع شبکهها اشاره کرد. ایمیل سرویسی است که کاربر با آن از طریق اینترنت تعامل دارد و قرارگیری سرور ایمیل در شبکهی حفاظتشدهی دیامزی آسیبپذیری اطلاعات شخصی کاربران را کاهش میدهد؛ اما برای افزایش ضریب ایمنی توصیه میشود که پایگاه دادهی ایمیل را درون شبکهی دیامزی قرار ندهید و آن را بعد از فایروال دوم شبکه کنید.
بهطور کلی، کاربرد اصلی شبکهی DMZ ایجاد ایستگاههای ایست و بازرسی برای کنترل ترافیک بین شبکه است که میتواند بر اساس نیاز شبکه در سناریوهای مختلف و به طرق متفاوت مورد استفاده قرار بگیرد. شاید ادعای پوچی نباشد که بگوییم امروزه اطلاعات یکی از ارزشمندترین داراییها است که نقش پول رایج بین شرکتهای بزرگ و در مقیاس بزرگتر بین کشورها را ایفا میکند؛ بنابراین هرگونه تلاش برای حفظ اطلاعات قدمی با اهمیت است.
معمولاً هر شرکتی که اطلاعات حساسی دارد که روی سرورهای شرکت ذخیره میشوند و بهصورت عمومی از طریق اینترنت با کاربران تعامل دارد، میتواند با توجه به نیازش از شبکهی DMZ استفاده کند. اهمیت این موضوع گاهی تا جایی پیش میرود که برخی شرکتها از نظر قانونی موظف هستند که شبکهی دیامزی اختصاصی خود را راهاندازی کنند. برای مثال، شرکتهای فعال در زمینه پزشکی و سلامت باید سامانههای خود را طوری ایجاد کنند که از نشت اطلاعات حساس کاربران جلوگیری کند.
جمعبندی
شبکهی DMZ نوعی حائل است که بهعنوان لایهی حفاظتی عمل میکند و میتواند ترافیک ورودی به شبکهی داخلی را فیلتر کند و با بررسی دادههای ورودی و خروجی از نفوذ هکرها و نشت اطلاعات جلوگیری کند. در واقع، این فضا فرصتی ایجاد میکند که سامانههای تشخیص نفوذ و سامانههای جلوگیری از نفوذ بتوانند ابتکار عمل را در مواجه با مهاجمان به دست بگیرند. راهاندازی شبکهی DMZ نیاز به تخصص دارد و با توجه به حساسیت بالای استفاده از شبکهی دیامزی توصیهی اکید میشود که بدون دانش کافی اقدام به ایجاد شبکه نکنید.