آیا می خواهید یک لایه امنیتی اضافی به شبکه خانگی با دفتر کاری خود اضافه کنید؟ پس باید در مورد DMZ و نحوه راه اندازی DMZ در شبکه اطلاعات کسب کنید.

DMZ مخفف چیست؟

DMZ مخفف Demilitarized Zone و به معنای منطقه غیر نظامی است، اما در واقع معانی مختلفی را در حوزه های مختلف در بر دارد. در دنیای واقعی DMZ نواری از زمین است که به عنوان نقطه مرزی بین کرده شمالی و کره جنوبی استفاده می شود. اما وقتی که صحبت از فناوری می شود؛ DMZ یک زیر شبکه است که به طور منطقی از هم جدا شده و معمولا شامل سرویس های مبتنی بر اینترنت و هاست خارجی یک شبکه است. بنابراین هدف DMZ دقیقا چیست؟ چگونه از شما محافظت می کند؟ و آیا می توانید آن را در روتر خود تنظیم کنید؟

هدف DMZ چیست؟

DMZ به عنوان یک سپر بین اینترنت غیر قابل اعتماد و شبکه داخلی شما عمل می کند. با جدا سازی آسیب پذیرترین سرویس های کاربر محور مانند ایمل؛ وب و سرورهای DNS در داخل زیر شبکه منطقی خود، می توان از بقیه شبکه داخلی یا شبکه محلی (LAN) محافظت کرد.

هاست های درون DMZ از آنجا که در پشت فایروال مداخله ای قرار دارند که جریان ترافیک بین دو نقطه شبکه را کنترل می کند، اتصال محدودی به شبکه داخلی اصلی دارند. با این حال، برخی از ارتباطات مجاز هستند؛ بنابراین هاست های DMZ می توانند سرویس هایی را به شبکه داخلی و خارجی ارائه دهند.

DMZ چیست؟ نحوه راه اندازی DMZ در شبکه

پیش فرض اصلی DMZ این است که اینترنت در دسترس باشد در حالی که مابقی شبکه LAN داخلی دست نخورده باقی بماند و برای دنیای خارج غیر قابل دسترسی باشند. این لایه امنیتی اضافی از نفوذ مستقیم عوامل تهدید کننده به شبکه شما جلوگیری می کند.

چه سرویس هایی در داخل Demilitarized Zone اضافه می شوند؟

ساده ترین راه برای درک پیکربندی DMZ؛ فکر کردن به روتر است. روترها به طور کلی دارای دو رابط هستند:

  • رابط داخلی: این رابط شما با اینترنت مواجه نمی شود.
  • رابط خارجی: این رابط مبتنی بر اینترنت است و ارتباط و تعامل شما با دنیای بیرون را فراهم می آورد.

برای اجرای یک شبکه DMZ، شما به سادگی یک رابط سوم اضافه می کنید که به DMZ معروف است. هر هاستی که مستقیما از اینترنت قابل دسترسی باشد یا نیاز به ارتباط منظم با دنیای خارج داشته باشد؛ از طریق رابط DMZ متصل می شود.

DMZ چیست؟ نحوه راه اندازی DMZ در شبکه

سرویس های استانداردی که می توانند در داخل DMZ قرار بگیریند شامل سرورهای ایمیل، سرورهای FTP، وب سرورها و سرورهای VOIP و غیره هستند.

باید سیاست های کلی امنیت سیستم سازمان شما مورد توجه قرار بگیرد و قبل از انتقال سرویس ها به DMZ، تجزیه و تحلیل منابع باید انجام شود.

آیا DMZ می تواند در شبکه خانگی یا شبکه بی سیم پیاده سازی شود؟

شاید متوجه شده باشید که اکثر روترهای خانگی از هاست DMZ نام می برند. به معنای واقعی کلمه، این یک DMZ واقعی نیست. دلیل آن این است که DMZ در یک شبکه خانگی به سادگی یک هاست در شبکه داخلی است که تمام پورت ها را در کنار پورت هایی که فوروارد نمی شوند را نشان می دهد.

بیشتر کارشناسان شبکه نسبت به پیکربندی هاست DMZ برای شبکه خانگی احتیاط می کنند. دلیل آن هم این است که هاست DMZ آن نقطه ای بین شبکه های داخلی و خارجی است که از همان فایروالی که دستگاه های دیگر در شبکه داخلی از آن استفاده می کنند برخوردار نیستند.

همچنین یک هاست Demilitarized Zone خانگی هنوز توانایی اتصال به همه هاست های شبکه داخلی را حفظ می کند که برای پیکربندهای تجاری DMZ (که این اتصالات از طریق دیواره های آتش / فایروال جدا کننده ایجاد می شوند) صدق نمی کند.

یک هاست DMZ در یک شبکه داخلی می تواند احساس امنیت کاذب را ایجاد کند در حالی که در واقع فقط به عنوان روشی برای انتقال مستقیم پورت ها به فایروال یا دستگاه NAT دیگر، مورد استفاده قرار می گیرد.

پیکربندی Demilitarized Zone برای شبکه خانگی تنها در مواردی ضروری است که برنامه های خاص به دسترسی مداوم به اینترنت نیاز دارند. گرچه می توان از طریق پورت فورواردینگ یا ایجاد سرورهای مجازی به این مهم دست یافت، اما گاهی اوقات مقابله با تعداد بالای پورت، آن را غیر معمولی می کند. در چنین مواردی؛ راه اندازی یک هاست Demilitarized Zone یک راه حل منطقی است.

مدل فایروال DMZ

تنظیمات DMZ را می توان به روش های مختلفی انجام داد. دو روش متداول که به عنوان شبکه three-legged (تک فایروال) و شبکه دو فایروالی شناخته می شوند. بسته به نیاز خود می توانید از هر یک از این معماری ها استفاده کنید.

DMZ چیست؟ نحوه راه اندازی DMZ در شبکه

روش فایروال منفرد یا Three-Legged

این مدل دارای 3 رابط است. اولین رابط، شبکه خارجی (از ISP تا فایروال) است. دومی شبکه داخلی شما است و در آخر؛ رابط سوم شبکه DMZ است که شامل سرورهای مختلف است.

نقطه ضعف این پیکربندی این است که استفاده از یک فایروال تنها نقطه خرابی کل شبکه را فراهم می آورد. اگر فایروال به خطر بیافتد؛ کل DMZ هم در معرض خطر است. همچنین؛ فایروال باید بتواند کلیه ترافیک های ورودی و خروجی DMZ و شبکه داخلی را کنترل کند.

روش فایروال دوگانه

همانطور که از نام آن پیداست؛ از دو فایروال برای معماری این پیکربندی استفاده می شود و باعث می شود امنیت بیشتر شود. فایروال اولی یا Front-ednd که پیکربندی شده است اجازه می دهد ترافیک فقط به DMZ منتقل شود. فایروال دوم یا Back-end پیکربندی شده است تا ترافیک را از DMZ به شبکه داخلی انتقال دهد.

داشتن یک فایروال اضافی احتمال تاثیرگذاری کل شبکه را کاهش می دهد که به طور طبیعی با هزینه بالاتری همراه است اما در صورت خرابی فایروال فعال، افزونگی را ایجاد می کند. برخی از سازمان ها همچنین از ایجاد هر دو فایروال توسط فروشندگان مختلف اطمینان حاصل می کنند تا مانع بیشتری برای مهاجمانی که قصد هک شبکه را دارند؛ ایجاد کند.

نحوه راه اندازی DMZ در روتر خانگی شما

ساده ترین و سریعترین راه برای راه اندازی شبکه DMZ خانگی استفاده از مدل three-legged است. هر رابط به عنوان یک شبکه داخلی؛ شبکه Demilitarized Zone و شبکه خارجی اختصاص داده خواهد شد. سرانجام یک کارت اترنت چهار پورت در فایروال این پیکربندی را کامل می کند.

DMZ چیست؟ نحوه راه اندازی DMZ در شبکه

مراحل زیر نحوه راه اندازی Demilitarized Zone در روتر خانگی را توصیف می کند. توجه داشته باشید که این مراحل برای اکثر روترهای برندهای اصلی مانند Linksys ، Netgear، Belkin و D-Link یکسان خواهد بود:

  • کامپیوتر خود را از طریق کابل اترنت به روتر وصل کنید.
  • به مرورگر وب خود بروید و آدرس IP روتر خود را در نوار آدرس تایپ کنید. معمولا این آدرس، 168.1.1 است. کلید اینتر را بزنید.
  • درخواستی برای وارد کردن روز ورود مشاهده خواهید کرد. رمز ورود خود را که در زمان کانفیگ روتر ایجاد کرده اید را وارد کنید. رمز ورود پیش فرض در بسیاری از روترها admin است.
  • سربرگ Security که در گوشه بالایی رابط وب روتر قرار دارد را انتخاب کنید.
  • به پایین اسکرول کنید و کادر کشویی که برچسب DMZ دارد را انتخاب کنید. حالا گزینه Enable Menu را انتخاب کنید.
  • آدرس IP را برای هاست سیستم مقصد وارد کنید. این می تواند چیزی مانند سیستم دسکتاپ از راه دور؛ وب سرور یا هر دستگاهی باشد که برای دسترسی به اینترنت نیاز دارد.
  • توجه: آدرس IP محل ارسال ترافیک شبکه باید یک آدرس شبکه ثابت باشد چون ادرس IP اختصاص یافته به صورت پویا و با هر بار راه اندازی مجدد سیستم تغییر می کند.
  • گزینه Save Settings را انتخاب کنید و کنسول روتر را ببندید.

از داده های خود محافظت کنید

کاربران باهوش همیشه قبل از دسترسی به شبکه های خارجی؛ روترها و شبکه های خود را از دست افراد مهاجم ایمن نگه می دارند. DMZ می تواند یک لایه امنیتی اضافی را بین داده های ارزشمند شما و هکرها ایجاد کند.

حداقل با استفاده از DMZ و نکات ساده ایمن سازی روترها؛ نفوذ افراد متجاوز به شبکه شما را بسیار سخت می کند  هر چه دسترسی مهاجمان به داده های شما دشوارتر باشد؛ برای شما بهتر خواهد بود.

منبع: makeuseof

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.