Přeskočit na obsah

DMZ (informatika)

Z Wikipedie, otevřené encyklopedie

V počítačové bezpečnosti je DMZ fyzická nebo logická podsíť, která je z bezpečnostních důvodů oddělena od ostatních zařízení. Jsou v ni umístěny služby, které jsou k dispozici většinou z celého internetu. Účelem DMZ je přidání další bezpečnostní vrstvy v lokální síti (LAN). To znamená, že případný útočník získá přístup pouze k zařízení, které je v DMZ, ale zbytek lokální sítě je v bezpečí. Jméno je odvozeno z termínu "demilitarizovaná zóna", což je oblast mezi státy, mezi kterými nejsou povoleny žádné vojenské akce.

Charakteristika

V počítačové síti jsou nejvíce náchylní k útoku ti, kteří poskytují služby uživatelům mimo lokální síť, jako je e-mail, webové služby a Domain Name System (DNS). Vzhledem ke zvýšené pravděpodobnosti útoků na tyto poskytovatele, jsou jejich služby umístěny ve vlastních podsítích s cílem ochránit zbytek sítě před případně úspěšným útokem.

Počítače v DMZ mají omezené připojení k vybraným počítačům ve vnitřní síti, naopak komunikace s ostatními počítači v DMZ a venkovní sítí je povolena. To umožňuje počítačům v DMZ poskytovat služby jak pro vnitřní, tak i pro vnější sítě, zatímco firewall kontroluje provoz pouze mezi servery v DMZ a klienty vnitřní sítě.

DMZ jsou obvykle zabezpečené před útoky z venčí, ale nemají vliv na vnitřní útoky, jako je odchytávání komunikace přes paketový analyzátor (wireshark).

Služby poskytované v DMZ

Jakákoli služba, která je poskytována uživateli přes externí síť, může být umístěna do DMZ. Nejčastěji to jsou tyto služby:

  • Webový servery
  • Mailový servery
  • FTP servery
  • VoIP servery

Webové servery, které komunikují s vnitřní databází, vyžadují přístup k databázovému serveru, který nemusí být veřejně přístupný a může obsahovat citlivé informace. Webové servery mohou komunikovat s databázovým serverem, ať už přímo, nebo z bezpečnostních důvodů prostřednictvím aplikačního firewallu.

E-mailové zprávy a zejména databáze uživatelů jsou důvěrné informace, takže jsou obvykle uloženy na serverech, které nejsou přístupné z internetu (alespoň ne nezabezpečeným způsobem), ale lze na ně přistupovat SMTP servery, které jsou internetu přístupné.

Mail server v DMZ předává příchozí poštu do zajištěných/vnitřních poštovních serverů. Rovněž se zabývá odchozí poštou.

Citováno z „https://cs.wikipedia.org/w/index.php?title=DMZ_(informatika)&oldid=9677251