DMZ (informatika)

V počítačové bezpečnosti je DMZ fyzická nebo logická podsíť, která je z bezpečnostních důvodů oddělena od ostatních zařízení. Jsou v ni umístěny služby, které jsou k dispozici většinou z celého internetu. Účelem DMZ je přidání další bezpečnostní vrstvy v lokální síti (LAN). To znamená, že případný útočník získá přístup pouze k zařízení, které je v DMZ, ale zbytek lokální sítě je v bezpečí. Jméno je odvozeno z termínu "demilitarizovaná zóna", což je oblast mezi státy, mezi kterými nejsou povoleny žádné vojenské akce.

V počítačové síti jsou nejvíce náchylní k útoku ti, kteří poskytují služby uživatelům mimo lokální síť, jako je e-mail, webové služby a Domain Name System (DNS). Vzhledem ke zvýšené pravděpodobnosti útoků na tyto poskytovatele, jsou jejich služby umístěny ve vlastních podsítích s cílem ochránit zbytek sítě před případně úspěšným útokem.

Počítače v DMZ mají omezené připojení k vybraným počítačům ve vnitřní síti, naopak komunikace s ostatními počítači v DMZ a venkovní sítí je povolena. To umožňuje počítačům v DMZ poskytovat služby jak pro vnitřní, tak i pro vnější sítě, zatímco firewall kontroluje provoz pouze mezi servery v DMZ a klienty vnitřní sítě.

DMZ jsou obvykle zabezpečené před útoky z venčí, ale nemají vliv na vnitřní útoky, jako je odchytávání komunikace přes paketový analyzátor (wireshark).

Jakákoli služba, která je poskytována uživateli přes externí síť, může být umístěna do DMZ. Nejčastěji to jsou tyto služby:

• Webový servery
• Mailový servery
• FTP servery
• VoIP servery

Webové servery, které komunikují s vnitřní databází, vyžadují přístup k databázovému serveru, který nemusí být veřejně přístupný a může obsahovat citlivé informace. Webové servery mohou komunikovat s databázovým serverem, ať už přímo, nebo z bezpečnostních důvodů prostřednictvím aplikačního firewallu.

E-mailové zprávy a zejména databáze uživatelů jsou důvěrné informace, takže jsou obvykle uloženy na serverech, které nejsou přístupné z internetu (alespoň ne nezabezpečeným způsobem), ale lze na ně přistupovat SMTP servery, které jsou internetu přístupné.

Mail server v DMZ předává příchozí poštu do zajištěných/vnitřních poštovních serverů. Rovněž se zabývá odchozí poštou.

Pro zabezpečení firemního prostředí, dodržování právních předpisů a monitorovacích důvodů, umísťují některé podniky proxy servery do DMZ. To má tyto důsledky:

• Zavazuje interní uživatele (obvykle zaměstnance) používat proxy k získání přístupu na internet.
• Umožňuje společnostem snížit rychlostní požadavky přístupu na internet, protože některý webový obsah může být uložen v mezipaměti proxy serveru.
• Zjednodušuje zaznamenávání (logování) uživatelských aktivit a blokovat určitý webový obsah, který nesplňuje politiku dané firmy.

Existuje mnoho způsobů, jak navrhnout síť s DMZ. Nejzákladnější metody jsou pomocí jednoho nebo dvou firewallů. Tyto architektury mohou být rozšířeny k vytvoření složitějších architektur v závislosti na síťových požadavcích.

Jeden firewall s aplespoň třemi síťovými rozhraními může být použit k vytvoření síťové architektury obsahující DMZ. Externí síť je na prvním síťovém rozhraní vytvořena mezi ISP a firewallem, místní síť je tvořena druhým síťovým rozhraním a DMZ je tvořen ze třetího. Firewall se takto stane jediným bodem, kde může síť selhat a musí být schopen ustát všechen provoz směřující jak do DMZ, tak do interní sítě. Zóny se obvykle označují barvami, například fialová pro LAN, zelená pro DMZ a červená pro internet.

V tomto článku byl použit překlad textu z článku DMZ na anglické Wikipedii.