Demilitarisierte Zone (Informatik)

Eine Demilitarized Zone (DMZ, daher auch ent-/demilitarisierte Zone) oder Umkreisnetzwerk bezeichnet ein geschütztes Computernetz für einen oder mehrere Computer, das sich zwischen zwei Computernetzen befindet.

Der Rechnerverbund wird durch eine Firewall (außen) und eine Firewall (innen) gegen das Internet abgeschirmt. Durch diese Trennung besteht die Möglichkeit, den Zugriff auf öffentliche Dienste (Bastion Hosts wie z. B. E-Mail, WWW o. ä.) anzubieten und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen zu schützen.

Die Firewallfunktionen können durchaus von einem einzelnen Gerät übernommen werden; in diesem Fall findet man an der Firewall mindestens drei Netzwerkanschlüsse: einen zum Internet (WAN), einen zum internen Netz (LAN) und einen für die DMZ.

Der Sinn besteht darin, möglichst auf sicherer Basis Dienste des Rechnerverbundes sowohl dem WAN (Internet) als auch dem LAN (Intranet) zur Verfügung zu stellen. Ein typisches Anwendungsbeispiel ist eine Firma, die einen eigenen Mailserver betreibt.

Dieser Mailserver ist ein Teil der DMZ und muss von außen erreichbar sein, da ansonsten E-Mails nicht zugestellt werden könnten. Andererseits müssen die Clients, die am LAN angeschlossen sind, ihre E-Mails abholen. Deswegen brauchen auch sie Zugriff auf den Server. Der Server selbst kann jedoch von sich aus keine Verbindung ins LAN aufbauen.

Vorteil einer solchen Lösung ist, dass im Falle einer Kompromittierung eines Servers in der DMZ das interne Netz trotzdem noch geschützt bleibt. Wären die Server nicht in einer DMZ, sondern direkt im internen Netz, so wäre möglicherweise auch das gesamte Netz durch kompromittiert. Gerade weil öffentlich angebotene Dienste oft ein nicht unerhebliches Angriffsziel darstellen, kann man durch eine DMZ das Gesamtrisiko erheblich vermindern.