Une zone démilitarisée ( DMZ ) est un segment de réseau qui est séparée à partir d'autres réseaux. De nombreuses organisations utilisent pour séparer leurs réseaux locaux (LAN) de l'Internet. Cela met une sécurité supplémentaire entre leur réseau d'entreprise et l'Internet public. Il peut également être utilisé pour séparer une machine particulière du reste du réseau, en le déplaçant en dehors de la protection d'un pare-feu.
Les utilisations fréquentes
Les éléments communs qui sont placés dans une DMZ sont des serveurs face au public. Par exemple, si une organisation maintient son site sur un serveur, ce serveur web pourrait être placée dans un ordinateur "zone démilitarisée". De cette façon, si une attaque malveillante jamais compromet la machine, le reste du réseau de l'entreprise reste hors de danger.Quelqu'un peut également placer un ordinateur dans une DMZ en dehors d'un réseau pour tester les problèmes de connectivité sont créés par un pare-feu protégeant le reste du système.
Configuration du routeur et fonctionnalité
Lors de la connexion d'un réseau local à Internet, un routeur fournit une connexion physique à l'Internet public, et un logiciel de pare-feu offre une porte d'entrée pour empêcher des données malveillantes d'entrer dans le réseau. Un port de sur le pare-feu se connecte souvent au réseau en utilisant une adresse interne, permettant le trafic envoyé par les individus pour accéder à Internet. Un autre port est généralement configuré avec une adresse publique, ce qui permet au trafic Internet pour atteindre le système. Ces deux ports permettent aux données entrantes et sortantes de communiquer entre le réseau et l'Internet.
Objet d'une zone démilitarisée
En créant une DMZ, une organisation ajoute un autre segment de réseau ou sous-réseau qui fait toujours partie du système, mais pas directement connecté au réseau. L'ajout d'une DMZ fait usage d'un troisième port de l'interface utilisateur sur le pare-feu. Cette configuration permet au pare-feu d'échanger des données à la fois avec le réseau général et la machine isolée en utilisant Network Address Translation (NAT). Le pare-feu ne protège pas généralement le système isolé, ce qui lui permet de se connecter plus directement à Internet.
NAT Fonctionnalité
Network Address Translation permet aux données reçues sur un port ou une interface pour être acheminés vers un réseau spécifié. Par exemple, lorsque quelqu'un visite le site Web d'une organisation, le navigateur est envoyée au serveur hébergeant le site. Si cette organisation maintient son serveur Web dans une DMZ, le pare-feu sait que tout le trafic envoyé à l'adresse associée à leur site web doit être transmis au serveur assis dans la DMZ, plutôt que directement dans le réseau interne de l'organisation.
Inconvénients et autres méthodes
Depuis l'ordinateur DMZ se trouve en dehors de la protection du pare-feu, il peut être vulnérable aux attaques de programmes malveillants ou des pirates . Les entreprises et les particuliers ne devraient pas stocker des données sensibles sur ce type de système, et je sais qu'une telle machine peut potentiellement devenir corrompu et "attaque" le reste du réseau. De nombreux professionnels de réseautage conseillent "port-forwarding" pour les personnes ayant des problèmes de réseau ou de connexion. Cela permet un accès ciblé spécifique à certains ports réseau, sans avoir à ouvrir en place un système entièrement.
