.png){kind=icon}
شبكة DMZ : من العزل التقليدي إلى Zero Trust Architecture
هل سمعت بـ DMZ أو "المنطقة منزوعة السلاح" في الشبكات؟ هذا المصطلح العسكري يُستخدم لوصف منطقة وسطى بين شبكتك الداخلية والإنترنت. لكن في 2026، هل لا يزال DMZ كافياً للحماية؟ خليني أشرح لك التطور من DMZ التقليدي إلى Zero Trust Architecture، وكيفية إعداد DMZ حديث في Azure أو باستخدام Cisco ASA.
ما هو DMZ ولماذا نحتاجه؟
DMZ اختصار لـ Demilitarized Zone، وهي شبكة وسطى تفصل بين:
- الشبكة الداخلية (LAN): تحتوي على السيرفرات والبيانات الحساسة
- الإنترنت (WAN): الشبكة العامة غير الموثوقة
الفكرة: وضع الخدمات التي تحتاج وصولاً خارجياً (Web Server, FTP, Mail Server) في منطقة معزولة. إذا تم اختراقها، لا يزال بقية الشبكة محمياً.
تصميم DMZ: جدار واحد vs جدارين ناريين
هناك طريقتان أساسيتان لتصميم DMZ:
1. تصميم جدار ناري واحد (Three-Legged)
جدار ناري واحد بثلاث منافذ:
- المنفذ الأول: الإنترنت (Outside) - Security Level 0
- المنفذ الثاني: DMZ - Security Level 50
- المنفذ الثالث: الشبكة الداخلية (Inside) - Security Level 100
هذا التصميم أقل تكلفة لكنه أقل أماناً. إذا تم اختراق الجدار الناري، تتعرض الشبكة بالكامل.
2. تصميم جدارين ناريين (Dual Firewall) - الموصى به
هذا التصميم الأكثر أماناً يستخدم:
- Perimeter Firewall: يواجه الإنترنت ويحمي DMZ
- Internal Firewall: يفصل DMZ عن الشبكة الداخلية
يجب على المهاجم اختراق جدارين ناريين للوصول إلى LAN. يُنصح باستخدام منتجين مختلفين (مثلاً Cisco ASA للخارجي وFortinet للداخلي) لتنويع الحماية.
إعداد DMZ على Cisco ASA 2024
Cisco ASA لا يزال من أشهر جدران الحماية المستخدمة في DMZ. إليك التكوين الأساسي:
تعيين Security Levels
interface GigabitEthernet1/1 nameif inside security-level 100 ip address 192.168.100.1 255.255.255.0 interface GigabitEthernet1/2 nameif dmz security-level 70 ip address 10.10.10.1 255.255.255.240 interface GigabitEthernet1/3 nameif outside security-level 0 ip address dhcp setroute
مستوى الأمان (Security Level) يحدد الثقة: 100 للأكثر ثقة (داخلي)، 0 للأقل ثقة (خارجي)، و70 لـ DMZ.
تكوين NAT للوصول من الإنترنت إلى DMZ
object network dmz-webserver host 10.10.10.3 nat (dmz,outside) static 198.51.100.101 service tcp www www access-list outside_acl extended permit tcp any object dmz-webserver eq www access-group outside_acl in interface outside
السماح لـ DMZ بالوصول إلى DNS داخلياً
object network dns-server host 192.168.100.53 access-list dmz_acl extended permit udp any object dns-server eq domain access-list dmz_acl extended deny ip any 192.168.100.0 255.255.255.0 access-list dmz_acl extended permit ip any any access-group dmz_acl in interface dmz
DMZ في السحابة: Azure Firewall 2024
مع انتقال الشركات إلى السحابة، أصبح DMZ افتراضياً:
مكونات DMZ في Azure
- Azure Firewall: جدار ناري مركزي كخدمة
- Network Security Groups (NSGs): قواعد أمان على مستوى الشبكة
- Application Gateway with WAF: حماية على مستوى التطبيق
- Azure Bastion: وصول آمن للأجهزة الافتراضية بدون exposing public IPs
هيكل Hub-and-Spoke مع DMZ
Hub VNet (Azure Firewall) ├── DMZ Subnet (Web Servers) ├── Spoke 1 VNet (Production) └── Spoke 2 VNet (Development)
جميع حركة المرور تمر عبر Azure Firewall في Hub، مما يسمح بالتفتيش والتسجيل.
DMZ vs Zero Trust: أيهما أفضل في 2026؟
في الماضي، كان DMZ كافياً. لكن اليوم، مع العمل عن بُعد والسحابة، ظهر Zero Trust Architecture:
| المعيار | DMZ التقليدي | Zero Trust |
|---|---|---|
| نموذج الثقة | الداخل موثوق، الخارج غير موثوق | لا أحد موثوق (Never Trust, Always Verify) |
| العزل | على مستوى الشبكة (Network Segmentation) | على مستوى المستخدم والجهاز (Micro-segmentation) |
| التحقق | مرة واحدة عند الدخول | مستمر (Continuous Authentication) |
| التطبيق | جدران نارية تقليدية | ZTNA, MFA, Device Compliance |
| السحابة | معقد التطبيق | مصمم للـ Cloud-native |
الحقيقة: أفضل الحلول تجمع بين الاثنين. استخدم DMZ للخدمات العامة (Public-Facing Services) وZero Trust للوصول الداخلي.
Zero Trust DMZ: المستقبل
مفهوم Zero Trust DMZ يجمع بين العزل التقليدي ومبادئ Zero Trust:
- جميع الأجهزة في DMZ تخضع للتحقق المستمر
- Micro-segmentation داخل DMZ نفسها
- لا يوجد افتراض ثقة حتى داخل المنطقة المحايدة
أفضل ممارسات DMZ في 2026
- استخدم جدارين ناريين: لا تعتمد على جدار واحد
- اختر NGFW: Next-Generation Firewall مع IPS و DPI
- تنويع الموردين: جدار خارجي من Cisco وداخلي من Fortinet
- مراقبة مستمرة: استخدم NDR (Network Detection & Response)
- إدارة الثغرات: افحص DMZ باستمرار باستخدام vulnerability scanners
- Zero Trust: لا تعتمد على DMZ وحده، طبق ZTNA للوصول
الأسئلة الشائعة
هل DMZ لا يزال ضرورياً في عصر Zero Trust؟
نعم، لكن بطريقة مختلفة. DMZ لا يزال مفيداً لعزل الخدمات العامة (Web Servers, Mail Servers). Zero Trust يكمل DMZ بحماية الوصول الداخلي. أفضل الممارسات تجمع بين الاثنين.
ما الفرق بين DMZ و VLAN؟
VLAN تقسم الشبكة منطقياً على مستوى Layer 2. DMZ تقسم الشبكة على مستوى Layer 3 مع جدار ناري. يمكن استخدام VLAN ضمن DMZ للتقسيم الإضافي، لكن DMZ تتطلب firewall للعزل الأمني.
هل يمكن إعداد DMZ في Router منزلي؟
بعض الراوترات المتقدمة تدعم DMZ (غالباً تسمى DMZ Host أو Exposed Host). لكن هذا يعني وضع جهاز واحد خارج الجدار الناري، وهو أقل أماناً من DMZ الحقيقي. للاستخدام المنزلي، استخدم Port Forwarding بدلاً من DMZ.
ما هي مخاطر DMZ إذا تم اختراقه؟
إذا تم اختراق DMZ، المهاجم يستطيع: استخدام السيرفر كـ Pivot للهجوم على LAN، تثبيت Backdoors، أو استخدامه في هجمات DDoS. لذا يجب: عزل DMZ جيداً، مراقبة حركة المرور، ومنع أي وصول من DMZ إلى LAN إلا للضرورة.
كيف أختار بين Cisco ASA و Fortinet لـ DMZ؟
Cisco ASA قوي في Enterprise environments ويتكامل مع Cisco ecosystem. Fortinet (FortiGate) يقدم أداء أفضل للسعر وواجهة أسهل. للـ DMZ Dual Firewall، يمكن استخدام Cisco للخارجي وFortinet للداخلي للتنويع.
الخلاصة
DMZ في 2026 ليس مجرد "منطقة منزوعة السلاح" تقليدية، بل جزء من استراتيجية أمنية شاملة تجمع بين العزل التقليدي وZero Trust. سواء كنت تستخدم Cisco ASA على الأرض أو Azure Firewall في السحابة، تأكد من:
- استخدام Dual Firewall Architecture
- تطبيق مبدأ Least Privilege على جميع المنافذ
- دمج DMZ مع Zero Trust للحماية المثلى
هل تستخدم DMZ في شبكتك؟ شارك تجربتك مع Cisco ASA أو Azure Firewall في التعليقات.
تاريخ التحديث: 8 مارس 2026
