تعني Demilitarized Zone أي المنطقة منزوعة السلاح!!! (حسناً، لا زلنا هنا نتحدث عن الشبكات. ولم نتدخل في المصطلحات العسكرية).
من المتعارف عليه حالياً أن الشبكات بالنسبة لأي مؤسسة تقسم إلى نوعين:
الشبكة الداخلية LAN: وأهم ما تتضمنه الأجهزة المركزية (السيرفرات) بالإضافة إلى أجهزة المستخدمين. ومن المفروض أن تكون محمية ومؤمنة من أي تداخل مع أي شبكة خارجية أخرى.
الشبكة الخارجية Internet: بصفتها العامة لا يتوفر فيها مستوى عالٍ من الحماية. وهي بالنسبة للشبكة الداخلية تشكل مصدراً رئيسياً لخطر الإختراق والتهديدات.عادة يُفصل بين هاتين الشبكتين بوسيلة حماية قد يكون أبسط صورة لها جهاز الراوتر، أو ربما بجدار ناري (Software مثل ISA Server أو Hardware مثل Cisco ASA) إن أردنا تطبيق حلول أقوى.
DMZ هي نوع ثالث، وتقع في مستوى وسط بين النوعين السابقين… هيشبكة محايدة، فلا هي محمية ومؤمنة بشكل كلّي كما هي الشبكة الداخلية. ولا هي مكشوفة بشكل صريح كما هي شبكة الإنترنت.
يتم اللجوء لحل DMZ عند الحاجة لتمكين المستخدمين في الشبكة الخارجية من الوصول إلى بعض الخدمات المحلية مثل Web Server أو FTP. فبدلاً من توفيرها ضمن مجال الشبكة الداخلية بما يشكّله هذا من تعريض كامل الشبكة لخطر الإختراق أو الهجمات، يتم وضع هذه الخدمات ضمن شبكة ثالثة منفصلة عن الشبكة الداخلية. وبذلك تتحقق إمكانية العزل عن الأخطار التي يمكن أن تشكّلها الإنترنت، مع إمكانية توفير الخدمات اللازمة للخارج.
الشكل التالي يوضح مفهوم DMZ بأبسط صورة:
يشكّل جهازي الراوتر وجدار النار firewall مستويين من الحماية هنا…وعملياً، يتم التصميم بحيث توضع كل شبكة من الشبكات الثلاث على أحد منافذ الجدار الناريfirewall interface. بالطبع يخصص لكل منها عنوان شبكة network addressومجموعة عناوين IP خاصة بها، ويقوم جدار النار -كما الراوتر- بتوجيه البيانات فيما بين المنافذ.
توضع السياسات المناسبة لكل منفذ، بحيث تمكّن كل طرف من الوصول فقط إلى ما هو مسموح له. مثلاً يستطيع المستخدمون المحليون الوصول إلى الإنترنت للتصفّح، والوصول إلى DMZ لإستعراض أو إضافة أو تعديل محتويات السيرفرات. بينما يمنع جدار النار المستخدمين الخارجيين من الوصول إلى LAN بل الوصول إلى DMZ فقط.
من المتعارف عليه حالياً أن الشبكات بالنسبة لأي مؤسسة تقسم إلى نوعين:
الشبكة الداخلية LAN: وأهم ما تتضمنه الأجهزة المركزية (السيرفرات) بالإضافة إلى أجهزة المستخدمين. ومن المفروض أن تكون محمية ومؤمنة من أي تداخل مع أي شبكة خارجية أخرى.
الشبكة الخارجية Internet: بصفتها العامة لا يتوفر فيها مستوى عالٍ من الحماية. وهي بالنسبة للشبكة الداخلية تشكل مصدراً رئيسياً لخطر الإختراق والتهديدات.عادة يُفصل بين هاتين الشبكتين بوسيلة حماية قد يكون أبسط صورة لها جهاز الراوتر، أو ربما بجدار ناري (Software مثل ISA Server أو Hardware مثل Cisco ASA) إن أردنا تطبيق حلول أقوى.
DMZ هي نوع ثالث، وتقع في مستوى وسط بين النوعين السابقين… هيشبكة محايدة، فلا هي محمية ومؤمنة بشكل كلّي كما هي الشبكة الداخلية. ولا هي مكشوفة بشكل صريح كما هي شبكة الإنترنت.
يتم اللجوء لحل DMZ عند الحاجة لتمكين المستخدمين في الشبكة الخارجية من الوصول إلى بعض الخدمات المحلية مثل Web Server أو FTP. فبدلاً من توفيرها ضمن مجال الشبكة الداخلية بما يشكّله هذا من تعريض كامل الشبكة لخطر الإختراق أو الهجمات، يتم وضع هذه الخدمات ضمن شبكة ثالثة منفصلة عن الشبكة الداخلية. وبذلك تتحقق إمكانية العزل عن الأخطار التي يمكن أن تشكّلها الإنترنت، مع إمكانية توفير الخدمات اللازمة للخارج.
الشكل التالي يوضح مفهوم DMZ بأبسط صورة:
يشكّل جهازي الراوتر وجدار النار firewall مستويين من الحماية هنا…وعملياً، يتم التصميم بحيث توضع كل شبكة من الشبكات الثلاث على أحد منافذ الجدار الناريfirewall interface. بالطبع يخصص لكل منها عنوان شبكة network addressومجموعة عناوين IP خاصة بها، ويقوم جدار النار -كما الراوتر- بتوجيه البيانات فيما بين المنافذ.
توضع السياسات المناسبة لكل منفذ، بحيث تمكّن كل طرف من الوصول فقط إلى ما هو مسموح له. مثلاً يستطيع المستخدمون المحليون الوصول إلى الإنترنت للتصفّح، والوصول إلى DMZ لإستعراض أو إضافة أو تعديل محتويات السيرفرات. بينما يمنع جدار النار المستخدمين الخارجيين من الوصول إلى LAN بل الوصول إلى DMZ فقط.