Vad står "DMZ" för? DMZ betyder Demilitarized Zone, men det betyder faktiskt olika saker på olika områden.
I den verkliga världen är en DMZ en landremsa som fungerar som en avgränsningspunkt mellan Nord- och Sydkorea. Men när det gäller teknik är DMZ ett logiskt separerat undernätverk som vanligtvis innehåller ett nätverks externt värdade, internetinriktade tjänster. Så vad är egentligen en DMZ: s syfte? Hur skyddar det dig? Och kan du ställa in en på din router?
Vad är syftet med en DMZ?
DMZ fungerar som en sköld mellan det opålitliga internet och ditt interna nätverk.
Genom att isolera de mest sårbara, användarvändande tjänsterna som e-post, webb och DNS-servrar i sina egna logiskt undernät, kan resten av det interna nätverket eller LAN (Local Area Network) skyddas i händelse av a kompromiss.
Värdar i en DMZ har begränsad anslutning till det huvudsakliga interna nätverket eftersom de placeras bakom en mellanliggande brandvägg som styr trafikflödet mellan de två nätverkspunkterna. Viss kommunikation är dock tillåten så att DMZ-värdarna kan erbjuda tjänster till både det interna och externa nätverket.
Relaterad: Vad är skillnaden mellan LAN och WAN?
Huvudförutsättningen bakom en DMZ är att hålla den tillgänglig från internet samtidigt som resten av det interna nätverket lämnas intakt och oåtkomligt för omvärlden. Det här extra säkerhetsskiktet förhindrar hotaktörer från att direkt infiltrera i ditt nätverk.
Vilka tjänster läggs till i en DMZ?
Det enklaste sättet att förstå en DMZ-konfiguration är att tänka på en router. Routrar har i allmänhet två gränssnitt:
- Internt gränssnitt: Detta är ditt gränssnitt som inte är internetinriktat och som har dina privata värdar.
- Externt gränssnitt: Detta är det internetgränssnitt som har din upplänk och interaktion med omvärlden.
För att implementera ett DMZ-nätverk lägger du helt enkelt till ett tredje gränssnitt som kallas DMZ. Alla värdar som är tillgängliga direkt från internet eller kräver regelbunden kommunikation till omvärlden ansluts sedan via DMZ-gränssnittet.
Standardtjänsterna som kan placeras i en DMZ inkluderar e-postservrar, FTP-servrar, webbservrar och VOIP-servrar etc.
Noggrann hänsyn bör tas till din organisations allmänna datasäkerhetspolicy och en resursanalys bör genomföras innan tjänsterna migreras till en DMZ.
Kan DMZ implementeras i ett hem- eller trådlöst nätverk?
Du kanske har märkt att de flesta hemroutrar nämner DMZ Host. I ordets riktiga bemärkelse är detta inte en riktig DMZ. Anledningen är att en DMZ i ett hemnätverk helt enkelt är en värd i det interna nätverket som har alla portar exponerade bredvid de som inte vidarebefordras.
De flesta nätverksexperter varnar för att konfigurera en DMZ-värd för ett hemnätverk. Detta beror på att DMZ-värden är den punkten mellan det interna och externa nätverket som inte får samma brandväggsbehörighet som andra enheter i det interna nätverket har.
Dessutom bibehåller en hembaserad DMZ-värd fortfarande möjligheten att ansluta till alla värdar på det interna nätverket som är inte fallet för kommersiella DMZ-konfigurationer där dessa anslutningar görs genom separering brandväggar.
En DMZ-värd i ett internt nätverk kan ge en falsk känsla av säkerhet när den i själva verket bara används som en metod för att vidarebefordra portar till en annan brandvägg eller NAT-enhet.
Det är bara nödvändigt att konfigurera en DMZ för ett hemnätverk om vissa applikationer kräver ihållande åtkomst till internet. Även om detta kan uppnås genom vidarebefordran av port eller genom att skapa virtuella servrar, kan det ibland göra det opraktiskt att tackla det stora antalet portnummer. I sådana fall är det en logisk lösning att skapa en DMZ-värd.
Enkel och dubbel brandväggsmodell för en DMZ
DMZ-inställningar kan göras på olika sätt. De två mest använda metoderna är kända som det trebenta nätverket (en brandvägg) och ett nätverk med dubbla brandväggar.
Beroende på dina krav kan du välja någon av dessa arkitekturer.
Trebenad eller enkel brandväggsmetod
Denna modell har tre gränssnitt. Det första gränssnittet är det externa nätverket från ISP till brandväggen, det andra är ditt interna nätverk, och slutligen är det tredje gränssnittet DMZ-nätverket som innehåller olika servrar.
Nackdelen med denna inställning är att användning av en enda brandvägg är den enda felpunkten för hela nätverket. Om brandväggen komprometteras kommer hela DMZ att gå ner också. Brandväggen ska också kunna hantera all inkommande och utgående trafik för både DMZ och det interna nätverket.
Dual Firewall Method
Som namnet antyder används två brandväggar för att arkitekt denna installation, vilket gör den säkrare av de två metoderna. En front-end brandvägg är konfigurerad som gör att trafik endast kan passera till och från DMZ. Den andra eller bakre brandväggen är konfigurerad för att sedan skicka trafik från DMZ till det interna nätverket.
Att ha en extra brandvägg minskar risken för att hela nätverket påverkas vid en kompromiss.
Detta kommer naturligtvis med en högre prislapp men ger redundans om den aktiva brandväggen misslyckas. Vissa organisationer ser också till att båda brandväggarna tillverkas av olika leverantörer för att skapa fler hinder för angripare som vill hacka ett nätverk.
Så här ställer du in en DMZ på din hemrouter
Det enklaste och snabbaste sättet att skapa ett hembaserat DMZ-nätverk är att använda den trebenta modellen. Varje gränssnitt kommer att tilldelas som ett internt nätverk, DMZ-nätverk och externt nätverk. Slutligen kommer ett Ethernet-kort med fyra portar i brandväggen att slutföra denna inställning.
Följande steg beskriver hur man ställer in en DMZ på en hemrouter. Observera att dessa steg kommer att vara lika för de flesta större routrar som Linksys, Netgear, Belkin och D-Link:
- Anslut din dator till routern via Ethernet-kabeln.
- Gå till datorns webbläsare och skriv in routerns IP-adress i adressverktygsfältet. Vanligtvis är en routers adress 192.168.1.1. Tryck på "Enter" eller returtangenten.
- Du kommer att se en begäran om att ange administratörslösenordet. Ange ditt lösenord som du skapade vid inställningen av routern. Standardlösenordet på många routrar är "admin".
- Välj fliken "Säkerhet" i det övre övre hörnet av din routers webbgränssnitt.
- Bläddra till botten och välj listrutan som är märkt "DMZ". Välj nu Gör det möjligt menyalternativ.
- Ange IP-adressen för mottagardatorn. Detta kan vara allt som en fjärrskrivbordsdator, webbserver eller vilken enhet som helst som behöver åtkomst till internet. Obs! IP-adressen där du vidarebefordrar nätverkstrafiken ska vara statisk eftersom en dynamiskt tilldelad IP-adress ändras varje gång din dator startas om.
- Välj Spara inställningar och stäng routerkonsolen.
Relaterad: Hur du hittar din routers IP-adress
Skydda dina data och konfigurera en DMZ
Smarta konsumenter skyddar alltid sina routrar och nätverk från inkräktare innan de öppnar externa nätverk. En DMZ kan ge ett extra säkerhetsskikt mellan dina värdefulla data och potentiella hackare.
Att använda en DMZ och använda enkla tips för att säkra dina routrar kan åtminstone göra det mycket svårt för hotaktörer att tränga in i ditt nätverk. Och ju svårare det är för angripare att nå dina data, desto bättre är det för dig!
Följ dessa tips för att säkra din hemrouter och förhindra att människor tränger in i ditt nätverk.
- Teknik förklaras
- säkerhet
- Router
- Onlinesäkerhet
Kinza är en teknikentusiast, teknisk författare och självutnämnd nörd som bor i norra Virginia med sin man och två barn. Med en BS i datanätverk och många IT-certifieringar inom ramen arbetade hon inom telekommunikationsindustrin innan hon gick in i tekniskt skrivande. Med en nisch inom cybersäkerhet och molnbaserade ämnen tycker hon om att hjälpa kunder att uppfylla sina olika tekniska skrivkrav över hela världen. På fritiden tycker hon om att läsa skönlitteratur, teknologibloggar, skapa snygga barnberättelser och laga mat för sin familj.
Prenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!
Ett steg till…!
Bekräfta din e-postadress i e-postmeddelandet som vi just skickade till dig.
