O que é uma DMZ ou Rede Desmilitarizada?

Muitas vezes a empresa possui um servidor de Web, um Servidor de email, B2B ou qualquer tipo de servidor que será disponibilizado para acesso via Internet por clientes, funcionários ou até mesmo usuários anônimos. Nestes casos, a preocupação com o acesso externo aumenta bastante, por não sabermos que serão e quais serão as intenções das pessoas que farão esse acesso.
Nos casos de Serviços disponibilizados ao público via Internet, deixar esses servidores dentro de sua rede privativa não é uma boa escolha, pois ao acessar tal recurso, o usuários, muitas vezes anônimo, estará também navegando dentro da sua rede. A solução neste caso é colocar o servidor fora da minha rede privativa, evitando assim esses acessos indesejados que colocariam a minha rede interna (LAN) em risco. Agora, como colocar meus servidores de Web fora da minha rede privativa e ainda assim controlar o acesso aos seus recursos, de forma que eles fiquem protegidos de eventuais ataques?
É ai que entra a Rede Desmilitarizada, uma segunda rede que você cria no seu firewall para hospedar apenas os serviços que serão acessíveis pela Internet, evitando assim que, para acessar esses serviços, usuários anônimos entrem na sua Rede Privativa (LAN) e coloque em risco seus dados particulares. Normalmente para se criar uma DMZ é preciso pelo menos uma placa extra no seu Firewall, sendo assim você teria 3 NICs, uma para a WAN, outra para LAN e uma para a Rede de Perímetro (DMZ).
No ISA Server, você configura facilmente uma DMZ através de modelos pré-existentes, mas é possível fazer isso com qualquer firewall, além de existir várias opções de criação de DMZ para aumentar a segurança da rede ou economizar no custo com seu servidor de segurança, sendo que as mais conhecidas são 3Leg e Back-to-back, nesta ultima necessitaremos de pelo menos 2 firewall para implementar.
3Leg ou 3Homed hosts – é uma configuração onde seu firewall irá possuir 3 placas de rede, sendo uma para sua LAN, outra para sua rede de Perímetro (DMZ) e a terceira para conectar o firewall a Internet (WAN).

Fw-3leg

Back-to-Back – Uma opção não necessariamente mais segura que a opção anterior, porém normalmente mais eficiente e mais cara também, requer um segundo firewall. Neste caso sua DMZ fica protegida entre dois Firewall, Back-End, que normalmente fará o papel de Proxy e Caching para os usuários da LAN e o Front-End Firewall onde normalmente serão feitas as publicações de serviços e liberação de portas no Firewall.

fw-backtoback

Abaixo alguns links extras relacionados ao assunto
Anúncios