DMZ-ը (demilitarized zone, երբեմն նաև՝ perimeter network կամ screened sub net) ֆիզիկական կամ ծրագրային ենթացանց է, որը կիրառվում է լոկալ ցանցի պաշտպավածության մակարդակը բարձրացնելու նպատակով։ Երբ ակտիվացվում է DMZ-ը՝ ընկերության համակարգիչները և սերվերները “տեղակայվում են” Firewall-ից “առաջ”՝ ստեղծելով երկու՝ ծրագրապես իրարից բաժանված ցանցային միջավայրեր։

Փորձենք հասկանալ, թե ինչպե՞ս է աշխատում DMZ-ը։

Երբ չկա DMZ, ընկերության համակարգիչներն ու սերվերները գտնվում են միևնույն Firewall-ի  ետևում՝ այն է ընկերության լոկալ ցանցում, որին Ինտերնետից ուղիղ մուտքի իրավունք ունեն ընկերության աշխատակիցները (օգտվում են ընկերության Web Server-ներից, Email Server-ներից և այլն)։ Այսպիսով ստեղծվում է ցանցային անվտանգության բացատ, քանի որ նույն ճանապարհը կարող են օգտագործել նաև հաքերները՝ վնասարար ծրագրերով վարակելով նախ ընկերության սերվերները, ապա նաև՝ լոկալ ցանցին միացված մյուս համակարգիչները։

Լոկալ ցանցը պաշտպանելու և սերվերներին արտոնված մուտքի անվտանգ իրավունք սահմանելու համար կիրառվում է DMZ-ը։

DMZ-ում բացազատված սերվերները աշխատում են Firewall-ի հակառակ՝ արտաքին կողմում։ Ֆիզիկապես սերվերները գտվնում են միևնույն շենքում և միևնույն սերվերային սենյակում, սակայն ծրագրավորված են աշխատելու լոկալ ցանցից դուրս/անկախ։

Երբ օգտատերերը Ինտերնետից դիմում են DMZ միջավայրում տեղակայված սերվերներին, նրանք չեն “անցնում” անմիջապես ընկերության Firewall-ից ներս՝ լոկալ ցանց, որտեղ տեղակայված են ընկերության համար զգայական տվյալները։

DMZ-ը, որը հայտնի է նաև որպես պարագծային ցանց(perimeter network կամ screened subnet), կատարում է տեսանելի ցանցի յուրահատուկ scanner-ի դեր  և կարող է վաղաժամ հայտաբերել վնասարար ծրագրերի ակտիվությունը՝ նախքան դրանք կթափանցեն Firewall-ից ներս՝ լոկալ ցանց։

Այսպիսով DMZ-ը բաժանում է ցանցը երկու մասի՝ տեղակայելով աշխատող սերվերները Firewall-ից “առաջ”։ Այս պարագայում DMZ-ը բացազատված է միայն մեկ Firewall-ի օգնությամբ, սակայն առավել անվտանգ միջավայր ստանալու համար օգտագործում են երկու Firewall-ներ։ Այս դեպքում DMZ-ը բացազատվում է երկու Firewall-ների միջև։ Առաջին Firewall-ը զննում է մուտքային թրաֆիկը և մուտքի իրավունք է տրամադրում միայն արտոնված հայցադիմումատուներին, իսկ երկորրդ Firewall-ը, իսկ երկրորդ Firewall-ը վերահսկում է DMZ-ից ներքին ցանց գնացող թրաֆիկը։ Բացի այդ, ներքին Firewall-ի վրա կարելի է կարգաբերել Application մակարդակում աշխատող՝ ավելի դանդաղագործ ֆիլտրներ, ապահովելով լոկալ ցանցի ուժեղացված անվտանգությունը՝ առանց լոկալ ցանցի արագագործության վրա բացասական ներազդեցության։

Այսպիսի կոնֆեգուրացիոն լուծումը դժավարացնում է նաև հաքերների մուտքը Ընկերության ցանց, քանի որ նրանք ստիպված են հաղթահարել երկու առանձին, երբեմն նաև՝ տարբեր մակնիշի ֆայերվոլներ։