ما هو DMZ وكيف يمكنك تكوين واحد على شبكتك؟

ماذا تعني كلمة "DMZ"؟ DMZ تعني منطقة منزوعة السلاح ، لكن هذا يعني في الواقع أشياء مختلفة في عوالم مختلفة.

في العالم الحقيقي ، المنطقة المجردة من السلاح هي شريط من الأرض يعمل كنقطة ترسيم بين كوريا الشمالية والجنوبية. ولكن عندما يتعلق الأمر بالتكنولوجيا ، فإن DMZ عبارة عن شبكة فرعية منفصلة منطقيًا تحتوي عادةً على خدمات الشبكة المستضافة خارجيًا والتي تواجه الإنترنت. إذن ما هو هدف المنطقة المجردة من السلاح بالضبط؟ كيف تحميك؟ وهل يمكنك إعداد واحد على جهاز التوجيه الخاص بك؟

ما هو الغرض من المنطقة المجردة من السلاح؟

يعمل DMZ كدرع بين الإنترنت غير الموثوق به وشبكتك الداخلية.

من خلال عزل الخدمات الأكثر ضعفًا والتي تواجه المستخدم مثل البريد الإلكتروني والويب وخوادم DNS داخل الشبكة الفرعية المنطقية الخاصة بهم ، يمكن حماية بقية الشبكة الداخلية أو شبكة المنطقة المحلية (LAN) في حالة حدوث تسوية.

يتمتع المضيفون داخل المنطقة المجردة من السلاح باتصال محدود بالشبكة الداخلية الرئيسية حيث يتم وضعهم خلف جدار حماية متداخل يتحكم في تدفق حركة المرور بين نقطتي الشبكة. ومع ذلك ، يُسمح ببعض الاتصالات حتى يتمكن مضيفو DMZ من تقديم خدمات لكل من الشبكة الداخلية والخارجية.

الموضوعات ذات الصلة: ما هو الفرق بين LAN و WAN؟

الفرضية الرئيسية وراء المنطقة المجردة من السلاح هي الحفاظ على إمكانية الوصول إليها من الإنترنت مع ترك بقية الشبكة المحلية الداخلية سليمة ولا يمكن الوصول إليها من العالم الخارجي. تمنع طبقة الأمان المضافة هذه الجهات المهددة من التسلل المباشر إلى شبكتك.

ما هي الخدمات المضافة داخل المنطقة المجردة من السلاح؟

أسهل طريقة لفهم تكوين DMZ هي التفكير في جهاز توجيه. تحتوي أجهزة التوجيه بشكل عام على واجهتين:

  1. الواجهة الداخلية: هذه هي واجهتك غير المواجهة للإنترنت والتي تحتوي على مضيفيك الخاصين.
  2. الواجهة الخارجية: هذه هي الواجهة المواجهة للإنترنت والتي تحتوي على ارتباطك الصاعد وتفاعلك مع العالم الخارجي.

لتنفيذ شبكة DMZ ، ما عليك سوى إضافة واجهة ثالثة تعرف باسم DMZ. يتم بعد ذلك توصيل أي مضيف يمكن الوصول إليه مباشرة من الإنترنت أو يتطلب اتصالاً منتظمًا بالعالم الخارجي من خلال واجهة DMZ.

تشمل الخدمات القياسية التي يمكن وضعها داخل DMZ خوادم البريد الإلكتروني وخوادم FTP وخوادم الويب وخوادم VOIP وما إلى ذلك.

يجب إيلاء اعتبار دقيق لسياسة أمان الكمبيوتر العامة لمؤسستك ويجب إجراء تحليل للموارد قبل ترحيل الخدمات إلى المنطقة المجردة من السلاح.

هل يمكن تنفيذ DMZ على شبكة منزلية أو لاسلكية؟

ربما لاحظت أن معظم أجهزة التوجيه المنزلية تذكر مضيف DMZ. بالمعنى الحقيقي للكلمة ، هذه ليست منطقة منزوعة السلاح (DMZ) حقيقية. السبب هو أن DMZ على شبكة منزلية هو ببساطة مضيف على الشبكة الداخلية به جميع المنافذ مكشوفة بجانب تلك التي لم تتم إعادة توجيهها.

يحذر معظم خبراء الشبكات من تكوين مضيف DMZ لشبكة منزلية. هذا لأن مضيف DMZ هو تلك النقطة بين الشبكات الداخلية والخارجية التي لا تُمنح نفس امتيازات جدار الحماية التي تتمتع بها الأجهزة الأخرى على الشبكة الداخلية.

أيضًا ، لا يزال مضيف DMZ المستند إلى المنزل يحتفظ بالقدرة على الاتصال بجميع المضيفين على الشبكة الداخلية وهو ما لا ينطبق على تكوينات DMZ التجارية حيث يتم إجراء هذه الاتصالات من خلال جدران الحماية المنفصلة.

يمكن لمضيف DMZ على شبكة داخلية أن يوفر إحساسًا زائفًا بالأمان عندما يتم استخدامه في الواقع كطريقة مباشرة لإعادة توجيه المنافذ إلى جدار حماية آخر أو جهاز NAT.

يعد تكوين DMZ لشبكة منزلية ضروريًا فقط إذا كانت بعض التطبيقات تتطلب وصولاً مستمراً إلى الإنترنت. على الرغم من أنه يمكن تحقيق ذلك من خلال إعادة توجيه المنافذ أو إنشاء خوادم افتراضية ، إلا أن معالجة العدد الكبير من أرقام المنافذ في بعض الأحيان تجعله غير عملي. في مثل هذه الحالات ، يعد إعداد مضيف DMZ حلاً منطقيًا.

نموذج جدار الحماية الفردي والمزدوج للمنطقة المنزوعة السلاح

يمكن إجراء إعدادات DMZ بطرق مختلفة. تُعرف الطريقتان الأكثر استخدامًا بالشبكة ثلاثية الأرجل (جدار الحماية الفردي) ، والشبكة ذات الجدران النارية المزدوجة.

بناءً على متطلباتك ، يمكنك اختيار أي من هذه البنى.

طريقة جدار الحماية ثلاثية الأرجل أو الفردية

هذا النموذج يحمل ثلاث واجهات. الواجهة الأولى هي الشبكة الخارجية من ISP إلى جدار الحماية ، والثانية هي شبكتك الداخلية ، وأخيرًا ، الواجهة الثالثة هي شبكة DMZ التي تحتوي على خوادم مختلفة.

عيب هذا الإعداد هو أن استخدام جدار حماية واحد فقط هو نقطة الفشل الوحيدة للشبكة بأكملها. إذا تم اختراق جدار الحماية ، فسوف تنخفض المنطقة المنزوعة السلاح بالكامل أيضًا. أيضًا ، يجب أن يكون جدار الحماية قادرًا على التعامل مع جميع حركة المرور الواردة والصادرة لكل من DMZ والشبكة الداخلية.

طريقة جدار الحماية المزدوج

كما يوحي الاسم ، يتم استخدام جدارين ناريتين لتصميم هذا الإعداد ، مما يجعله أكثر أمانًا من الطريقتين. يتم تكوين جدار حماية أمامي يسمح لحركة المرور بالمرور من وإلى DMZ فقط. يتم تكوين جدار الحماية الثاني أو الخلفي لتمرير حركة المرور بعد ذلك من DMZ إلى الشبكة الداخلية.

يقلل وجود جدار حماية إضافي من فرص تأثر الشبكة بالكامل في حالة حدوث حل وسط.

يأتي هذا بطبيعة الحال بسعر أعلى ولكنه يوفر التكرار في حالة فشل جدار الحماية النشط. تضمن بعض المؤسسات أيضًا أن كلا الجدارين الناريتين تم إنشاؤهما بواسطة بائعين مختلفين لإنشاء المزيد من العوائق للمهاجمين الذين يتطلعون إلى اختراق شبكة.

كيفية إعداد DMZ على جهاز التوجيه المنزلي الخاص بك

الطريقة الأسهل والأسرع لإنشاء شبكة DMZ منزلية هي استخدام النموذج ثلاثي الأرجل. سيتم تخصيص كل واجهة كشبكة داخلية وشبكة DMZ وشبكة خارجية. أخيرًا ، ستكمل بطاقة Ethernet بأربعة منافذ في جدار الحماية هذا الإعداد.

توضح الخطوات التالية كيفية إعداد DMZ على جهاز توجيه منزلي. لاحظ أن هذه الخطوات ستكون مماثلة لمعظم أجهزة التوجيه الرئيسية مثل Linksys و Netgear و Belkin و D-Link:

  1. قم بتوصيل جهاز الكمبيوتر الخاص بك بالموجه عبر كابل إيثرنت.
  2. انتقل إلى متصفح الويب الخاص بجهاز الكمبيوتر الخاص بك واكتب عنوان IP الخاص بجهاز التوجيه الخاص بك في شريط أدوات العنوان. عادةً ما يكون عنوان جهاز التوجيه هو 192.168.1.1. اضغط على "أدخل" أو مفتاح الرجوع.
  3. سترى طلبًا لإدخال كلمة مرور المسؤول. أدخل كلمة المرور التي قمت بإنشائها في وقت إعداد جهاز التوجيه. كلمة المرور الافتراضية على العديد من أجهزة التوجيه هي "admin".
  4. حدد علامة التبويب "الأمان" الموجودة في الزاوية العلوية العليا لواجهة الويب الخاصة بالموجه.
  5. قم بالتمرير إلى أسفل وحدد المربع المنسدل المسمى "DMZ". الآن اختر خيار القائمة التمكين .
  6. أدخل عنوان IP لمضيف الكمبيوتر الوجهة. يمكن أن يكون هذا أي شيء مثل كمبيوتر سطح المكتب البعيد أو خادم الويب أو أي جهاز يحتاج إلى الوصول إلى الإنترنت. ملاحظة: يجب أن يكون عنوان IP الذي تقوم بإعادة توجيه حركة مرور الشبكة فيه ثابتًا حيث سيتغير عنوان IP المعين ديناميكيًا في كل مرة يتم فيها إعادة تشغيل جهاز الكمبيوتر الخاص بك.
  7. حدد حفظ الإعدادات وأغلق وحدة التحكم في جهاز التوجيه.

ذات صلة: كيفية البحث عن عنوان IP لجهاز التوجيه الخاص بك

احم بياناتك وقم بتكوين المنطقة المجردة من السلاح

يقوم المستهلكون الأذكياء دائمًا بتأمين أجهزة التوجيه والشبكات الخاصة بهم من المتسللين قبل الوصول إلى الشبكات الخارجية. يمكن أن توفر المنطقة المنزوعة السلاح (DMZ) طبقة إضافية من الأمان بين بياناتك الثمينة والمتسللين المحتملين.

على الأقل ، فإن استخدام DMZ واستخدام النصائح البسيطة لتأمين أجهزة التوجيه الخاصة بك يمكن أن يجعل من الصعب جدًا على الجهات الفاعلة في التهديد اختراق شبكتك. وكلما كان من الصعب على المهاجمين الوصول إلى بياناتك ، كان ذلك أفضل بالنسبة لك!