تعني Demilitarized Zone أي المنطقة منزوعة السلاح!!! (حسناً، لا زلنا هنا نتحدث عن الشبكات. ولم نتدخل في المصطلحات العسكرية).
من المتعارف عليه حالياً أن الشبكات بالنسبة لأي مؤسسة تقسم إلى نوعين:
- الشبكة الداخلية LAN: وأهم ما تتضمنه الأجهزة المركزية (السيرفرات) بالإضافة إلى أجهزة المستخدمين. ومن المفروض أن تكون محمية ومؤمنة من أي تداخل مع أي شبكة خارجية أخرى.
- الشبكة الخارجية Internet: بصفتها العامة لا يتوفر فيها مستوى عالٍ من الحماية. وهي بالنسبة للشبكة الداخلية تشكل مصدراً رئيسياً لخطر الإختراق والتهديدات.
عادة يُفصل بين هاتين الشبكتين بوسيلة حماية قد يكون أبسط صورة لها جهاز الراوتر، أو ربما بجدار ناري (Software مثل ISA Server أو Hardware مثل Cisco ASA) إن أردنا تطبيق حلول أقوى.
DMZ هي نوع ثالث، وتقع في مستوى وسط بين النوعين السابقين… هي شبكة محايدة، فلا هي محمية ومؤمنة بشكل كلّي كما هي الشبكة الداخلية. ولا هي مكشوفة بشكل صريح كما هي شبكة الإنترنت.
يتم اللجوء لحل DMZ عند الحاجة لتمكين المستخدمين في الشبكة الخارجية من الوصول إلى بعض الخدمات المحلية مثل Web Server أو FTP. فبدلاً من توفيرها ضمن مجال الشبكة الداخلية بما يشكّله هذا من تعريض كامل الشبكة لخطر الإختراق أو الهجمات، يتم وضع هذه الخدمات ضمن شبكة ثالثة منفصلة عن الشبكة الداخلية. وبذلك تتحقق إمكانية العزل عن الأخطار التي يمكن أن تشكّلها الإنترنت، مع إمكانية توفير الخدمات اللازمة للخارج.
الشكل التالي يوضح مفهوم DMZ بأبسط صورة:
يشكّل جهازي الراوتر وجدار النار firewall مستويين من الحماية هنا…وعملياً، يتم التصميم بحيث توضع كل شبكة من الشبكات الثلاث على أحد منافذ الجدار الناريfirewall interface. بالطبع يخصص لكل منها عنوان شبكة network addressومجموعة عناوين IP خاصة بها، ويقوم جدار النار -كما الراوتر- بتوجيه البيانات فيما بين المنافذ.
توضع السياسات المناسبة لكل منفذ، بحيث تمكّن كل طرف من الوصول فقط إلى ما هو مسموح له. مثلاً يستطيع المستخدمون المحليون الوصول إلى الإنترنت للتصفّح، والوصول إلى DMZ لإستعراض أو إضافة أو تعديل محتويات السيرفرات. بينما يمنع جدار النار المستخدمين الخارجيين من الوصول إلى LAN بل الوصول إلى DMZ فقط.
تدوينات ذات صله:
- قاموس المصطلحات – Routing Protocols
- قاموس المصطلحات – Network Address
- سكريبت لصدّ دودة Conficker على ISA Server
الأوسمة: ASA, dmz, firewall, ISA, جدار النار, حماية الشبكة
أفريل 26, 2009 عند 12:28 م
تحياتي لك اخي ابوالعبد.. كل ما ذكرته صحيح ولكني وددت اضافة نقطة صغيرة قد تزيد من فهم القارىء للموضوع وهي ان بيئة هذه الشبكة DMZ يتم ضبطها على أن تَمنع الأجهزة والسيرفرات الموجودة فيها من انشاء اتصال مباشر مع الأجهزة الأخرى في الشبكة الداخلية عكس ماهي عليه مع الشبكة الخارجية. وهذا هو السبب وراء تعزيزها لمستوى الحماية، فلو أن أحدا من خارج الشبكة استطاع أن يوظف هذه الخاصية (على فرض أنها غير موجودة) فستقع الشبكة الداخلية في خطر الاختراق عبر سيرفرات الدي ام زي.
شكرا لك على المجهود الرائع صراحة..
بالتوفيق أخي العزيز..
وائل
أفريل 27, 2009 عند 8:08 م
أخي وائل
أشكرك جداً على الإضافة والتوضيح…
في الفقرة الأخيرة من التدوينة فضلت ترك الشرح على عمومياته:
“توضع السياسات المناسبة لكل منفذ، بحيث تمكّن كل طرف من الوصول فقط إلى ما هو مسموح له”.
ودون الدخول كثيراً في تفاصيل السيناريوهات المحتملة لعمل DMZ.
أما عملية الضبط بحد ذاتها وبرمجة firewall فهي قصة أخرى 🙂
تشرفني زباراتك … وتسعدني مداخلاتك دائماً فلا تبخل علي بها
ماي 24, 2009 عند 3:56 م
السلام عليكم…..
اش المقصود بالجدار الناري بالضبط هل هو هاردوير او سوفت وير…
طيب ال DMZ حاتكون معرض للهاكرس؟!!! صح وبذلك ممكن البيانات تضيع!!
ماي 26, 2009 عند 10:12 م
عصام
قد يكون أي منهما hardware أو software
وجود DMZ هدفه الرئيسي والأهم هو حماية الشبكة الداخلية من الإختراقات الخارجية وليس حماية DMZ…
نعم، كونها مكشوفة للخارج يجعلها معرضة للإختراق إلى حد ما، لذلك يجب عدم وضع معلومات حساسة جداً عليها، و برمجة جدار النار لحمايتها قدر الإمكان، لكن ليس بمستوى الحماية التي يوفرها للشبكة الداخلية. وإلا سيصبح من الصعب الوصول إلى DMZ من الخارج وهذا ينفي الهدف من وجودها أصلاً.
أفريل 13, 2010 عند 1:15 م
مشكورين ع الافادة
وجازاكم الله كل خير
أفريل 24, 2011 عند 5:01 م
شكرا جزيلا على المعلومات الجميله دى
مارس 25, 2012 عند 5:02 م
السلام عليكم …..
هل دورة ccna secu راح تكون مفيده لي في تعلم مجال الحمايه ومنها DMZ او هناك
دورات اخرى لازم ادرسها مع العلم اني دارس ccna & ccnp rout ????
وشكرا على المعلومات القيمه .
أكتوبر 19, 2012 عند 1:26 م
جزاكم الله خير
جانفي 6, 2014 عند 9:54 م
thanks alllllllllllllllllooooooooooooootttt
جوان 14, 2014 عند 1:27 ص
قام بإعادة تدوين هذه على MacBandi Blog وأضاف التعليق:
خاصية DMZ بالراوترات الحديثة … مبروك لاصحاب الGaming
no lag after today
نوفمبر 2, 2014 عند 5:00 م
رائع ومبسط