In computernetwerken is een gedemilitariseerde zone een speciale lokale netwerkconfiguratie die is ontworpen om de beveiliging te verbeteren door computers aan weerszijden van een firewall te scheiden. Een DMZ kan zowel op thuisnetwerken als op bedrijfsnetwerken worden ingesteld, hoewel het nut ervan thuis beperkt is.
Waar is een DMZ nuttig?
In een thuisnetwerk worden computers en andere apparaten meestal geconfigureerd in een lokaal netwerk dat met internet is verbonden via een breedbandrouter. De router dient als een firewall en filtert selectief verkeer van buitenaf om ervoor te zorgen dat alleen legitieme berichten worden doorgelaten. Een DMZ verdeelt zo'n netwerk in twee delen door een of meer apparaten binnen de firewall te brengen en naar buiten te verplaatsen. Deze configuratie beschermt de interne apparaten beter tegen mogelijke aanvallen van buitenaf (en vice versa).
Een DMZ is handig in huizen wanneer het netwerk een server draait. De server kon worden opgezet in een DMZ zodat internetgebruikers deze konden bereiken via het openbare IP-adres, en de rest van het thuisnetwerk werd beschermd tegen aanvallen in gevallen waarin de server werd gecompromitteerd. Jaren geleden, voordat cloudservices algemeen beschikbaar en populair werden, gebruikten mensen vaker web-, VoIP- of bestandsservers vanuit hun huis en waren DMZ's logischer.
Zakelijke computernetwerken daarentegen kunnen vaker DMZ's gebruiken om hun bedrijfsweb en andere openbare servers te helpen beheren. Thuisnetwerken profiteren tegenwoordig vaker van een variant van DMZ, DMZ-hosting genaamd.
DMZ Host-ondersteuning in breedbandrouters
Informatie over netwerk-DMZ's kan in het begin verwarrend zijn om te begrijpen, omdat de term verwijst naar twee soorten configuraties. De standaard DMZ-host-functie van thuisrouters stelt geen volledig DMZ-subnetwerk in, maar identificeert in plaats daarvan één apparaat op het bestaande lokale netwerk om buiten de firewall te functioneren terwijl de rest van het netwerk functioneert zoals normaal.
Om DMZ-hostondersteuning op een thuisnetwerk te configureren, logt u in op de routerconsole en schakelt u de DMZ-hostoptie in die standaard is uitgeschakeld. Voer het privé-IP-adres in voor het lokale apparaat dat als host is aangewezen. Xbox- of PlayStation-gameconsoles worden vaak gekozen als DMZ-hosts om te voorkomen dat de firewall thuis het online gamen verstoort. Zorg ervoor dat de host een statisch IP-adres gebruikt (in plaats van een dynamisch toegewezen), anders kan een ander apparaat het aangewezen IP-adres overnemen en in plaats daarvan de DMZ-host worden.
True DMZ-ondersteuning
In tegenstelling tot DMZ-hosting, zet een echte DMZ (soms een commerciële DMZ genoemd) een nieuw subnetwerk op buiten de firewall waarop een of meer computers draaien. Die computers aan de buitenkant voegen een extra beschermingslaag toe voor computers achter de firewall, aangezien alle inkomende verzoeken worden onderschept en eerst door een DMZ-computer moeten gaan voordat ze de firewall bereiken. Echte DMZ's zorgen er ook voor dat computers achter de firewall niet rechtstreeks met DMZ-apparaten kunnen communiceren, waardoor berichten in plaats daarvan via het openbare netwerk moeten komen. Multi-level DMZ's met meerdere lagen firewall-ondersteuning kunnen worden ingesteld om grote bedrijfsnetwerken te ondersteunen.
