DMZ Nedir?

Yeni bir firewall (ate duvar) aldnz ve en ksa srede bu firewall`u kullanmak istiyorsunuz. Muhtemelen ilk hareketiniz btn kullanc ve sunucular firewall un arkasna koymak olacaktr. Bu kk iletmeler iin olumlu bir uygulamadr, fakat byk lekli irketler i network ile d dnyay birbirinden ayran DMZ (demilitarized zone) yani ak blgeyi de gz nne almaldrlar.
DMZ ler herkeze ak bilgilerin konulabilecei en iyi alandr. Hem normal hemde potansiyel mteriler ile dardan gelen dier tm kullanclar, i network e ulamadan irket hakknda istedikleri bilgileri elde edebilirler. zel ve gizli bilgileriniz, DMZ in arkasndaki i network de tutulabilirler. DMZ zerindeki sunucular zel bilgileri, kaynak kodlar ve ticari bilgileri iermemelilerdir. DMZ zerindeki sunuculrdaki bir ak, siz bu a kapatana kadar, ulalamama gibi can skc bir durum yaratabilir.

DMZ e konulabilecek sistemlere rnek vermek gerekirse :
Herkese ak bilgilerin bulunduu web sunucular. Siparilerin tutulduu elektronik ticaret transfer sunucular. (Mteri bilgilerinin tutulduu sunucular firewall un arkasna koyunuz) Dardan gelen elektronik postalar ieriye ynlendiren elektronik posta sunucular. network nze ulalmasnda kimlik tanmlamas yapan sunucu ve servisler. VPN sonlandrclar. Uygulama klar. Test amal sunucular. Tipik servisler, mesela genel kullanma ak HTTP, gvenli SMPT, gvenli FTP ve gvenli TELNET DMZ e konulabilir.

Eer i network e gelen btn HTTP isteklerini firewall zerinde blokladysanz, dardaki kullanclar i networklerde dolaamazlar. Eer dar kan HTTP istekleri firewall zerinde blokland ise bu sefer ierideki kullanclarnz sadece ierideki web sunucularn ziyaret edebilirler ve darya kamazlar. Eer DMZ de gvenli TELNET ve FTP sunucular kullanmak istiyorsanz, bunlar kullanacak kullanclar iin bir kimlik tanmlama amal token, s/key veya radius sunucular bulundurmanz gerekecektir. Elektronik postalarnz dardan ieriye gelirken doal olarak gvenlik tehlikesi oluacaktr. Bu yzden DMZ e koyulacak olan bir SMPT kaps ile gelen ve giden elektronik postalara ierik kontrolnn yan sra kontrol edebilmek yetisinide getirecektir. Ve bylece hem virslerden kurtulmu hem de giri klarda dier ayrntl kontrolleride salam olursunuz.

DMZ yaratabilmek iin firewall unuzda 3 adet network kart bulunmaldr. Bir kart i network iin, ikincisi gvensiz olan internet iin ve son kart da DMZ iin kullanlacaktr.
Yukarda saylan sunucularn haricinde kalan ve nemli bilgilerin bulunduu sunucular mutlaka firewall un arkasnda bulunmaldr. Firewall u bir kere kurup kurallar girerken, i network e giden trafik iin baz sk kurallar eklemek isteyebilirsiniz. Ayn ekilde DMZ e giden trafik iin de biraz daha serbest kurallar eklemek gerekecektir.
rnein; HTTP trafiini DMZ e serbest brakrken, i network e kesinlikle yasaklamak mantkl olacaktr. DMZ de bulunan sistemler sizin istediinizden daha az gvenli durumda olacaklardr. Bu yzden DMZ deki sistemlere gelebilecek istenmeyen davranlara kar DMZ de bir IDS (intrusion detection system) bulundurmak isteyebilirsiniz.

Bylece DMZ deki makinalarnz yeterli derecede ve kolayca izleyebilirsiniz. nk hangi portlar kullanlyor veya hangi i veya d kullanc hangi uygulama sunucusunu kullanyor, bunlar grebiliyorsunuz. Bunun yannda i network nze giden trafik iin olduka sk kurallar firewall a eklemeniz gerekmektedir. Kullanclarnz ve sistemleri en basit ekliyle tehlikelerden korumak zorundasnz.