DMZ (Zona demilitarizzata)

I sistemi firewall permettono di definire delle regole di accesso fra due reti. Tuttavia, in pratica, le aziende hanno generalmente più sub-reti con delle politiche di sicurezza diverse. Ecco perché è necessario realizzare delle architetture di sistemi firewall che permettono di isolare le diverse reti aziendali: si parla allora di isolamento delle reti (il termine isolation).

Architettura DMZ

Quando alcuni terminali della rete interna devono essere accessibili dall'esterno (server web, un server di messaggeria, un server FTP pubblico, ecc.), è spesso necessario creare una nuova interfaccia verso una rete a parte, accessibile sia dalla rete interna che da quella esterna, senza per altro rischiare di compromettere la sicurezza dell'azienda. Si parla allora di «zona demilitarizzata» (sigla DMZ per DeMilitarized Zone) per designare questa zona isolata che ospita delle applicazioni a disposizione del pubblico. La DMZ fa anche da «zona cuscinetto» tra la rete da proteggere e la rete ostile:


I server posti nella DMZ sono chiamati «bastioni» per il loro ruolo di avamposti della rete aziendale. La politica di sicurezza attuata sulla DMZ è solitamente la seguente: Traffico della rete esterna verso la DMZ autorizzato; Traffico della rete esterna verso la rete interna vietato; Traffico della rete interna verso la DMZ autorizzato; Traffico della rete interna verso la rete esterna autorizzato; Traffico della DMZ verso la rete interna vietato; Traffico della DMZ verso la rete esterna rifiutato.

La DMZ ha dunque un livello di sicurezza intermedio, ma il suo livello di securizzazione non è sufficiente per immagazzinarvi dei dati sensibili per l'azienda. Si fa notare che è possibile realizzare delle DMZ internamente per isolare la rete interna a diversi livelli di protezione e quindi evitare le intrusioni provenienti dall'interno.

Foto: © Pixabay.