DMZ (Demilitarized-Zone)

Eine DMZ - demilitarisierte Zone - kennzeichnet einen Bereich zwischen dem öffentlichen Internet und dem privaten Unternehmensnetzwerk. Ziel einer DMZ ist es, kontrollierten Zugriff auf Ressourcen innerhalb der DMZ, dem öffentlichen Netz (aber auch dem internen "privatem" Netzwerk) bereitzustellen. Rechner innerhalb der DMZ dürfen dazu über sehr eingeschränkte Wege (durch Firewalls, Applikation-Gateways und Reverse-Proxys) mit anderen Rechnern kommunizieren.

Beispiele für Einsatzgebiete

Zur Realisierung einer DMZ kommt in kleineren Netzen ein 3-Zonen-Umkreisnetzwerk zum Einsatz. Dabei wird die Firewall so konfiguriert, dass bestimmte Ports und IP-Adressen in ein separates IP-Segment gefiltert werden. Die Firewall hat dazu 3 Netzwerkkarten, wovon eine mit dem öffentlichen Internet, eine mit dem privaten Unternehmensnetzwerk und eine mit dem DMZ-Netzwerk verbunden ist. Über Firewall-Regeln wird gesteuert, welcher Datenverkehr aus welchen IP-Netzen die Firewall in welche Richtung verlassen darf. Gelingt dem Angreifer die feindliche Übernahme dieser einen Firewall, so hat er alle Möglichkeiten, im lokalen Unternehmensnetzwerk Schaden anzurichten.

Eine bessere Implementierung einer DMZ stellt die Front/Backend-Firewall-Strategie dar. Hierbei wird in der Front-Firewall, die Zugang zur DMZ und dem öffentlichen Internet hat, eine erste Filterung des Datenstromes in die DMZ realisiert. Auf Ressourcen, die auf der Front-Firewall freigegeben wurden, kann später aus dem öffentlichen Internet zugegriffen werden. Die zweite Firewall, die Backend-Firewall, verbindet das lokale Firmennetzwerk mit der DMZ. Auf dieser Firewall wird jeglicher Datenverkehr von der Richtung DMZ ins Firmennetzwerk gesperrt und ausgewählte Zugriffe vom Firmennetzwerk in die DMZ erlaubt. Oftmals wird die DMZ noch in weitere Zonen unterteilt, um Web-, Mail- und Datenbankserver untereinander und von weiteren Servern zu isolieren. Je nach Schutzaufwand kommen dabei unteranderen Applikations-Gateways und Reverse-Proxys zum Einsatz.