DMZ

Wydzielona, odizolowana strefa sieci, w której umieszcza się usługi dostępne z internetu, oddzielając je od sieci wewnętrznej dla bezpieczeństwa.

DMZ (z ang. Demilitarized Zone, strefa zdemilitaryzowana) to wydzielony, odizolowany fragment sieci, w którym umieszczasz usługi dostępne z internetu, żeby trzymać je z dala od sieci wewnętrznej (LAN). Nazwa to zapożyczenie z wojskowości: bufor między dwoma terytoriami. W IT ten bufor stoi pomiędzy publicznym, niebezpiecznym internetem a Twoją prywatną siecią, w której żyją bazy danych, stacje robocze i inne rzeczy, których nie chcesz wystawiać na świat.

Mechanizm jest prosty w idei: serwery, które muszą być widoczne z zewnątrz (serwer WWW, serwer pocztowy, DNS, brama VPN), lądują w osobnej podsieci. Firewall przepuszcza ruch z internetu tylko do DMZ i tylko na konkretne porty. Z DMZ do LAN ruch jest mocno ograniczony albo zablokowany. Dzięki temu, jeśli ktoś przejmie Twój serwer WWW, nie wskoczy od razu do bazy klientów po sąsiedzku, bo między nim a LAN-em stoi kolejna ściana.

Jak to wygląda w praktyce

Klasyczny układ to three-legged firewall: jedno urządzenie (np. pfSense albo OPNsense) z trzema interfejsami — WAN, LAN i DMZ. Tworzysz osobny segment, np. 192.168.50.0/24, wrzucasz tam serwer Nginx i ustawiasz reguły. Na pfSense regułka na interfejsie WAN przepuszcza ruch na port 443 w stronę hosta w DMZ, a osobna reguła na interfejsie DMZ blokuje inicjowanie połączeń do LAN-u (block from DMZ net to LAN net). Drugi popularny wariant to dual-firewall (back-to-back): dwa firewalle różnych producentów, DMZ między nimi — żeby jeden exploit nie rozłożył całej obrony.

Domowe routery też mają „DMZ host” w ustawieniach, ale uważaj: to zwykle nie jest prawdziwa DMZ, tylko przekierowanie wszystkich portów na jeden komputer w LAN. To raczej dziura niż strefa buforowa, więc nie traktuj tego jak rozwiązania produkcyjnego.

Częste błędy

  • Zaufanie do DMZ. Host w DMZ to host na pierwszej linii frontu — zakładaj, że prędzej czy później padnie. Nie trzymaj tam sekretów ani szerokiego dostępu do LAN.
  • Otwarty ruch DMZ → LAN. Jeśli serwer w DMZ ma swobodny dostęp do sieci wewnętrznej, cała separacja traci sens.
  • Mylenie z VLAN-em. VLAN to mechanizm segmentacji L2, DMZ to koncepcja architektury bezpieczeństwa — często realizowana właśnie przez VLAN, ale to nie to samo.

Pojęcia powiązane, które warto znać obok DMZ: firewall, VLAN, NAT, port forwarding, reverse proxy, bastion host oraz podejście zero trust, które stopniowo wypiera klasyczny podział „bezpieczne wewnątrz, niebezpieczne na zewnątrz”.