Skip to content Skip to navigation Skip to footer

DMZ

Fale conosco

O que é uma rede DMZ?

Uma zona desmilitarizada (DMZ) é uma rede perimetral que protege a rede local (LAN) interna de uma organização contra tráfego não confiável. 

Um significado comum de DMZ é uma sub-rede que fica entre a internet pública e as redes privadas. Ela expõe serviços externos a redes não confiáveis e adiciona uma camada extra de segurança para proteger os dados confidenciais armazenados em redes internas, usando firewalls para filtrar o tráfego.

O objetivo final da DMZ é permitir que a organização acesse redes não confiáveis, como a internet, com a garantia de que sua rede privada ou LAN permanecerá segura. As organizações normalmente armazenam serviços e recursos externos, bem como servidores para o Sistema de nomes de domínio (DNS), Protocolo de transferência de arquivos (FTP), e-mail, proxy, Voz sobre IP (VoIP) e servidores web na DMZ. 

Esses servidores e recursos são isolados e recebem acesso limitado à LAN para garantir que eles possam ser acessados via internet, mas que a LAN interna não possa. Como resultado, o uso da DMZ torna mais difícil para um hacker obter acesso direto aos dados e servidores internos de uma organização através da internet.

 

Como funciona uma rede DMZ?

As empresas com um site público que os clientes usam devem tornar seu servidor web acessível pela internet. Fazer isso significa colocar toda a sua rede interna em risco. Para evitar esse risco, a organização poderia pagar uma empresa de hospedagem para hospedar o site ou seus servidores públicos em um firewall, mas isso afetaria o desempenho. Então, em vez disso, os servidores públicos são hospedados em uma rede separada e isolada.

Uma rede DMZ oferece um buffer entre a internet e a rede privada de uma organização. A DMZ é isolada por um gateway de segurança, como um firewall, que filtra o tráfego entre a DMZ e a LAN. A DMZ é protegida por outro gateway de segurança que filtra o tráfego proveniente de redes externas.

Ela está idealmente localizada entre dois firewalls, e a configuração do firewall da DMZ garante que os pacotes de rede de entrada sejam observados por um firewall — ou outras ferramentas de segurança — antes que cheguem aos servidores hospedados na DMZ. Isso significa que, mesmo que um atacante sofisticado seja capaz de passar pelo primeiro firewall, ele também deve acessar os serviços reforçados na DMZ antes que possa causar danos à empresa.

Se um invasor conseguir penetrar no firewall externo e comprometer um sistema na DMZ, ele também terá que passar por um firewall interno antes de obter acesso a dados corporativos confidenciais. Um criminoso altamente habilidoso pode muito bem ser capaz de violar uma DMZ segura, mas os recursos dentro dela devem emitir alarmes que avisem enfaticamente que uma violação está em andamento.

As organizações que precisam cumprir regulamentos como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), muitas vezes instalam um servidor proxy na DMZ. Isso permite que eles simplifiquem o monitoramento e a gravação da atividade do usuário, centralizem a filtragem de conteúdo da web e garantam que os funcionários usem o sistema para obter acesso à internet.

 

Benefícios do uso de uma DMZ

O principal benefício de uma DMZ é fornecer uma rede interna com uma camada de segurança adicional, restringindo o acesso a dados e servidores confidenciais. A DMZ permite que os visitantes do site obtenham determinados serviços, ao mesmo tempo que proporciona um buffer entre eles e a rede privada da organização. Como resultado, a DMZ também oferece benefícios de segurança adicionais, como:

  1. Ativar o controle de acesso: As empresas podem fornecer aos usuários acesso a serviços fora dos perímetros de sua rede por meio da internet pública. A DMZ permite o acesso a esses serviços ao memso tempo que implementa a segmentação de rede para dificultar o acesso de um usuário não autorizado à rede privada. A DMZ também pode incluir um servidor proxy, o que centraliza o fluxo de tráfego interno e simplifica o monitoramento e o registro desse tráfego.
  2. Prevenção do reconhecimento de rede: ao proporcionar um buffer entre a internet e a rede privada, a DMZ impede que os invasores façam o trabalho de reconhecimento que costumam fazer em alvos potenciais de sourcing. Os servidores dentro da DMZ estão expostos publicamente, mas é oferecida a eles outra camada de segurança por um firewall que impede que o invasor veja dentro da rede interna. Mesmo que um sistema DMZ seja comprometido, o firewall interno separa a rede privada da DMZ para mantê-la segura e dificultar o reconhecimento externo.
  3. Como bloquear a falsificação de protocolo de internet (IP): Os invasores podem tentar obter acesso aos sistemas falsificando um endereço IP e assumindo a identidade de um dispositivo aprovado conectado à rede. A DMZ pode descobrir e impedir tentativas de falsificação enquanto outro serviço verifica a legitimidade do endereço IP. A DMZ também oferece segmentação de rede para criar um espaço para o tráfego ser organizado e os serviços públicos serem acessados longe da rede privada interna.

Os serviços de uma DMZ incluem:

  1. Servidores DNS
  2. Servidores FTP
  3. Servidor de e-mail
  4. Servidor proxy
  5. Servidores web

Projeto e arquitetura DMZ

A DMZ é uma "rede totalmente aberta," mas há várias abordagens de projeto e arquitetura que a protegem. A DMZ pode ser projetada de várias maneiras, desde uma abordagem de firewall único até firewalls duplos e múltiplos. A maioria das arquiteturas de DMZ modernas usa firewalls duplos que podem ser expandidos para desenvolver sistemas mais complexos.

  1. Um único firewall: Uma DMZ com um projeto de firewall único requer três ou mais interfaces de rede. A primeira é a rede externa, que conecta a conexão pública de internet ao firewall. A segunda forma a rede interna, enquanto a terceira está conectada à DMZ. Várias regras monitoram e controlam o tráfego que tem permissão para acessar a DMZ e limitam a conectividade com a rede interna.
  2. Firewall duplo: A implantação de dois firewalls com uma DMZ entre eles geralmente é uma opção mais segura. O primeiro firewall só permite tráfego externo para a DMZ, e o segundo só permite tráfego que vai da DMZ para a rede interna. Um invasor teria que comprometer ambos os firewalls para obter acesso à LAN da organização.

As organizações também podem ajustar os controles de segurança para vários segmentos de rede. Isso significa que pode-se configurar um sistema de detecção de intrusão (IDS) ou um sistema de prevenção de intrusão (IPS) dentro de uma DMZ para bloquear qualquer tráfego que não seja uma solicitação de Protocolo de transferência de hipertexto segura (HTTPS) para a porta 443 do protocolo de controle de transmissão (TCP).

 

A importância das redes DMZ: Como elas são usadas?

As redes DMZ têm sido fundamentais para proteger redes corporativas desde a introdução dos firewalls. Elas protegem os dados, sistemas e recursos confidenciais das organizações, mantendo as redes internas separadas dos sistemas que poderiam ser visados pelos invasores. As DMZs também permitem que as organizações controlem e reduzam os níveis de acesso a sistemas confidenciais.

As empresas estão cada vez mais usando contêineres e máquinas virtuais (VMs) para isolar suas redes ou aplicativos específicos do resto de seus sistemas. O crescimento da nuvem significa que muitas empresas não precisam mais de servidores web internos. Elas também migraram grande parte de sua infraestrutura externa para a nuvem usando aplicativos de software como serviço (SaaS). 

Por exemplo, um serviço de nuvem como o Microsoft Azure permite que uma organização que executa aplicativos no local e em redes privadas virtuais (VPNs) use uma abordagem híbrida com a DMZ entre ambas. Esse método também pode ser usado quando o tráfego de saída precisa de auditoria ou para controlar o tráfego entre um centro de dados local e redes virtuais.

Além disso, as DMZs demonstraram sua utilidade para combater os riscos de segurança apresentados por dispositivos de internet das coisas (IoT) e sistemas de tecnologia operacional (TO), que tornam a produção e a fabricação mais inteligentes, mas criam uma vasta superfície de ameaça. Isso ocorre porque o equipamento de TO não foi projetado para lidar ou se recuperar de ataques cibernéticos da maneira como os dispositivos IoT foram, o que representa um risco substancial para os dados e recursos críticos das organizações. A DMZ fornece segmentação de rede para reduzir o risco de um ataque que pode causar danos à infraestrutura industrial.

Como a Fortinet pode ajudar

O firewall de próxima geração (NGFW) FortiGate, da Fortinet, contém uma rede DMZ que pode proteger os servidores e as redes dos usuários. Ele cria um buraco na proteção de rede para que os usuários acessem um servidor web protegido pela DMZ e só concede acesso que tenha sido explicitamente habilitado. Confira o livro de receitas da Fortinet para obter mais informações sobre como proteger um servidor web com uma DMZ

Perguntas frequentes

O que é uma DMZ?

Uma DMZ, que é a abreviação de uma zona desmilitarizada, é uma rede de perímetro que permite que as organizações protejam suas redes internas. Ela possibilita que as organizações forneçam acesso a redes não confiáveis, como a internet, mantendo as redes privadas ou redes locais (LANs) seguras. A DMZ geralmente é usada para armazenar recursos, servidores e serviços externos.

A DMZ é segura?

A própria rede DMZ não é segura. Ela permite que hosts e sistemas armazenados dentro dela sejam acessíveis a partir de redes externas não confiáveis, como a internet, enquanto mantém outros hosts e sistemas em redes privadas isoladas.

Qual é o benefício da DMZ?

A DMZ fornece uma camada extra de segurança para uma rede interna. Ela restringe o acesso a dados, recursos e servidores confidenciais colocando um buffer entre usuários externos e a rede privada. Outros benefícios incluem o controle de acesso, impedindo que os invasores façam reconhecimento de alvos potenciais e protegendo as organizações dos ataques de falsificação de IP.

Você deve usar uma DMZ em seu roteador?

Uma DMZ pode ser usada em um roteador em uma rede doméstica. O roteador torna-se uma LAN, com computadores e outros dispositivos conectados a ele. Alguns roteadores domésticos também têm um recurso de host DMZ que aloca um dispositivo para operar fora do firewall e atuar como DMZ. Todos os outros dispositivos ficam dentro do firewall dentro da rede doméstica. Um console de jogos é muitas vezes uma boa opção para usar como host DMZ. Ele garante que o firewall não afete o desempenho dos jogos e provavelmente conterá dados menos sensíveis do que um laptop ou PC.


Links Rápidos

links image 1 139x100

Demo gratuita do produto

Explore os principais recursos e capacidades e experimente as interfaces do usuário.
resource center icon 139X159

Central de recursos

Faça o download de uma ampla variedade de materiais e documentos educacionais.
links image 2 139x121

Testes Gratuitos

Teste nossos produtos e soluções.
contact sales icon 139x85

Entre em contato com vendas.

Tem uma dúvida? Nós estamos aqui para ajudar.