Suchen

Definition DMZ Was ist eine DMZ (Demilitarized Zone)?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Bei der Demilitarized Zone (DMZ) handelt es sich um ein eigenständiges Netzwerk, das als Pufferzone zwischen einem externen Netz und dem internen Netzwerk agiert. In dem Puffernetzwerk befinden sich beispielsweise Webserver oder Mailserver, deren Kommunikation durch Firewalls überwacht ist.

Eine DMZ (Demilitarized Zone) ist eine Pufferzone zwischen externem und internem Netzwerk. Der Aufbau kann mit einistufigem oder zweistufigem Firewall-Konzept erfolgen.
Eine DMZ (Demilitarized Zone) ist eine Pufferzone zwischen externem und internem Netzwerk. Der Aufbau kann mit einistufigem oder zweistufigem Firewall-Konzept erfolgen.
(Bild: gemeinfrei)

Die Abkürzung DMZ steht für Demilitarized Zone und bezeichnet ein speziell kontrolliertes Netzwerk, das sich zwischen dem externen Netzwerk (Internet) und dem internen Netz befindet. Es stellt eine Art Pufferzone dar, die die Netze durch strenge Kommunikationsregeln und Firewalls voneinander trennt.

In der Demilitarized Zone befinden sich Server wie Webserver, Mailserver, Authentication-Server oder Anwendungs-Gateways. Nur diese sind für User aus dem Internet erreichbar. Durch die Trennung der DMZ vom internen Netz ist kein Zugriff für externe Anwender auf interne Ressourcen möglich. Das private Netzwerk bleibt vor Angriffen aus dem Internet oder vor Überlastung durch Internetanfragen geschützt. Die Demilitarized Zone kann durch eine oder mehrere Firewalls von den angrenzenden Netzwerken separiert sein.

Firewall-Regeln für die Verbindung zur Demilitarized Zone

Die Regeln auf der Firewall sorgen im Zusammenspiel mit der Demilitarized Zone für folgende Kommunikationsmöglichkeiten: Anwender aus dem Internet dürfen lediglich auf Server in der Demilitarized Zone und nicht auf Ressourcen des internen Netzwerks zugreifen. Anwender aus dem internen Netz kommunizieren in der Regel nicht direkt mit Ressourcen aus dem Internet. Sie greifen beispielsweise über einen Proxy-Server, der als Stellvertreter die Kommunikation in das Internet für sie abwickelt, auf externe Ressourcen zu. Pakete aus der Demilitarized Zone heraus, für die es keine korrespondierenden Eingangspakete gibt, werden von der Firewall in Richtung Internet und internes Netz verworfen. Es existieren Ausnahmen von diesen grundlegenden Kommunikationsregeln, um beispielsweise Anwendungsserver an interne Datenbanken anzubinden. Diese Ausnahmen konfiguriert der Administrator der Firewall.

Die DMZ mit einer oder zwei Firewalls

Eine Demilitarized Zone lässt sich mit einer oder mit zwei Firewalls realisieren. Kommen zwei Firewalls zum Einsatz, befindet sich jeweils eine zwischen DMZ und internem Netz (innere Firewall) sowie zwischen DMZ und externem Netz (äußere Firewall). Im Optimalfall handelt es sich um Firewalls von verschiedenen Herstellern. Dies verhindert, dass Sicherheitslücken es erlauben, beide Firewalls gleichzeitig zu überwinden. Eine kostengünstigere Lösung stellt die Realisierung der Demilitarized Zone mit nur einer Firewall dar. Diese besitzt mindestens drei Netzwerkanschlüsse, mit denen das interne Netz, das externe Netz und die Demilitarized Zone verbunden sind. Die komplette Kommunikation überwacht in diesem Fall nur eine einzige Firewall.

Der Exposed Host als günstige alternative zu einer Demilitarized Zone

Günstige Router, wie sie beispielsweise für den privaten Internetzugang zum Einsatz kommen, werben oft mit einer DMZ-Unterstützung. In der Regel handelt es sich jedoch nicht um eine echte Demilitarized Zone, sondern um einen Exposed Host. Ist ein Exposed Host konfiguriert, leitet der Router sämtlichen Verkehr aus dem Internet, der nicht zu existierenden Verbindungen gehört, an einen einzigen Rechner oder Server weiter. Dieser ist dadurch für User aus dem Internet erreichbar. Allerdings ist der Exposed Host nicht vom LAN separiert und bietet keine vergleichbare Schutzwirkung wie in einer DMZ.

(ID:45090986)

Über den Autor