Definition DMZ

Was ist eine DMZ (Demilitarized Zone)?

| Autor / Redakteur: Tutanch / Peter Schmitz

Eine DMZ (Demilitarized Zone) ist eine Pufferzone zwischen externem und internem Netzwerk. Der Aufbau kann mit einistufigem oder zweistufigem Firewall-Konzept erfolgen.
Eine DMZ (Demilitarized Zone) ist eine Pufferzone zwischen externem und internem Netzwerk. Der Aufbau kann mit einistufigem oder zweistufigem Firewall-Konzept erfolgen. (Bild: gemeinfrei)

Bei der Demilitarized Zone (DMZ) handelt es sich um ein eigenständiges Netzwerk, das als Pufferzone zwischen einem externen Netz und dem internen Netzwerk agiert. In dem Puffernetzwerk befinden sich beispielsweise Webserver oder Mailserver, deren Kommunikation durch Firewalls überwacht ist.

Die Abkürzung DMZ steht für Demilitarized Zone und bezeichnet ein speziell kontrolliertes Netzwerk, das sich zwischen dem externen Netzwerk (Internet) und dem internen Netz befindet. Es stellt eine Art Pufferzone dar, die die Netze durch strenge Kommunikationsregeln und Firewalls voneinander trennt.

In der Demilitarized Zone befinden sich Server wie Webserver, Mailserver, Authentication-Server oder Anwendungs-Gateways. Nur diese sind für User aus dem Internet erreichbar. Durch die Trennung der DMZ vom internen Netz ist kein Zugriff für externe Anwender auf interne Ressourcen möglich. Das private Netzwerk bleibt vor Angriffen aus dem Internet oder vor Überlastung durch Internetanfragen geschützt. Die Demilitarized Zone kann durch eine oder mehrere Firewalls von den angrenzenden Netzwerken separiert sein.

Firewall-Regeln für die Verbindung zur Demilitarized Zone

Die Regeln auf der Firewall sorgen im Zusammenspiel mit der Demilitarized Zone für folgende Kommunikationsmöglichkeiten: Anwender aus dem Internet dürfen lediglich auf Server in der Demilitarized Zone und nicht auf Ressourcen des internen Netzwerks zugreifen. Anwender aus dem internen Netz kommunizieren in der Regel nicht direkt mit Ressourcen aus dem Internet. Sie greifen beispielsweise über einen Proxy-Server, der als Stellvertreter die Kommunikation in das Internet für sie abwickelt, auf externe Ressourcen zu. Pakete aus der Demilitarized Zone heraus, für die es keine korrespondierenden Eingangspakete gibt, werden von der Firewall in Richtung Internet und internes Netz verworfen. Es existieren Ausnahmen von diesen grundlegenden Kommunikationsregeln, um beispielsweise Anwendungsserver an interne Datenbanken anzubinden. Diese Ausnahmen konfiguriert der Administrator der Firewall.

Die DMZ mit einer oder zwei Firewalls

Eine Demilitarized Zone lässt sich mit einer oder mit zwei Firewalls realisieren. Kommen zwei Firewalls zum Einsatz, befindet sich jeweils eine zwischen DMZ und internem Netz (innere Firewall) sowie zwischen DMZ und externem Netz (äußere Firewall). Im Optimalfall handelt es sich um Firewalls von verschiedenen Herstellern. Dies verhindert, dass Sicherheitslücken es erlauben, beide Firewalls gleichzeitig zu überwinden. Eine kostengünstigere Lösung stellt die Realisierung der Demilitarized Zone mit nur einer Firewall dar. Diese besitzt mindestens drei Netzwerkanschlüsse, mit denen das interne Netz, das externe Netz und die Demilitarized Zone verbunden sind. Die komplette Kommunikation überwacht in diesem Fall nur eine einzige Firewall.

Der Exposed Host als günstige alternative zu einer Demilitarized Zone

Günstige Router, wie sie beispielsweise für den privaten Internetzugang zum Einsatz kommen, werben oft mit einer DMZ-Unterstützung. In der Regel handelt es sich jedoch nicht um eine echte Demilitarized Zone, sondern um einen Exposed Host. Ist ein Exposed Host konfiguriert, leitet der Router sämtlichen Verkehr aus dem Internet, der nicht zu existierenden Verbindungen gehört, an einen einzigen Rechner oder Server weiter. Dieser ist dadurch für User aus dem Internet erreichbar. Allerdings ist der Exposed Host nicht vom LAN separiert und bietet keine vergleichbare Schutzwirkung wie in einer DMZ.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Die ganze IT-Security im Blick

Security-Startups im Blickpunkt: Cyberscan.io

Die ganze IT-Security im Blick

IT-Security ist, durchaus vergleichbar, mit einem Eisberg. Bei der Eismasse sind gut 85 Prozent unter Wasser verborgen und nur ein kleiner Rest ist über der Wasserlinie sichtbar. Bei der IT-Sicherheit verhält es sich ebenso, denn Malware-Scanner, die Zwei-Faktor-Authentifi­zierung oder der Bildschirmschoner sind nur die sichtbaren Komponenten. Der größere Security-Teil ist meistens unsichtbar, entfaltet aber oft die größte Wirkung. lesen

So vermeiden Sie 5 allgemeine Fehler beim Monitoring

Netzwerküberwachung ernst genommen

So vermeiden Sie 5 allgemeine Fehler beim Monitoring

Obwohl das Monitoring ein kritischer Aspekt eines jeden Vorgangs in Rechenzentren ist, bleibt es oft das schwarze Schaf unter den IT-Strategien der Unternehmen. Monitoring wird als nebensächlich betrachtet und nicht als Kernkompetenz wahrgenommen. Das muss sich ändern! lesen

Machine Learning und KI in der Endpoint Security

Endgeräte-Sicherheit für Unternehmen

Machine Learning und KI in der Endpoint Security

Herkömmliche Endpoint-Security-Lösungen sind Mangels Gedächtnis und Fähigkeit zur Zu­sam­men­arbeit mit anderen Elementen der Security gegenüber vielschichtigen, langfristig an­ge­setz­ten Angriffen machtlos. Kooperative Lösungen mit Gedächtnis sollen im Verbund mit Tech­no­lo­gien wie Big-Data-Analysen, Machine Learning (ML) und Künstlicher Intelligenz (KI) eine wirkungsvolle Verteidigung bilden. lesen

DevSecOps technisch unterstützen

WAF und Reverse Proxy

DevSecOps technisch unterstützen

Die Gewohnheit, bei der Entwicklung von Webapplikationen erst zum Schluss an die IT-Sicherheit zu denken, ist nicht zukunftsfähig. Durch Cyberangriffe in den Medien geraten Unternehmen zunehmend unter Druck, ihre Sicherheitsmaßnahmen zu verbessern. In Geschäftsbereichen wie dem Bank- und Finanzwesen, in denen IT-Sicherheit einen besonders hohen Stellenwert hat, hat sich die Situation bereits verbessert, aber vielerorts verharrt man in den alten Mustern. lesen

Nur Safety plus Security macht Prozessanlagen sicher

Anlagensicherheit

Nur Safety plus Security macht Prozessanlagen sicher

Nach einer IBM-Studie ist die Wahrscheinlichkeit eines Cyberangriffs bei Produktionsanlagen höher als in der "Finanzindustrie". Der Beitrag soll zeigen, dass nur eine Lösung, die Funktions- und IT-Sicherheit kombiniert, Unternehmen in der Öl- und Gasindustrie ein Höchstmaß an Gesamtsicherheit ermöglicht. lesen

Grundlagen der Next Generation Firewall (NGFW)

Was ist eine NGFW?

Grundlagen der Next Generation Firewall (NGFW)

Bei Next Generation Firewalls (NGFW) handelt es sich um Sicherheitslösungen, die über die Protokoll- und Port-Inspection klassischer Firewalls hinausgehen und Datenanalysen auf Anwendungsebene ermöglichen. Security-Insider zeigt, welche Technologien in diesem Zusammenhang zum Einsatz kommen, welchen Funktionsumfang die Next Generation Firewalls heutzutage üblicherweise haben und welche Hersteller im Enterprise-Segment eine wichtige Rolle spielen. lesen

Digitale Zertifikate sichern die DevOps-Strategie

Maschinelle Identitäten

Digitale Zertifikate sichern die DevOps-Strategie

Automatisierte Prozesse und Plattformen sorgen in DevOps-Konzepten für die nötige Agilität. Damit die Sicherheit dabei nicht zu kurz kommt, muss die Identität von virtuellen Maschinen, Containern und Cloud-Diensten sich zweifelsfrei klären lassen. lesen

Was bedeutet Netzwerksicherheit?

Definition Netzwerksicherheit

Was bedeutet Netzwerksicherheit?

Netzwerksicherheit sorgt nicht nur für die sichere Vernetzung innerhalb von Unternehmen, sondern spielt auch für die Anbindung mobiler Nutzer, für das Internet of Things (IoT) und für Cloud Computing eine zentrale Rolle. lesen

Skalierbare Zutrittskonzepte für Rechenzentren

Sicherheit beginnt beim Gebäude-Entwurf und endet beim Personal

Skalierbare Zutrittskonzepte für Rechenzentren

Die Anforderungen differieren: Ein Datacenter priorisiert Verfügbarkeit, ein anderes den Datenschutz. Damit sie genau die gewünschten Leistungen erhalten und um das Rechenzentrum möglichst ressourcenschonend als „shared Service“ zu betreiben, werden Gebäude und IT modulbasiert und skalierbar geplant. Lässt sich das auch bei Zutrittskontrollen umsetzen? lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45090986 / Definitionen)