डीएमजेड (कंप्यूटिंग)

कंप्यूटर सुरक्षा में, एक डीएमजेड या डिमिलिट्राइज़्ड ज़ोन (कभी-कभी एक परिधि नेटवर्क या स्क्रीन सबनेट के रूप में संदर्भित) एक भौतिक या तार्किक subnetwork  होता है जिसमें एक संगठन की बाहरी सेवाओं को एक अविश्वसनीय, आमतौर पर बड़े, नेटवर्क जैसे कि इंटरनेट शामिल होता है और उजागर करता है। DMZ का उद्देश्य किसी संगठन के स्थानीय क्षेत्र नेटवर्क (LAN) में सुरक्षा की एक अतिरिक्त परत जोड़ना है: एक बाहरी नोड (नेटवर्किंग) केवल वही एक्सेस कर सकता है जो DMZ में उजागर है, जबकि संगठन का बाकी नेटवर्क एक के पीछे सुरक्षित है। फ़ायरवॉल (कंप्यूटिंग)। DMZ इंटरनेट और निजी नेटवर्क के बीच स्थित एक छोटे, पृथक नेटवर्क के रूप में कार्य करता है। इसे #DMZ_होस्ट के साथ भ्रमित नहीं होना है, कुछ होम राउटर में मौजूद एक विशेषता जो अक्सर एक सामान्य DMZ से बहुत भिन्न होती है।

यह नाम 'विसैन्यीकृत क्षेत्र' शब्द से लिया गया है, जो राज्यों के बीच एक क्षेत्र है जिसमें सैन्य अभियानों की अनुमति नहीं है।

तर्क
DMZ को इसकी सीमा से लगे किसी भी नेटवर्क से संबंधित नहीं माना जाता है। यह रूपक कंप्यूटिंग उपयोग पर लागू होता है क्योंकि DMZ सार्वजनिक इंटरनेट के प्रवेश द्वार के रूप में कार्य करता है। यह न तो आंतरिक नेटवर्क जितना सुरक्षित है और न ही सार्वजनिक इंटरनेट जितना असुरक्षित।

इस मामले में, होस्ट (नेटवर्क) पर हमले का सबसे अधिक खतरा वे हैं जो स्थानीय क्षेत्र नेटवर्क के बाहर के उपयोगकर्ताओं को सेवाएं प्रदान करते हैं, जैसे कि ईमेल, वर्ल्ड वाइड वेब और  डोमेन की नामांकन प्रणाली  (DNS) सर्वर। इन मेजबानों के हमले से पीड़ित होने की बढ़ती संभावना के कारण, उनमें से किसी से समझौता होने की स्थिति में बाकी नेटवर्क की सुरक्षा के लिए उन्हें इस विशिष्ट सबनेटवर्क में रखा गया है।

DMZ में होस्ट को आंतरिक नेटवर्क में केवल विशिष्ट होस्ट के लिए सीमित कनेक्टिविटी की अनुमति है, क्योंकि DMZ की सामग्री आंतरिक नेटवर्क की तरह सुरक्षित नहीं है। इसी तरह, DMZ और बाहरी नेटवर्क में होस्ट के बीच संचार भी DMZ को इंटरनेट से अधिक सुरक्षित बनाने और इन विशेष प्रयोजन सेवाओं के आवास के लिए उपयुक्त बनाने के लिए प्रतिबंधित है। यह DMZ में मेजबानों को आंतरिक और बाहरी दोनों नेटवर्क के साथ संवाद करने की अनुमति देता है, जबकि एक हस्तक्षेप करने वाला फ़ायरवॉल (कंप्यूटिंग) DMZ सर्वर और आंतरिक नेटवर्क क्लाइंट के बीच ट्रैफ़िक को नियंत्रित करता है, और एक अन्य फ़ायरवॉल DMZ की सुरक्षा के लिए कुछ स्तर का नियंत्रण करेगा। बाहरी नेटवर्क।

एक डीएमजेड कॉन्फ़िगरेशन बाहरी हमलों से अतिरिक्त सुरक्षा प्रदान करता है, लेकिन इसका आमतौर पर आंतरिक हमलों पर कोई असर नहीं पड़ता है जैसे पैकेट विश्लेषक के माध्यम से संचार को सूंघना या ई-मेल स्पूफिंग हमला स्पूफिंग हमले।

एक अलग वर्गीकृत सैन्य क्षेत्र (CMZ) को कॉन्फ़िगर करना भी कभी-कभी अच्छा अभ्यास होता है, एक अत्यधिक निगरानी वाला सैन्यीकृत क्षेत्र जिसमें ज्यादातर वेब सर्वर (और समान सर्वर जो बाहरी दुनिया यानी इंटरनेट के लिए इंटरफ़ेस हैं) शामिल हैं जो DMZ में नहीं हैं लेकिन LAN के भीतर सर्वर तक पहुँचने के बारे में संवेदनशील जानकारी रखते हैं (जैसे डेटाबेस सर्वर)। ऐसे आर्किटेक्चर में, DMZ में आमतौर पर आवेदन फ़ायरवॉल और FTP होता है जबकि CMZ वेब सर्वर को होस्ट करता है। (डेटाबेस सर्वर CMZ में, LAN में, या पूरी तरह से अलग VLAN में हो सकते हैं।)

बाहरी नेटवर्क पर उपयोगकर्ताओं को प्रदान की जाने वाली कोई भी सेवा DMZ में रखी जा सकती है। इन सेवाओं में सबसे आम हैं:
 * वेब सर्वर
 * मेल सर्वर
 * [[एफ़टीपी सर्वर]]
 * वीओआईपी सर्वर

वेब सर्वर जो एक आंतरिक डेटाबेस के साथ संचार करते हैं, उन्हें डेटाबेस सर्वर तक पहुंच की आवश्यकता होती है, जो सार्वजनिक रूप से सुलभ नहीं हो सकता है और इसमें संवेदनशील जानकारी हो सकती है। वेब सर्वर सुरक्षा कारणों से डेटाबेस सर्वर के साथ सीधे या एप्लिकेशन फ़ायरवॉल के माध्यम से संचार कर सकते हैं।

ई-मेल संदेश और विशेष रूप से उपयोगकर्ता डेटाबेस गोपनीय होते हैं, इसलिए वे आम तौर पर उन सर्वरों पर संग्रहीत होते हैं जिन्हें इंटरनेट से एक्सेस नहीं किया जा सकता (कम से कम असुरक्षित तरीके से नहीं), लेकिन उन ईमेल सर्वरों से एक्सेस किया जा सकता है जो इंटरनेट के संपर्क में हैं।

DMZ के अंदर का मेल सर्वर इनकमिंग मेल को सुरक्षित/आंतरिक मेल सर्वर तक पहुंचाता है। यह आउटगोइंग मेल को भी हैंडल करता है।

सुरक्षा के लिए, HIPAA जैसे कानूनी मानकों का अनुपालन, और व्यापारिक वातावरण में निगरानी कारणों से, कुछ उद्यम DMZ के भीतर एक प्रॉक्सी सर्वर स्थापित करते हैं। इसके निम्नलिखित लाभ हैं:
 * इंटरनेट एक्सेस के लिए प्रॉक्सी सर्वर का उपयोग करने के लिए आंतरिक उपयोगकर्ताओं (आमतौर पर कर्मचारियों) को बाध्य करता है।
 * कम इंटरनेट एक्सेस बैंडविड्थ आवश्यकताओं के बाद से कुछ वेब सामग्री को प्रॉक्सी सर्वर द्वारा कैश किया जा सकता है।
 * उपयोगकर्ता गतिविधियों की रिकॉर्डिंग और निगरानी को सरल करता है।
 * केंद्रीकृत वेब सामग्री फ़िल्टरिंग।

एक रिवर्स प्रॉक्सी सर्वर, एक प्रॉक्सी सर्वर की तरह, एक मध्यस्थ है, लेकिन इसका उपयोग दूसरे तरीके से किया जाता है। बाहरी नेटवर्क तक पहुँचने के इच्छुक आंतरिक उपयोगकर्ताओं को सेवा प्रदान करने के बजाय, यह आंतरिक संसाधनों के लिए बाहरी नेटवर्क (आमतौर पर इंटरनेट) के लिए अप्रत्यक्ष पहुँच प्रदान करता है। उदाहरण के लिए, एक बैक ऑफिस एप्लिकेशन एक्सेस, जैसे कि एक ईमेल सिस्टम, बाहरी उपयोगकर्ताओं को प्रदान किया जा सकता है (कंपनी के बाहर ईमेल पढ़ने के लिए) लेकिन दूरस्थ उपयोगकर्ता के पास अपने ईमेल सर्वर तक सीधी पहुंच नहीं होगी (केवल रिवर्स प्रॉक्सी सर्वर ही कर सकता है) भौतिक रूप से आंतरिक ईमेल सर्वर तक पहुंचें)। यह विशेष रूप से अनुशंसित सुरक्षा की एक अतिरिक्त परत है जब आंतरिक संसाधनों को बाहर से एक्सेस करने की आवश्यकता होती है, लेकिन यह ध्यान देने योग्य है कि यह डिज़ाइन अभी भी दूरस्थ (और संभावित रूप से दुर्भावनापूर्ण) उपयोगकर्ताओं को प्रॉक्सी की मदद से आंतरिक संसाधनों से बात करने की अनुमति देता है। चूंकि प्रॉक्सी गैर-विश्वसनीय नेटवर्क और आंतरिक संसाधन के बीच रिले के रूप में कार्य करता है: यह दुर्भावनापूर्ण ट्रैफ़िक (जैसे शोषण (कंप्यूटर सुरक्षा)) को आंतरिक नेटवर्क की ओर भी अग्रेषित कर सकता है; इसलिए बाहरी हमलावरों को प्रॉक्सी के माध्यम से उजागर किए गए आंतरिक संसाधनों में मौजूद कमजोरियों का फायदा उठाने से रोकने के लिए प्रॉक्सी की हमले का पता लगाने और फ़िल्टरिंग क्षमताएं महत्वपूर्ण हैं। आम तौर पर ऐसा रिवर्स प्रॉक्सी मैकेनिज्म अनुप्रयोग परत फ़ायरवॉल का उपयोग करके प्रदान किया जाता है जो विशिष्ट टीसीपी और यूडीपी पोर्ट्स (फ़ायरवॉल (कंप्यूटिंग) के रूप में) तक पहुंच को नियंत्रित करने के बजाय ट्रैफ़िक के विशिष्ट आकार और सामग्री पर ध्यान केंद्रित करता है #पहली पीढ़ी: पैकेट फ़िल्टर होगा do), लेकिन एक रिवर्स प्रॉक्सी आमतौर पर एक सुविचारित DMZ डिज़ाइन के लिए एक अच्छा विकल्प नहीं है क्योंकि इसे अपडेटेड अटैक वैक्टर के लिए निरंतर हस्ताक्षर अपडेट पर निर्भर रहना पड़ता है।

आर्किटेक्चर
डीएमजेड के साथ नेटवर्क डिजाइन करने के कई अलग-अलग तरीके हैं। सबसे बुनियादी तरीकों में से दो एकल फ़ायरवॉल (नेटवर्किंग) के साथ हैं, जिसे तीन पैर वाले मॉडल के रूप में भी जाना जाता है, और दोहरी फ़ायरवॉल के साथ, जिसे बैक टू बैक भी कहा जाता है। नेटवर्क आवश्यकताओं के आधार पर बहुत जटिल आर्किटेक्चर बनाने के लिए इन आर्किटेक्चर का विस्तार किया जा सकता है।

एकल फ़ायरवॉल
DMZ युक्त नेटवर्क आर्किटेक्चर बनाने के लिए कम से कम 3 नेटवर्क इंटरफेस वाले एकल फ़ायरवॉल का उपयोग किया जा सकता है। पहले नेटवर्क इंटरफ़ेस पर ISP से फ़ायरवॉल तक बाहरी नेटवर्क बनता है, दूसरे नेटवर्क इंटरफ़ेस से आंतरिक नेटवर्क बनता है, और तीसरे नेटवर्क इंटरफ़ेस से DMZ बनता है। फ़ायरवॉल नेटवर्क के लिए विफलता का एक बिंदु बन जाता है और DMZ के साथ-साथ आंतरिक नेटवर्क पर जाने वाले सभी ट्रैफ़िक को संभालने में सक्षम होना चाहिए। ज़ोन आमतौर पर रंगों से चिह्नित होते हैं - उदाहरण के लिए, LAN के लिए बैंगनी, DMZ के लिए हरा, इंटरनेट के लिए लाल (अक्सर वायरलेस ज़ोन के लिए इस्तेमाल किया जाने वाला दूसरा रंग)।

दोहरी फ़ायरवॉल
कोल्टन फ्रलिक के अनुसार सबसे सुरक्षित तरीका, DMZ बनाने के लिए दो फायरवॉल का उपयोग करना है। पहला फ़ायरवॉल (जिसे फ्रंट-एंड या परिधि भी कहा जाता है फ़ायरवॉल) को केवल DMZ के लिए नियत ट्रैफ़िक की अनुमति देने के लिए कॉन्फ़िगर किया जाना चाहिए। दूसरा फ़ायरवॉल (जिसे बैक-एंड या आंतरिक फ़ायरवॉल भी कहा जाता है) केवल आंतरिक नेटवर्क से DMZ को ट्रैफ़िक की अनुमति देता है।

यह व्यवस्था मानी जाती है अधिक सुरक्षित क्योंकि दो उपकरणों से समझौता करने की आवश्यकता होगी। यदि दो फ़ायरवॉल दो अलग-अलग विक्रेताओं द्वारा प्रदान किए जाते हैं, तो इससे भी अधिक सुरक्षा होती है, क्योंकि इससे यह संभावना कम हो जाती है कि दोनों डिवाइस एक ही सुरक्षा भेद्यता से ग्रस्त हैं। उदाहरण के लिए एक विक्रेता के सिस्टम में मौजूद एक सुरक्षा छेद दूसरे में होने की संभावना कम है। इस वास्तुकला की कमियों में से एक यह है कि इसे खरीदना और प्रबंधित करना दोनों ही अधिक महंगा है। विभिन्न विक्रेताओं से विभिन्न फ़ायरवॉल का उपयोग करने की प्रथा को कभी-कभी गहराई (कंप्यूटिंग) में रक्षा के एक घटक के रूप में वर्णित किया जाता है। सुरक्षा रणनीति।

डीएमजेड होस्ट
कुछ होम राउटर (कंप्यूटिंग) एक DMZ होस्ट को संदर्भित करते हैं, जो-कई मामलों में-वास्तव में एक मिथ्या नाम है। एक होम राउटर DMZ होस्ट आंतरिक नेटवर्क पर एक एकल पता (जैसे, IP पता) होता है, जिसमें सभी ट्रैफ़िक भेजे जाते हैं जो अन्यथा अन्य LAN होस्टों को अग्रेषित नहीं किए जाते हैं। परिभाषा के अनुसार, यह एक सच्चा DMZ (डिमिलिट्राइज़्ड ज़ोन) नहीं है, क्योंकि राउटर अकेले होस्ट को आंतरिक नेटवर्क से अलग नहीं करता है। यही है, डीएमजेड होस्ट आंतरिक नेटवर्क पर अन्य मेजबानों से कनेक्ट करने में सक्षम है, जबकि वास्तविक डीएमजेड के भीतर मेजबानों को फ़ायरवॉल द्वारा आंतरिक नेटवर्क से कनेक्ट करने से रोका जाता है जो उन्हें अलग करता है जब तक फ़ायरवॉल कनेक्शन की अनुमति नहीं देता।

फ़ायरवॉल इसकी अनुमति दे सकता है यदि आंतरिक नेटवर्क पर कोई होस्ट पहले DMZ के भीतर होस्ट से कनेक्शन का अनुरोध करता है। DMZ होस्ट कोई भी सुरक्षा लाभ प्रदान नहीं करता है जो एक सबनेटवर्क प्रदान करता है और अक्सर सभी पोर्ट्स को किसी अन्य फ़ायरवॉल / नेटवर्क एड्रेस ट्रांसलेशन डिवाइस पर अग्रेषित करने की एक आसान विधि के रूप में उपयोग किया जाता है। यह रणनीति (डीएमजेड होस्ट की स्थापना) का उपयोग उन प्रणालियों के साथ भी किया जाता है जो सामान्य फायरवॉलिंग नियमों या एनएटी के साथ ठीक से बातचीत नहीं करते हैं। ऐसा इसलिए हो सकता है क्योंकि समय से पहले कोई अग्रेषण नियम तैयार नहीं किया जा सकता है (उदाहरण के लिए अलग-अलग टीसीपी या यूडीपी पोर्ट नंबर, एक निश्चित संख्या या निश्चित सीमा के विपरीत)। इसका उपयोग नेटवर्क प्रोटोकॉल के लिए भी किया जाता है जिसके लिए राउटर के पास संभालने के लिए कोई प्रोग्रामिंग नहीं है (6in4 या GRE सुरंग प्रोटोटाइपिकल उदाहरण हैं)।

यह भी देखें

 * बैस्टियन होस्ट
 * स्क्रीन सबनेट
 * विज्ञान DMZ नेटवर्क आर्किटेक्चर, उच्च प्रदर्शन कंप्यूटिंग में एक DMZ नेटवर्क

अग्रिम पठन

 * SolutionBase: Strengthen network defenses by using a DMZ by Deb Shinder at TechRepublic.
 * Eric Maiwald. Network Security: A Beginner's Guide. Second Edition. McGraw-Hill/Osborne, 2003.
 * Internet Firewalls: Frequently Asked Questions, compiled by Matt Curtin, Marcus Ranum and Paul Robertson