डीएमजेड (कंप्यूटिंग)

कंप्यूटर सुरक्षा में एक डीएमजेड या डिमिलिट्राइज़्ड ज़ोन (कभी-कभी एक परिधि नेटवर्क या स्क्रीन सबनेट के रूप में संदर्भित) एक भौतिक या तार्किक सबनेटवर्क होता है जिसमें एक संगठन की बाहरी सेवाओं को एक अविश्वसनीय सामान्यतः बड़े नेटवर्क जैसे कि इंटरनेट सम्मिलित होता है और उजागर करता है। डीएमजेड का उद्देश्य किसी संगठन के स्थानीय क्षेत्र नेटवर्क (लैन) में सुरक्षा की एक अतिरिक्त परत जोड़ना है: एक बाहरी नोड (नेटवर्किंग) केवल वही एक्सेस कर सकता है जो डीएमजेड में उजागर है, जबकि संगठन का शेष नेटवर्क एक के पीछे सुरक्षित है। फ़ायरवॉल (कंप्यूटिंग) डीएमजेड इंटरनेट और निजी नेटवर्क के बीच स्थित एक छोटे पृथक नेटवर्क के रूप में कार्य करता है।

इसे डीएमजेड_होस्ट के साथ अस्पष्ट नहीं होना है, कुछ होम राउटर में उपस्थित एक विशेषता जो अधिकांशतः एक सामान्य डीएमजेड से बहुत भिन्न होती है।

यह नाम 'विसैन्यीकृत क्षेत्र' शब्द से लिया गया है, जो राज्यों के बीच एक क्षेत्र है जिसमें सैन्य अभियानों की अनुमति नहीं है।

याचिका
डीएमजेड को इसकी सीमा से लगे किसी भी नेटवर्क से संबंधित नहीं माना जाता है। यह रूपक कंप्यूटिंग उपयोग पर लागू होता है क्योंकि डीएमजेड सार्वजनिक इंटरनेट के प्रवेश द्वार के रूप में कार्य करता है। यह न तो आंतरिक नेटवर्क जितना सुरक्षित है और न ही सार्वजनिक इंटरनेट जितना असुरक्षित।

इस स्थिति में होस्ट (नेटवर्क) पर हमले का सबसे अधिक खतरा वे हैं जो स्थानीय क्षेत्र नेटवर्क के बाहर के उपयोगकर्ताओं को सेवाएं प्रदान करते हैं जैसे कि ईमेल वर्ल्ड वाइड वेब और डोमेन की नामांकन प्रणाली (डीएनएस) सर्वर इन होस्ट के हमले से पीड़ित होने की बढ़ती संभावना के कारण उनमें से किसी से समझौता होने की स्थिति में शेष नेटवर्क की सुरक्षा के लिए उन्हें इस विशिष्ट सबनेटवर्क में रखा गया है।

डीएमजेड में होस्ट को आंतरिक नेटवर्क में केवल विशिष्ट होस्ट के लिए सीमित कनेक्टिविटी की अनुमति है क्योंकि डीएमजेड की पदार्थ आंतरिक नेटवर्क की तरह सुरक्षित नहीं है। इसी तरह, डीएमजेड और बाहरी नेटवर्क में होस्ट के बीच संचार भी डीएमजेड को इंटरनेट से अधिक सुरक्षित बनाने और इन विशेष प्रयोजन सेवाओं के आवास के लिए उपयुक्त बनाने के लिए प्रतिबंधित है। यह डीएमजेड में होस्ट को आंतरिक और बाहरी दोनों नेटवर्क के साथ संवाद करने की अनुमति देता है, जबकि एक हस्तक्षेप करने वाला फ़ायरवॉल (कंप्यूटिंग) डीएमजेड सर्वर और आंतरिक नेटवर्क क्लाइंट के बीच ट्रैफ़िक को नियंत्रित करता है और एक अन्य फ़ायरवॉल डीएमजेड बाहरी नेटवर्क की सुरक्षा के लिए कुछ स्तर का नियंत्रण करेगा।

एक डीएमजेड कॉन्फ़िगरेशन बाहरी हमलों से अतिरिक्त सुरक्षा प्रदान करता है, किन्तु इसका सामान्यतः आंतरिक हमलों पर कोई प्रभाव नहीं पड़ता है जैसे पैकेट विश्लेषक के माध्यम से संचार को सूंघना या ई-मेल स्पूफिंग हमला स्पूफिंग हमले है।

एक अलग वर्गीकृत सैन्य क्षेत्र (सीएमजेड) को कॉन्फ़िगर करना भी कभी-कभी अच्छा अभ्यास होता है, एक अत्यधिक अवलोकन वाला सैन्यीकृत क्षेत्र जिसमें अधिकत्तर वेब सर्वर (और समान सर्वर जो बाहरी दुनिया अर्थात इंटरनेट के लिए इंटरफ़ेस हैं) सम्मिलित हैं जो डीएमजेड में नहीं हैं किन्तु लैन के अंदर सर्वर तक पहुँचने के बारे में संवेदनशील जानकारी रखते हैं (जैसे डेटाबेस सर्वर) ऐसे आर्किटेक्चर में डीएमजेड में सामान्यतः आवेदन फ़ायरवॉल और एफ़टीपी होता है जबकि सीएमजेड वेब सर्वर को होस्ट करता है। (डेटाबेस सर्वर सीएमजेड में, लैन में, या पूरी तरह से अलग Vलैन में हो सकते हैं।)

बाहरी नेटवर्क पर उपयोगकर्ताओं को प्रदान की जाने वाली कोई भी सेवा डीएमजेड में रखी जा सकती है। इन सेवाओं में सबसे सामान्य हैं:
 * वेब सर्वर
 * मेल सर्वर
 * एफ़टीपी सर्वर
 * वीओआईपी सर्वर

वेब सर्वर जो एक आंतरिक डेटाबेस के साथ संचार करते हैं, उन्हें डेटाबेस सर्वर तक पहुंच की आवश्यकता होती है, जो सार्वजनिक रूप से सुलभ नहीं हो सकता है और इसमें संवेदनशील जानकारी हो सकती है। वेब सर्वर सुरक्षा कारणों से डेटाबेस सर्वर के साथ सीधे या एप्लिकेशन फ़ायरवॉल के माध्यम से संचार कर सकते हैं।

ई-मेल संदेश और विशेष रूप से उपयोगकर्ता डेटाबेस गोपनीय होते हैं इसलिए वे सामान्यतः उन सर्वरों पर संग्रहीत होते हैं जिन्हें इंटरनेट से एक्सेस नहीं किया जा सकता (कम से कम असुरक्षित विधि से नहीं) किन्तु उन ईमेल सर्वरों से एक्सेस किया जा सकता है जो इंटरनेट के संपर्क में हैं।

डीएमजेड के अंदर का मेल सर्वर इनकमिंग मेल को सुरक्षित/आंतरिक मेल सर्वर तक पहुंचाता है। यह आउटगोइंग मेल को भी संभालता है।

सुरक्षा के लिए, हिपा जैसे नियमबद्ध मानकों का अनुपालन और व्यापारिक वातावरण में अवलोकन कारणों से कुछ उद्यम डीएमजेड के अंदर एक प्रॉक्सी सर्वर स्थापित करते हैं। इसके निम्नलिखित लाभ हैं:
 * इंटरनेट एक्सेस के लिए प्रॉक्सी सर्वर का उपयोग करने के लिए आंतरिक उपयोगकर्ताओं (सामान्यतः कर्मचारियों) को बाध्य करता है।
 * कम इंटरनेट एक्सेस बैंडविड्थ आवश्यकताओं के बाद से कुछ वेब पदार्थ को प्रॉक्सी सर्वर द्वारा कैश किया जा सकता है।
 * उपयोगकर्ता गतिविधियों की अभिलेख और अवलोकन को सरल करता है।
 * केंद्रीकृत वेब पदार्थ प्रकीर्णन ।

एक प्रतिलोम प्रॉक्सी सर्वर एक प्रॉक्सी सर्वर की तरह एक मध्यस्थ है किन्तु इसका उपयोग दूसरे विधि से किया जाता है। बाहरी नेटवर्क तक पहुँचने के इच्छुक आंतरिक उपयोगकर्ताओं को सेवा प्रदान करने के अतिरिक्त यह आंतरिक संसाधनों के लिए बाहरी नेटवर्क (सामान्यतः इंटरनेट) के लिए अप्रत्यक्ष पहुँच प्रदान करता है।

उदाहरण के लिए एक बैक ऑफिस एप्लिकेशन एक्सेस, जैसे कि एक ईमेल प्रणाली बाहरी उपयोगकर्ताओं को प्रदान किया जा सकता है (कंपनी के बाहर ईमेल पढ़ने के लिए) किन्तु दूरस्थ उपयोगकर्ता के पास अपने ईमेल सर्वर तक सीधी पहुंच नहीं होगी (केवल प्रतिलोम प्रॉक्सी सर्वर ही कर सकता है) भौतिक रूप से आंतरिक ईमेल सर्वर तक पहुंचें)। यह विशेष रूप से अनुशंसित सुरक्षा की एक अतिरिक्त परत है जब आंतरिक संसाधनों को बाहर से एक्सेस करने की आवश्यकता होती है, किन्तु यह ध्यान देने योग्य है कि यह डिज़ाइन अभी भी दूरस्थ (और संभावित रूप से दुर्भावनापूर्ण) उपयोगकर्ताओं को प्रॉक्सी की सहायता से आंतरिक संसाधनों से बात करने की अनुमति देता है। चूंकि प्रॉक्सी गैर-विश्वसनीय नेटवर्क और आंतरिक संसाधन के बीच रिले के रूप में कार्य करता है: यह दुर्भावनापूर्ण ट्रैफ़िक (जैसे शोषण (कंप्यूटर सुरक्षा)) को आंतरिक नेटवर्क की ओर भी अग्रेषित कर सकता है इसलिए बाहरी हमलावरों को प्रॉक्सी के माध्यम से उजागर किए गए आंतरिक संसाधनों में उपस्थित कमियों का लाभ उठाने से रोकने के लिए प्रॉक्सी की हमले का पता लगाने और प्रकीर्णन क्षमताएं महत्वपूर्ण हैं। सामान्यतः ऐसा प्रतिलोम प्रॉक्सी मैकेनिज्म अनुप्रयोग परत फ़ायरवॉल का उपयोग करके प्रदान किया जाता है जो विशिष्ट टीसीपी और यूडीपी पोर्ट (फ़ायरवॉल (कंप्यूटिंग) के रूप में) तक पहुंच को नियंत्रित करने के अतिरिक्त ट्रैफ़िक के विशिष्ट आकार और पदार्थ पर ध्यान केंद्रित करता है (जैसा कि एक पैकेट फ़िल्टर फ़ायरवॉल करेगा) किन्तु एक प्रतिलोम प्रॉक्सी सामान्यतः एक सुविचारित डीएमजेड डिज़ाइन के लिए एक अच्छा विकल्प नहीं है क्योंकि इसे अपडेटेड अटैक वैक्टर के लिए निरंतर हस्ताक्षर अपडेट पर निर्भर रहना पड़ता है।

आर्किटेक्चर
डीएमजेड के साथ नेटवर्क डिजाइन करने के कई अलग-अलग विधि हैं। सबसे मूलभूत विधियों में से दो एकल फ़ायरवॉल (नेटवर्किंग) के साथ हैं, जिसे तीन पैर वाले मॉडल के रूप में भी जाना जाता है और दोहरी फ़ायरवॉल के साथ जिसे बैक टू बैक भी कहा जाता है। नेटवर्क आवश्यकताओं के आधार पर बहुत जटिल आर्किटेक्चर बनाने के लिए इन आर्किटेक्चर का विस्तार किया जा सकता है।

एकल फ़ायरवॉल
डीएमजेड युक्त नेटवर्क आर्किटेक्चर बनाने के लिए कम से कम 3 नेटवर्क इंटरफेस वाले एकल फ़ायरवॉल का उपयोग किया जा सकता है। पहले नेटवर्क इंटरफ़ेस पर आईएसपी से फ़ायरवॉल तक बाहरी नेटवर्क बनता है, दूसरे नेटवर्क इंटरफ़ेस से आंतरिक नेटवर्क बनता है और तीसरे नेटवर्क इंटरफ़ेस से डीएमजेड बनता है। फ़ायरवॉल नेटवर्क के लिए विफलता का एक बिंदु बन जाता है और डीएमजेड के साथ-साथ आंतरिक नेटवर्क पर जाने वाले सभी ट्रैफ़िक को संभालने में सक्षम होना चाहिए। ज़ोन सामान्यतः रंगों से चिह्नित होते हैं - उदाहरण के लिए, लैन के लिए बैंगनी, डीएमजेड के लिए हरा, इंटरनेट के लिए लाल (अधिकांशतः वायरलेस ज़ोन के लिए उपयोग किया जाने वाला दूसरा रंग)।

दोहरी फ़ायरवॉल
कोल्टन फ्रलिक के अनुसार सबसे सुरक्षित विधि डीएमजेड बनाने के लिए दो फायरवॉल का उपयोग करना है। पहला फ़ायरवॉल (जिसे "फ्रंट-एंड" या "पेरीमीटर" फ़ायरवॉल भी कहा जाता है ) को केवल डीएमजेड के लिए नियत ट्रैफ़िक की अनुमति देने के लिए कॉन्फ़िगर किया जाना चाहिए। दूसरा फ़ायरवॉल (जिसे बैक-एंड या आंतरिक फ़ायरवॉल भी कहा जाता है) केवल आंतरिक नेटवर्क से डीएमजेड को ट्रैफ़िक की अनुमति देता है।

यह व्यवस्था मानी जाती है अधिक सुरक्षित क्योंकि दो उपकरणों से समझौता करने की आवश्यकता होगी। यदि दो फ़ायरवॉल दो अलग-अलग विक्रेताओं द्वारा प्रदान किए जाते हैं, तो इससे भी अधिक सुरक्षा होती है, क्योंकि इससे यह संभावना कम हो जाती है कि दोनों उपकरण एक ही सुरक्षा भेद्यता से ग्रस्त हैं। उदाहरण के लिए एक विक्रेता के प्रणाली में उपस्थित एक सुरक्षा छेद दूसरे में होने की संभावना कम है। इस वास्तुकला की कमियों में से एक यह है कि इसे खरीदना और प्रबंधित करना दोनों ही अधिक मूल्यवान है। विभिन्न विक्रेताओं से विभिन्न फ़ायरवॉल का उपयोग करने की प्रथा को कभी-कभी गहराई सुरक्षा रणनीति (कंप्यूटिंग) में रक्षा के एक घटक के रूप में वर्णित किया जाता है।

डीएमजेड होस्ट
कुछ होम राउटर (कंप्यूटिंग) एक डीएमजेड होस्ट को संदर्भित करते हैं, जो-कई स्थिति में-वास्तव में एक मिथ्या नाम है। एक होम राउटर डीएमजेड होस्ट आंतरिक नेटवर्क पर एक एकल पता (जैसे, IP पता) होता है, जिसमें सभी ट्रैफ़िक भेजे जाते हैं जो अन्यथा अन्य लैन होस्टों को अग्रेषित नहीं किए जाते हैं। परिभाषा के अनुसार, यह एक सच्चा डीएमजेड (डिमिलिट्राइज़्ड ज़ोन) नहीं है क्योंकि राउटर अकेले होस्ट को आंतरिक नेटवर्क से अलग नहीं करता है। यही है डीएमजेड होस्ट आंतरिक नेटवर्क पर अन्य होस्ट से कनेक्ट करने में सक्षम है जबकि वास्तविक डीएमजेड के अंदर होस्ट को फ़ायरवॉल द्वारा आंतरिक नेटवर्क से कनेक्ट करने से रोका जाता है जो उन्हें अलग करता है जब तक फ़ायरवॉल कनेक्शन की अनुमति नहीं देता है।

फ़ायरवॉल इसकी अनुमति दे सकता है यदि आंतरिक नेटवर्क पर कोई होस्ट पहले डीएमजेड के अंदर होस्ट से कनेक्शन का अनुरोध करता है। डीएमजेड होस्ट कोई भी सुरक्षा लाभ प्रदान नहीं करता है जो एक सबनेटवर्क प्रदान करता है और अधिकांशतः सभी पोर्ट्स को किसी अन्य फ़ायरवॉल / नेटवर्क एड्रेस ट्रांसलेशन उपकरण पर अग्रेषित करने की एक आसान विधि के रूप में उपयोग किया जाता है। यह रणनीति (डीएमजेड होस्ट की स्थापना) का उपयोग उन प्रणालियों के साथ भी किया जाता है जो सामान्य फायरवॉलिंग नियमों या एनएटी के साथ ठीक से परस्पर क्रिया नहीं करते हैं। ऐसा इसलिए हो सकता है क्योंकि समय से पहले कोई अग्रेषण नियम तैयार नहीं किया जा सकता है (उदाहरण के लिए अलग-अलग टीसीपी या यूडीपी पोर्ट नंबर, एक निश्चित संख्या या निश्चित सीमा के विपरीत)। इसका उपयोग नेटवर्क प्रोटोकॉल के लिए भी किया जाता है जिसके लिए राउटर के पास संभालने के लिए कोई प्रोग्रामिंग नहीं है (6in4 या जीआरई सुरंग प्रोटोटाइपिकल उदाहरण हैं)।

यह भी देखें

 * बैस्टियन होस्ट
 * स्क्रीन सबनेट
 * विज्ञान डीएमजेड नेटवर्क आर्किटेक्चर उच्च प्रदर्शन कंप्यूटिंग में एक डीएमजेड नेटवर्क

अग्रिम पठन

 * SolutionBase: Strengthen network defenses by using a डीएमजेड by Deb Shinder at TechRepublic.
 * Eric Maiwald. Network Security: A Beginner's Guide. Second Edition. McGraw-Hill/Osborne, 2003.
 * Internet Firewalls: Frequently Asked Questions, compiled by Matt Curtin, Marcus Ranum and Paul Robertson