Una
DMZ (del inglés Demilitarized zone), una zona
desmilitarizada (DMZ) o red perimetral es una red local que se ubica
entre la red interna de una organización y una red externa,
generalmente Internet.
El
objetivo de una DMZ es que las conexiones desde la red interna y la
externa a la DMZ estén permitidas, mientras que las conexiones desde
la DMZ sólo se permitan a la red externa, es decir: los equipos
locales en la DMZ no pueden conectar con la red interna.
Esto
permite que los equipos (hosts) de la DMZ’s puedan dar servicios a
la red externa a la vez que protegen la red interna en el caso de que
intrusos comprometan la seguridad de los equipos (host) situados en
la zona desmilitarizada.
Las
conexiones que se realizan desde la red externa hacia la DMZ se
controlan generalmente utilizando port address translation (PAT).
La
DMZ se usa habitualmente para ubicar servidores que es necesario que
sean accedidos desde fuera, como servidores de e-mail, web y dns.
Una
DMZ se crea a menudo a través de las opciones de configuración del
cortafuegos, donde cada red se conecta a un puerto distinto de éste.
Esta configuración se llama cortafuegos en trípode (three-legged
firewall).
Un planteamiento más seguro es usar dos cortafuegos,
donde la DMZ se sitúa en medio y se conecta a ambos cortafuegos, uno
conectado a la red interna y el otro a la red externa. Esta
configuración ayuda a prevenir configuraciones erróneas
accidentales que permitan el acceso desde la red externa a la
interna. Este tipo de configuración también es llamado cortafuegos
de subred monitoreada (screened-subnet firewall).
No hay comentarios:
Publicar un comentario