A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, SMPT, POP3, IMAP e etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor. Para que esse objetivo seja atingido os computadores presentes em uma DMZ não contem nenhuma forma de acesso à rede local.
A configuração é realizada através do uso de equipamentos de Firewall, que vão realizar o controle de acesso entre a rede local, a Internet e a DMZ (ou, em um modelo genérico, entre as duas redes a serem separadas e a DMZ).
Os equipamentos na DMZ podem estar em um switch dedicado ou compartilhar um switch da rede, porém neste último caso devem ser configuradas Redes Virtuais distintas dentro do equipamento, também chamadas de vlans (Ou seja, redes diferentes que não se “enxergam” dentro de uma mesma rede - LAN) porem isto não sera abordado.
O método mais simples de criar uma DMZ é utilizar um firewall com três ou mais
Interfaces de rede. A cada interface é atribuído um papel específico:
- Rede interna confiável
- Rede DMZ
- Un-confiável rede externa (Internet)
Com uma porta utilizando uma placa Ethernet no seu firewall irá permitir que você crie uma rede nesta configuração, ou até mesmo permitir que você crie uma rede com duas distintas da DMZ.
Separar o DMZ em múltiplos hosts da DMZ irá ajudar a limitar os danos que pode ser feito se um de seus hospedeiros DMZ está comprometida.
Se for utilizar uma DMZ com regras de Firewall, o Firewall será normalmente configurado para proteger a rede interna da Internet. Para criar uma DMZ, o firewall também deve aplicar as regras para proteger o DMZ a partir da Internet e das regras destinadas a proteger a rede interna da DMZ. Isto tornará mais difícil para um atacante para penetrar a rede interna.
