تعریف مختصر DMZ: مفهوم DMZ (Demilitarized Zone) در اصل در معماری شبکههای سازمانی و زیرساختهای بزرگ به منظور افزایش امنیت در تبادل دادهها بین شبکه داخلی (LAN) و اینترنت یا سایر شبکههای خارجی مورد استفاده قرار میگیرد. با این حال، کاربرد این مفهوم در شبکههای خانگی تا حدی متفاوت است. در محیط های خانگی، هر سرویس یا پروتکل ارتباطی برای برقراری اتصال نیازمند استفاده از یک یا چند پورت مشخص است که در شرایط عادی، جهت برقراری ارتباط صحیح میان مودم و روتر، باید عملیات Port Forwarding برای هر پروتکل به صورت دستی پیکره بندی شود. در برخی موارد نیز ممکن است پروتکل های مورد استفاده از پورت های تصادفی (Random Ports) بهره ببرند که مدیریت آنها پیچیده تر میشود. در چنین شرایطی، فعال سازی قابلیت DMZ بر روی مودم اینترنت داخل ایران این امکان را فراهم میکند که تمامی درخواستهای ورودی از این اتصال اینترنتی بدون فیلتر به روتر منتقل شوند. به این ترتیب، مدیریت کامل ارتباطات ورودی و مسیر یابی آنها به عهده روتر قرار میگیرد و مودم اینترنتی شما نقشی در این بین نخواهد داشت. فرض ما بر این است که مطابق تصویر زیر و بر روی Router ، شما دارای دو اتصال اینترنتی باشید، یکی از اینترنت داخل کشور، مثلاً ADSL ، TDLTE و یا فیبر نوری و سرویس FTTH که همگی میبایست از سد فیلترینگ کشور عبور نمایند و دیگری از Starlink و اینترنت آزاد.
توجه داشته باشید که فعال سازی قابلیت DMZ بین مودم و روتر، در صورت انجام و به صورت پیش فرض، بدون در نظر گرفتن الزامات امنیتی، منجر به کاهش سطح امنیت روتر خواهد شد. دلیل این موضوع آن است که تمامی ترافیک ورودی بدون عبور از هیچگونه فیلتر یا محدودیتی، مستقیماً به روتر منتقل میشود. با این حال، در پیکره بندی های NASNET Connect این موضوع به طور کامل در نظر گرفته شده است. پس از پیاده سازی تنظیمات بر روی RouterOS میکروتیک، تمامی دسترسی ها بجز SSH و Winbox به صورت پیش فرض مسدود خواهند بود. بنابراین در صورتی که توصیه های امنیتی ارائه شده توسط ما را به دقت رعایت کرده، برای روتر خود رمز عبور قوی و ایمن انتخاب نموده و به بروز رسانی های نرمافزاری دستگاه توجه داشته باشید، هیچ نگرانی امنیتی قابل توجهی در خصوص قرار گرفتن روتر در حالت DMZ وجود نخواهد داشت.
نحوه تعریف DMZ بر روی مودم: از آنجا که مطابق توضیحات و تصویر قبل میبایست تنظیمات DMZ را به شکلی انجام دهیم که درخواستهای رسیده به مودم اینترنتی مان به روتر منتقل گردند، برای این کار میبایست IP اختصاص یافته به Interface ای از روتر را که به مودم متصل است پیدا کنید. پیش فرض ما در این سناریو این است که مطابق تصویر مودم شما بوسیله کابل LAN به پورت 2 روتر متصل گردیده است.
پس از اتصال به روتر، مطابق تصویر از مسیر IP è DHCP Client آدرس اینترفیس ether2 را چک مینماییم. در این سناریو، IP اختصاص یافته 192.168.2.205 میباشد.
حال باید به مودم متصل شوید تا تنظیمات DMZ را بر روی آن اعمال نمایید. بسته به مدل و برند مودم این مسیر میتواند متفاوت باشد به عنوان مثال در مودم های زیر، از این مسیرها قابل دسترس میباشد:
TP-Link: Forwarding ➔ DMZ” or “Advanced Setup ➔ NAT
Huawei: More Functions ➔ Security Settings ➔ DMZ Host” or “Froward Rules ➔ DMZ Configuration
D-Link: Features ➔ Firewall ➔ Enable DMZ
به عنوان مثال در اینجا و بر روی مودم Huawei این تنظیم از مسیر “Froward Rules ➔ DMZ Configuration” انجام میگیرد.
همانگونه که پیشتر توضیح داده شد، جهت افزایش امنیت میبایست رمز مناسبی بر روی Router خود اعمال کرده باشید.
چنانچه این کار را انجام نداده بودید، مطابق تصویر از مسیر System ➔ Password نسبت به اعمال رمز جدید اقدام کنید یا از این آموزش کمک بگیرید.