1.1- Função de uma DMZ

A função de uma DMZ é separar os serviços externos, como http e ftp da rede local, com minimização dos danos de uma invasão à rede local. Para atingir este objetivo, os computadores presentes em uma DMZ não devem conter forma alguma de acesso à rede local.

Uma DMZ fica localizada entre uma rede interna e uma rede externa. Na criação de uma DMZ, acrescenta-se um segmento a mais de rede ou sub-rede que ainda faz parte do sistema por meio de uma terceira porta de interface no firewall. Esta configuração permite que o firewall troque dados com a rede geral e com a máquina isolada usando Network Address Translation (NAT). O firewall não costuma proteger o sistema isolado, permitindo que ele se conecte mais diretamente à Internet.

Uma DMZ pode ser implementada com filtros de rede configurados nas suas bordas, estes filtros são responsáveis por realizar o controle de acesso do que entra e do que sai da DMZ e podem ser do tipo filtro de pacotes, filtragem total de pacotes e de cache como servidores de proxy conhecidos como ALGs (Application Layer Gateway).

ALG

As ALGs - Application Layer Gateway, que são servidores de proxy, localizados em uma DMZ, servem como intermediários entre os hosts da rede interna e as redes externas como a Internet. É possível impor restrições de acesso com base no horário, login, endereço IP entre outros. Uma ALG serve também como cache de rede, armazenando as informações de páginas e arquivos já acessados.

As ALGs funcionam no nível da aplicação e interceptam e estabelecem conexões dos hosts da rede interna com a rede externa, autorizando ou não a conexão.