Zone démilitarisée (DMZ)
Dans le domaine des réseaux informatiques, une zone démilitarisée (DMZ, Demilitarized Zone) est un sous-réseau physique ou logique qui sépare un réseau local interne (LAN, Local Area Network) d'autres réseaux non sécurisés tels qu'Internet. Les serveurs, ressources et services extérieurs sont placés dans cette zone afin d'être accessibles depuis Internet, tandis que le reste du LAN interne n'est pas accessible. Cette configuration dote le LAN d'un niveau de sécurité supplémentaire, en empêchant les pirates d'accéder directement aux serveurs et aux données internes via Internet.
Tout service fourni aux utilisateurs sur Internet doit être placé dans la zone démilitarisée. Cela concerne notamment les services suivants : Web, messagerie, DNS, FTP et VoIP. Les systèmes sur lesquels sont exécutés ces services dans la zone démilitarisée sont accessibles par les pirates et les cybercriminels du monde entier. Il est donc important de les rendre résistants à des attaques constantes. L'expression « zone démilitarisée » provient de la zone tampon aménagée entre la Corée du Nord et la Corée du Sud à la fin de la guerre de Corée. On parle de plus en plus souvent de réseau de périmètre pour désigner cette zone.
Il existe plusieurs façons de concevoir un réseau avec une zone démilitarisée. Les deux méthodes les plus courantes impliquent un ou deux pare-feu. Il est possible d'étendre ces architectures de manière à en créer de plus complexes, selon les exigences du réseau. Un seul pare-feu à trois interfaces réseau suffit à créer une architecture réseau dotée d'une zone démilitarisée. Le réseau externe est formé sur la première interface, entre le FAI et le pare-feu, le réseau interne est formé à partir de la deuxième interface réseau, et la zone démilitarisée à partir de la troisième interface. Différentes règles de pare-feu régissant le trafic entre lnternet et la DMZ, et le LAN et la DMZ. Le LAN et Internet contrôlent étroitement les ports et les types de trafic autorisés entre Internet et la zone démilitarisée, limitent la connectivité à des hôtes spécifiques du réseau interne, et bloquent les connections non sollicitées entre la DMZ et Internet ou le LAN interne.
Il existe une approche plus sécurisée qui consiste à utiliser deux pare-feux pour créer une zone démilitarisée. Le premier, également appelé pare-feu de périmètre, laisse passer uniquement le trafic à destination de la zone démilitarisée. Le second pare-feu, ou pare-feu interne, n'autorise que le trafic entre la zone démilitarisée et le réseau interne. Cette configuration est considérée comme mieux sécurisée, puisqu'un pirate devra compromettre deux machines pour accéder au LAN interne.
La zone démilitarisée ayant pour effet de segmenter le réseau, il est possible d'ajuster les contrôles de sécurité en fonction de chaque segment. Par exemple, un système de détection et de prévention des intrusions sur réseau situé dans une zone démilitarisée qui ne compte qu'un serveur Web pourra bloquer l'ensemble du trafic à l'exception des demandes HTTP et HTTPS sur les ports 80 et 443.