DMZ ARCHITECTUUR
v1.0Scenario's
Klik een scenario om af te spelen. Pakketten worden één voor één verstuurd.
Netwerk visualisatie
Drie-zone model: Internet | DMZ | LAN met externe en interne firewall.
Zone overzicht
Drie netwerk-zones gescheiden door firewalls.
10.0.1.10,
mailserver 10.0.1.20
10.0.2.10,
files 10.0.2.20,
workstations 10.0.2.30
Firewall-regels
Read-only · deze regels gelden zodra de DMZ aan staat.
Live console
Elk pakket wordt gelogd met richting, poort en uitleg.
// Wat is een DMZ?
DMZ staat voor Demilitarized Zone: een aparte netwerk-zone tussen het publieke internet (WAN) en je interne netwerk (LAN). Servers die vanaf het internet bereikbaar moeten zijn, zoals een webserver of mailserver, staan in de DMZ. Twee firewalls scheiden de zones:
- Externe firewall tussen Internet en DMZ · laat alleen
80/443binnen naar de webserver. - Interne firewall tussen DMZ en LAN · laat alleen specifiek DMZ-verkeer door (webserver → database op
5432). - Vanaf het internet kun je het LAN nooit direct bereiken.
// Wat als de webserver gehackt wordt?
De webserver staat in de DMZ. Aanvallers kunnen 'm vanaf het internet aanvallen. Lukt het ze om binnen te komen, dan begint de schade daar. Door de interne firewall kan een gecompromitteerde webserver:
- wel praten met de database op poort
5432(dat moet ook werken voor de site); - geen verbinding maken met de fileserver of workstations, want die regels staan op
DENY; - geen ander LAN-systeem ontdekken of aanvallen.
Resultaat: de blast-radius (schade-straal) blijft klein. Zonder DMZ had één gehackte server toegang gehad tot alles.