Differenza tra Firewall e DMZ (DeMilitarized Zone) in informatica
Firewall
Il firewall è un apparato hardware che, lavorando ai livelli di rete, di trasporto e applicativo del modello ISO/OSI, filtra tutti i pacchetti entranti ed uscenti di una rete o di un computer applicando regole che ne contribuiscono alla sicurezza. In questo caso si parla di firewall perimetrale e può essere realizzato anche con un normale computer, con almeno due schede di rete, e software apposito. I firewall prevedono comunque la possibilità di filtrare ciò che arriva da una qualsiasi rete esterna sulla base di diversi tipi di criteri, non sempre relativi alla sicurezza informatica, ma volti a limitare gli utilizzi della rete sulla base di decisioni politiche, come per esempio la censura di siti Internet con contenuti non pertinenti con l’attività lavorativa che possono distrarre il lavoratore.
Oltre al firewall a protezione perimetrale ne esiste un secondo tipo, definito Personal Firewall, che si installa direttamente sui sistemi da proteggere e che effettua un controllo su tutti i programmi che tentano di accedere ad una rete esterna dall’elaboratore sul quale è installato. Rispetto ad un firewall perimetrale, il personal firewall è eseguito sullo stesso sistema operativo che dovrebbe proteggere, ed è quindi soggetto al rischio di venir disabilitato da un malware che prenda il controllo del calcolatore con diritti sufficienti. A suo favore, però il personal firewall ha accesso ad un dato che un firewall perimetrale non può conoscere, ovvero può sapere quale applicazione ha generato un pacchetto o è in ascolto su una determinata porta, e può basare le sue decisioni anche su questo.
Usualmente la rete viene divisa dal firewall in due sottoreti: una, detta esterna, comprende la rete non sicura (solitamente Internet), mentre l’altra, interna, comprende una sezione più o meno grande di un insieme di computer locali. In alcuni casi però è possibile che si crei l’esigenza di avere una terza sottorete, detta DMZ (zona demilitarizzata), adatta a contenere quei sistemi che devono essere isolati dalla rete interna ma che comunque necessitano di essere protetti dal firewall. Spesso inoltre un firewall, a seconda delle esigenze, integra anche la funzione di gateway, esegue operazioni di NAT e gestisce connessioni VPN.
Il firewall resta comunque solo uno dei componenti di una strategia di sicurezza informatica, e non può quindi in generale essere considerato sufficiente per proteggere in modo totale una rete che necessita di molti accorgimenti hardware e software.
DMZ (DeMilitarized Zone)
Quando alcuni terminali della rete interna devono essere accessibili dall’esterno (server web, server di posta, server FTP pubblico, ecc.), è spesso necessario creare una nuova interfaccia verso una rete a parte, accessibile sia dalla rete interna che da quella esterna, senza per altro rischiare di compromettere la sicurezza dell’azienda. Questa nuova rete è chiamata DMZ (DeMilitarized Zone), è un’area in cui sia il traffico proveniente dall’esterno che quello LAN sono fortemente limitati e controllati; in pratica si crea una zona cuscinetto tra interno ed esterno che viene attestata su una ulteriore interfaccia di rete del firewall oppure viene creata aggiungendo un firewall. Se non è prevista una zona DMZ, nel malaugurato caso in cui un servizio in LAN fosse compromesso in seguito ad una vulnerabilità, l’aggressore potrebbe raggiungere anche gli altri host della rete, dato che in LAN non esiste isolamento tra il server e gli altri nodi. Se lo stesso problema si verificasse in DMZ, l’attaccante avrebbe grosse difficoltà a raggiungere la LAN, poiché il traffico verso la rete LAN è fortemente limitato dal firewall. Architetture più complesse possono implicare la presenza di più zone DMZ distinte con il relativo controllo del traffico su tutti i lati creando diversi livelli di protezione per evitare le intrusioni.
