Was ist eine DMZ in der Netzwerkarchitektur, und warum würde man eine einsetzen?
Kurzantwort
Eine DMZ (demilitarisierte Zone) ist ein Netzsegment, das zwischen dem nicht vertrauenswürdigen Internet und dem vertrauenswürdigen internen Netz sitzt und öffentlich erreichbare Dienste wie Web-, Mail- und DNS-Server beherbergt. Firewall-Regeln lassen das Internet die DMZ erreichen, beschränken aber den Zugriff der DMZ auf das interne Netz streng. Das Ziel ist Eindämmung: wird ein öffentlicher Server kompromittiert, steckt der Angreifer in der Pufferzone fest, statt im LAN zu landen.
Eine DMZ verkörpert eine einfache, dauerhafte Idee: alles, was das Internet erreichen kann, wird irgendwann sondiert und kann eingebrochen werden, also lassen Sie diese exponierten Systeme nicht neben Ihren Kronjuwelen stehen. Die DMZ ist der Puffer, der dieses Risiko absorbiert.
Was sie ist
Eine DMZ (demilitarisierte Zone) ist ein separates Netzsegment, das zwischen dem feindlichen Internet und dem vertrauenswürdigen internen Netz platziert wird. Sie beherbergt Dienste, die von außen erreichbar sein müssen: Webserver, Reverse-Proxys, Mail-Gateways, öffentliches DNS. Die Firewall-Richtlinie ist der ganze Sinn:
- Internet → DMZ: erlaubt, aber nur zu bestimmten Diensten/Ports.
- DMZ → Intern: stark beschränkt, idealerweise auf bestimmte Hosts/Ports (z. B. darf der Webserver nur ein Anwendungs-Gateway erreichen, nie das ganze LAN).
- Intern → DMZ: nach Bedarf kontrolliert.
Warum man eine einsetzt — Eindämmung
Kompromittiert ein Angreifer einen öffentlichen Webserver ohne DMZ, landet er oft direkt im Firmennetz und bewegt sich frei weiter. Mit einer DMZ ist die kompromittierte Maschine in die Pufferzone eingezäunt; der zweite Satz Regeln zwischen DMZ und intern hindert ihn daran, Domänencontroller, Datenbanken und Dateiserver zu erreichen, ohne eine weitere kontrollierte Grenze zu überqueren. Das ist Defense in Depth und Verkleinerung des Schadensradius in konkreter Form.
Designs und gute Praxis
Eine DMZ mit zwei Firewalls (eine zum Internet, eine zum Inneren gerichtet, idealerweise von verschiedenen Herstellern) ist robuster als ein dreischenkliges Design mit einer Firewall, weil ein Fehler in einer Firewall nicht beide Grenzen zusammenbrechen lässt. Eine zentrale Praxis: ein Webserver in der DMZ sollte sensible Daten nicht direkt halten — er sollte über einen eng begrenzten Pfad mit einem Backend kommunizieren, das tiefer im Inneren liegt. Das DMZ-Konzept geht zudem natürlich in das moderne Denken über Segmentierung und Zero Trust über.
Interviewer erwarten die Definition der Pufferzone, die asymmetrischen Firewall-Regeln und die Begründung über Eindämmung/Schadensradius.
Wahrscheinliche Anschlussfragen
- Was ist der Unterschied zwischen einem DMZ-Design mit einer und mit zwei Firewalls?
- Warum sollte ein Webserver in der DMZ die Datenbank nicht direkt halten?
- Wie hängt eine DMZ mit Netzsegmentierung und Zero Trust zusammen?