DMZ Nedir 
İnternet ile İç Ağ Arasında Güvenli Tampon Bölge
DMZ Nedir
DMZ (Demilitarized Zone), internet ile iç ağ arasında konumlanan izole bir ağ bölgesidir.
Dış dünyaya açık servisler burada barındırılır.
Amaç, iç ağı doğrudan maruz bırakmamaktır.
Neden DMZ’ye İhtiyaç Duyulur
Web sunucuları, mail sunucuları, DNS gibi servisler internete açık olmalıdır.
Bu servisleri iç ağa koymak büyük risktir. DMZ, bu riski tamponlar.
DMZ Temel Mantığı
İnternet → DMZ → İç Ağ
Katmanlı geçiş vardır. Her katman ayrı kurallarla korunur.
DMZ’de Hangi Sistemler Bulunur
Web Server
Mail Gateway
DNS İç veri barındırmayan ama dışa açık servisler.
DMZ Güvenliği Nasıl Artırır
DMZ ele geçirilse bile iç ağa doğrudan geçiş yoktur.
Hasar sınırlı kalır. Yayılma engellenir.
Tek Firewall ile DMZ
Üç bacaklı firewall (Internet–DMZ–LAN).
Her bacak için ayrı politika. Küçük ve orta ölçekli yapılar için yaygındır.
Çift Firewall ile DMZ
İnternet Firewall’u + İç Ağ Firewall’u.
DMZ iki duvar arasında kalır. Yüksek güvenlik gerektiren ortamlarda tercih edilir.
DMZ ve NAT İlişkisi
DMZ genellikle static NAT ile dışarı açılır. Yanlış NAT, DMZ’yi iç ağ gibi açabilir. NAT kuralları titizlik ister.
DMZ ve Firewall Kuralları
İnternetten iç ağa doğrudan erişim yok. DMZ’den iç ağa sadece zorunlu trafik. “Varsayılan kapalı” kuralı esastır.
DMZ İç Ağdan İzole mi Olmalı
Evet, ama tamamen kopuk değil.
Sadece tanımlı servisler konuşmalı. Kontrollü ilişki güvenliktir. DMZ ve IDS/IPS
DMZ trafiği sürekli izlenmelidir. Anormal davranış erken yakalanır. DMZ, saldırganın ilk durağıdır. DMZ ve Loglama
Tüm erişimler kaydedilmelidir.
Olay müdahalesi için kritiktir. Görünmeyen saldırı savunulamaz. Bulut Ortamlarında DMZ
VPC + Public Subnet + Security Group. Mantık aynıdır, araçlar değişir. Bulutta da tampon şarttır. Yaygın Yapılandırma Hataları
DMZ’den LAN’a geniş izinler. Aynı sunucuda hem DMZ hem iç servis. DMZ mantığı bu noktada çöker. DMZ Zero Trust’a Aykırı mı
Hayır. DMZ fiziksel/mantıksal tampon, Zero Trust ise kimlik ve bağlam katmanıdır.Birlikte çalışırlar.
Küçük Ağlarda DMZ Gerekli mi
Evet, özellikle: Web sitesi barındırıyorsan. Mail server çalıştırıyorsan. Küçük ağlar daha savunmasızdır. DMZ Ne Zaman Alarmdır
İç ağa sınırsız erişimi varsa.
DMZ makineleri domain member ise. Bu durumda DMZ işlevsizdir. Yanlış Anlaşılan Nokta
DMZ saldırıyı durdurmaz. Yayılmasını durdurur. Bu fark hayati önemdedir. Son Söz Tampon Alanın Gücü
DMZ, güvenliğin sessiz bekçisidir. Ne kadar doğru konumlandırılırsa o kadar etkili olur. İç ağı korumanın en akıllı yolu, ona doğrudan ulaşılmasını engellemektir.