- بواسطة x32x01 ||
لو انت شغال شبكات أو سايبر سيكوريتي، أو حتى لسه بتتعلم الأساسيات… لازم تسمع عن مفهوم DMZ - Demilitarized Zone لأنه جزء أساسي جداً من أي تصميم شبكة محترف.
ناس كتير فاكرة إن الـ DMZ مجرد Segment زيادة وخلاص… وناس تانية شايفاها Layer للأمان…
بس الحقيقة إن الموضوع أكبر من كده بكتير، ومهم جداً لأي شركة أو مؤسسة عايزة تحمي الشبكة الداخلية بتاعتها من هجمات الإنترنت.
خلّيني أشرحلك الموضوع بشكل بسيط، بلغة كده "على رواق"، ومن غير تعقيد… مع أمثلة عملية وتمارين وأكواد تساعدك تفهم الفكرة 100%.
DMZ يعني إيه أصلاً؟
بكل بساطة، الـ DMZ هي منطقة شبكية معزولة بين:
يعني هي منطقة واقعة في النص…
لا هي جزء من الـ LAN
ولا هي مكشوفة على الإنترنت بالكامل.
بنحط فيها السيرفرات والخدمات اللي لازم تكون متاحة للعالم الخارجي… من غير ما نعرض الشبكة الداخلية لأي خطر.
الفكرة كلها إن:
نسمح للإنترنت يوصل لسيرفر معين… لكن من غير ما يلمس LAN نهائي.
طب ليه أصلاً نستخدم DMZ؟ وليه هي مهمة للدرجة دي؟
لو حصل اختراق لسيرفر موجود في الـ DMZ - ودي بتحصل كتير -
المهاجم مش هيقدر يدخل على الـ LAN مباشرة… لأنه هيلاقي Layers حماية وRules تمنعه.
وده بيدي الشبكة الداخلية طبقة أمان زيادة ضد أي تهديد.
الـ DMZ بتفصل:
تقدر تعمل قوانين واضحة جداً:
بدل ما تفتح بورتات كثيرة على LAN - وده خطر -
بتفتحها على منطقة معزولة ومؤمنة أكتر.
ده يقلل "مساحة الهجوم" بنسبة كبيرة جداً.
الـ DMZ بتشتغل إزاي؟ وإيه معماريتها؟
الـ DMZ ليها أكتر من طريقة تصميم، لكن الأكثر انتشاراً:
ده بيعمل طبقتين حماية حقيقية.
✔ أقل تكلفة
✔ أسهل في الإدارة
✔ مناسب للشبكات الصغيرة والمتوسطة
مثال واقعي علشان الصورة توضح أكتر
افترض عندك:
مايفيش أي Access مباشر لـ LAN
يعني:
ولو Web Server اتاخد Hack (وده بيحصل كتير جداً)،
المهاجم هيلاقي نفسه محبوس جوه DMZ ومش قادر يدخل LAN بسهولة.
وده هدف الـ DMZ بالكامل.
"اعرض خدماتك… بس احمي شبكة الشركة."
أمثلة Operation Rules في Firewall
دي القواعد اللي أي Network Engineer لازم يكون فاهمها ويقدر يطبقها وهو مغمض.
سيناريو اختراق في DMZ – وازاي بنحمّي الشبكة؟
افترض:
المهاجم هيعمل إيه؟
يحاول:
هيلاقي:
مفيش RDP
مفيش SSH
مفيش SMB
مفيش Database
مفيش أي Port مفتوح على LAN
هينتهي به الحال "محبوس جوه DMZ"
Internet → [DMZ] →
→ [LAN]
ودي أخطر حاجة…
إنك تمنع المهاجم من إنه يتحرك جوه الشبكة، حتى لو قدر يخترق سيرفر.
طب نعمل DMZ إزاي؟ وهل ينفع في الشركات الصغيرة؟
آه طبعاً ينفع…
فيه 3 طرق:
لو الشركة صغيرة ممكن:
دي الطريقة الأشهر:
أقوى حل…
وبيستخدم في:
مثال عملي على إنشاء DMZ في MikroTik
ده مثال بسيط جداً… ويمكن شرح كل Device لو هتحب.
الخلاصة: ليه لازم تستخدم DMZ؟
DMZ مش مجرد Layer زيادة…
دي طبقة أمان أساسية في أي شبكة محترفة.
✔ بتحمي الشبكة الداخلية
✔ بتقلّل الهجمات
✔ بتفصل الترافيك
✔ بتديك سيطرة كاملة
✔ وبتحافظ على السيرفرات اللي لازم تظهر للإنترنت
أي مهندس شبكات محترف لازم يفهم يعني إيه DMZ ويطبقها بشكل سليم.
ناس كتير فاكرة إن الـ DMZ مجرد Segment زيادة وخلاص… وناس تانية شايفاها Layer للأمان…
بس الحقيقة إن الموضوع أكبر من كده بكتير، ومهم جداً لأي شركة أو مؤسسة عايزة تحمي الشبكة الداخلية بتاعتها من هجمات الإنترنت.
خلّيني أشرحلك الموضوع بشكل بسيط، بلغة كده "على رواق"، ومن غير تعقيد… مع أمثلة عملية وتمارين وأكواد تساعدك تفهم الفكرة 100%.
DMZ يعني إيه أصلاً؟ 
بكل بساطة، الـ DMZ هي منطقة شبكية معزولة بين:- الإنترنت (WAN)
- الشبكة الداخلية (LAN)
يعني هي منطقة واقعة في النص…
لا هي جزء من الـ LAN
ولا هي مكشوفة على الإنترنت بالكامل.
بنحط فيها السيرفرات والخدمات اللي لازم تكون متاحة للعالم الخارجي… من غير ما نعرض الشبكة الداخلية لأي خطر.
خدمات بنحطها في الـ DMZ عادةً:
- Web Servers
- Mail Servers
- DNS Servers
- VPN Gateways
- Proxy Servers
- FTP Servers
- Reverse Proxy / Load Balancer
الفكرة كلها إن:
نسمح للإنترنت يوصل لسيرفر معين… لكن من غير ما يلمس LAN نهائي.
طب ليه أصلاً نستخدم DMZ؟ وليه هي مهمة للدرجة دي؟ 
رفع مستوى الأمان وصد الهجمات
لو حصل اختراق لسيرفر موجود في الـ DMZ - ودي بتحصل كتير -المهاجم مش هيقدر يدخل على الـ LAN مباشرة… لأنه هيلاقي Layers حماية وRules تمنعه.
وده بيدي الشبكة الداخلية طبقة أمان زيادة ضد أي تهديد.
فصل الترافيك وتحديد الاتجاهات بدقة 
الـ DMZ بتفصل:- Traffic اللي جاي من الإنترنت → للسيرفرات
- عن
- Traffic الداخلي اللي طالع من LAN
التحكم الكامل في الـ Access 
تقدر تعمل قوانين واضحة جداً:- مين يدخل DMZ؟
- يدخل على أي Port؟
- مين من DMZ يوصل للـ LAN؟
- ومين يتمنع؟
تقليل الـ Attack Surface
بدل ما تفتح بورتات كثيرة على LAN - وده خطر -بتفتحها على منطقة معزولة ومؤمنة أكتر.
ده يقلل "مساحة الهجوم" بنسبة كبيرة جداً.
الـ DMZ بتشتغل إزاي؟ وإيه معماريتها؟ 
الـ DMZ ليها أكتر من طريقة تصميم، لكن الأكثر انتشاراً:
سيناريو 1: Two Firewalls (أعلى درجة أمان)
Code:
Firewall 1 → بين الإنترنت والـ DMZ
Firewall 2 → بين DMZ والـ LAN سيناريو 2: Firewall واحد بـ 3 Interfaces (الأشهر)
- WAN Interface → رايح للإنترنت
- DMZ Interface → عليه السيرفرات
- LAN Interface → الشبكة الداخلية
✔ أقل تكلفة
✔ أسهل في الإدارة
✔ مناسب للشبكات الصغيرة والمتوسطة
شكل مبسّط للمعمارية:
Code:
[ Internet ]
|
[ Firewall - WAN ]
|
[ DMZ Zone ]
|
[ Firewall - LAN ]
|
[ LAN ]مثال واقعي علشان الصورة توضح أكتر 
افترض عندك:- Web Server في الـ DMZ
- Database Server في الـ LAN
الانترنت يقدر يوصل لمين؟
✔ Web Server فقط مايفيش أي Access مباشر لـ LANطيب Web Server يحتاج يكلم الـ Database؟
هنديه إذن Port واحد بس: Code:
Port 3306 → MySQL
Port 5432 → PostgreSQLTraffic Flow الحقيقي بيكون كده:
Internet → Web Server (DMZ) → DB Server (LAN)ولو Web Server اتاخد Hack (وده بيحصل كتير جداً)،
المهاجم هيلاقي نفسه محبوس جوه DMZ ومش قادر يدخل LAN بسهولة.
وده هدف الـ DMZ بالكامل.
"اعرض خدماتك… بس احمي شبكة الشركة."أمثلة Operation Rules في Firewall 
✔
السماح للويب سيرفر بالظهور للإنترنت
Code:
Allow: ANY → DMZ-WebServer:80
Allow: ANY → DMZ-WebServer:443 السماح للويب سيرفر للوصول لقاعدة البيانات
Code:
Allow: DMZ-WebServer → LAN-DBServer:3306 منع أي Access من DMZ إلى LAN بدون إذن
Code:
Deny: DMZ → LAN السماح لـ LAN بالدخول إلى DMZ
Code:
Allow: LAN → DMZسيناريو اختراق في DMZ – وازاي بنحمّي الشبكة؟ 
افترض:- الويب سيرفر اتنسخ
- المهاجم بقى قادر يدخل أوامر على Web Shell
المهاجم هيعمل إيه؟
يحاول:
- يعمل Pivoting
- يكسر الحماية
- يدخل على LAN
- يوصل للسيرفرات الداخلية
- يسحب الـ Data
هيلاقي:
مفيش RDP مفيش SSH مفيش SMB مفيش Database مفيش أي Port مفتوح على LANهينتهي به الحال "محبوس جوه DMZ"
Internet → [DMZ] →
→ [LAN]ودي أخطر حاجة…
إنك تمنع المهاجم من إنه يتحرك جوه الشبكة، حتى لو قدر يخترق سيرفر.
طب نعمل DMZ إزاي؟ وهل ينفع في الشركات الصغيرة؟ 
آه طبعاً ينفع…فيه 3 طرق:
Router + Firewall
لو الشركة صغيرة ممكن:- Router يعمل NAT
- Firewall يفصل DMZ عن LAN
Firewall واحد بـ 3 Interfaces
دي الطريقة الأشهر: Code:
Firewall
│
├── WAN
├── DMZ
└── LAN Two Firewalls (Enterprise)
أقوى حل…وبيستخدم في:
- البنوك
- الحكومات
- السيرفرات الحساسة
- شركات السيكوريتي
مثال عملي على إنشاء DMZ في MikroTik
Bash:
/ip address
add address=192.168.10.1/24 interface=DMZ
add address=192.168.1.1/24 interface=LAN
/ip firewall filter
add chain=forward src-address=192.168.10.0/24 dst-address=192.168.1.0/24 action=drop
add chain=forward src-address=0.0.0.0/0 dst-address=192.168.10.10 protocol=tcp dst-port=80 action=acceptالخلاصة: ليه لازم تستخدم DMZ؟ 
DMZ مش مجرد Layer زيادة…دي طبقة أمان أساسية في أي شبكة محترفة.
✔ بتحمي الشبكة الداخلية
✔ بتقلّل الهجمات
✔ بتفصل الترافيك
✔ بتديك سيطرة كاملة
✔ وبتحافظ على السيرفرات اللي لازم تظهر للإنترنت
أي مهندس شبكات محترف لازم يفهم يعني إيه DMZ ويطبقها بشكل سليم.