Pengertian (DMZ) DE-MILITARISED ZONE merupakan mekanisme untuk melindungi sistem internal dari serangan hacker atau pihak-pihak lain yang ingin memasuki sistem tanpa mempunyai hak akses. DMZ ini harus dibuat jika anda perlu membuat segmentasi jaringan untuk meletakan server yang bisa diakses public dengan aman tanpa harus bisa mengganggu kemanan sistem jaringan LAN di jaringan private kita.
Keuntungan DMZ :
Tidak Perlu membangun Firewall pada setiap server.
Konsep DMZ :
1. KONSEP NAT (Network Address Translation)
Berfungsi untuk mengarahkan alamat riil ke bentuk alamat internal . (203.8.90.100 => 192.168.0.1).
2. KONSEP PAT (Port Address Translation)
Berfungsi memberikan identitas pada setiap Private IP adress Publik yang dimilikinya, misal 192.168.10.1 diberi identitas 192.168.10.1:10 .
Cara Kerja DMZ
Dapat di simpulkan bahwa area itu adalah area militer, mempunyai hak aksess terbatas, baik dari Private lan maupun dari area public. Nah webserver sendiri dapat di aksess lewat public, mengenai rule and police nya ini tergantung dari perusahaan (Pemegang Server).
Segmen atau class ip nya sendiri akan berbeda dengan class ip LAN, misal nya gini;
Public IP 63.43.18.1
DMZ class 192.168.100.0 /27
LAN 172.29.0.0/24
Di sini webserver disetup dengan Ip 192.168.100.2
Segmen atau class ip nya sendiri akan berbeda dengan class ip LAN, misal nya gini;
Public IP 63.43.18.1
DMZ class 192.168.100.0 /27
LAN 172.29.0.0/24
Di sini webserver disetup dengan Ip 192.168.100.2
Setiap yg akan mengkases port 80 di persilahkan baik dari lokal(LAN) maupun yg dari Public (inet) untuk remote aksess hanya di izinkan dari areal LAN sisanya Rejected. DMZ sendiri, sebenarnya harus melihat kebutuhan dan perkembangan/penambahan server kita di masa yg akan datang.
jika/umpama server yg akan di taruh di DMZ area hanya satu, saya rasa ngak perlu (belum di butuhkan), beda jika seandainya blue print pengembangan infra strukture kita kedepan nya akan menambah beberapa server. DMZ lebih aman karena webserver tidak terekspos, tapi terlindungi oleh firewall. Semua request akan di-DNAT pada port tertentu yang dibuka, misal port 80 yang masuk lewat ip publiknya firewall. Jadi kalau di-scan port hanya keliatan ip+port firewall, bukan webserver asli. Klo di-hack, ya firewall kena duluan, webserver nggak kena. Klo didaftarkan di domain hosting pakai ip-nya siapa? Tentu ip publiknya firewall.
My Artikel 