La DMZ (Demilitarized Zone, zona demilitarizzata) è un segmento di rete posizionato tra Internet e la rete interna aziendale, che ospita i servizi che devono essere accessibili pubblicamente — web server, mail server, DNS autoritativo, reverse proxy, server FTP pubblico — separandoli dalla rete interna tramite due firewall distinti. Il termine è mutuato dalla terminologia militare: una zona cuscinetto tra due fronti ostili, accessibile da entrambi ma controllata da nessuno dei due.
Architettura a doppio firewall
La DMZ classica usa due firewall separati:
Internet
│
[Firewall Esterno] ← blocca tutto tranne le porte dei servizi pubblici
│
DMZ
├── Web Server (porta 80/443)
├── Mail Server (porta 25/587)
└── DNS Server (porta 53)
│
[Firewall Interno] ← blocca tutto tranne il traffico DMZ→Interna necessario
│
Rete Interna (database, file server, workstation)La logica di sicurezza è: anche se un attaccante compromette un server nella DMZ, deve superare il firewall interno per raggiungere la rete interna. I due firewall preferibilmente provengono da vendor diversi, per evitare che una vulnerabilità nello stesso prodotto comprometta entrambi simultaneamente.
Regole di traffico
Le politiche tipiche tra le tre zone sono:
| Sorgente | Destinazione | Traffico permesso |
|---|---|---|
| Internet | DMZ | Solo porte dei servizi esposti (443, 25, 53…) |
| DMZ | Internet | Solo risposte + traffico necessario (aggiornamenti, DNS lookup) |
| DMZ | Rete Interna | Solo traffico applicativo necessario (es. web server → DB su porta 5432) |
| Rete Interna | DMZ | Amministrazione (SSH/RDP su porte non standard) |
| Internet | Rete Interna | MAI direttamente |
Variante con singolo firewall multi-interfaccia
In ambienti con budget limitato, la DMZ può essere realizzata con un singolo firewall dotato di tre interfacce (WAN, DMZ, LAN). È meno sicura della doppia architettura — una vulnerabilità nel firewall compromette tutte e tre le zone — ma comunque molto superiore all’assenza di segmentazione.
DMZ e architettura Zero Trust
Nel modello Zero Trust, il concetto di DMZ come “zona meno fidata” si evolve: l’intera rete è trattata come non fidata, e la segmentazione avviene a livello di micro-perimetri per ogni applicazione o servizio. I server esposti pubblicamente sono protetti da Identity-Aware Proxy e mutual TLS invece che solo da regole firewall perimetrali. La DMZ tradizionale rimane comunque rilevante nei contesti on-premise e ibridi come strato di difesa aggiuntivo.