DMZ (Zone démilitarisée) — En réseau, une DMZ est un espace séparé entre votre réseau interne (confiant) et Internet (non fiable). On y place les serveurs accessibles depuis l’extérieur (site web, serveur mail, DNS…) pour limiter les risques : si un serveur public est compromis, l’attaquant reste isolé de vos systèmes internes.
Pourquoi on l’utilise :
– Ajouter une couche de protection entre Internet et le réseau privé.
– Contrôler précisément qui peut accéder aux services publics et au réseau interne grâce à des pare-feux.
Comment ça marche, simplement :
– Le trafic Internet arrive sur la DMZ ; des règles de pare-feu contrôlent ce qui peut entrer/sortir entre Internet ↔ DMZ et DMZ ↔ réseau interne.
– Les machines sensibles (bases de données, postes des employés) restent derrière la DMZ, non directement exposées.
Limites à connaître :
– Une DMZ mal configurée n’empêche pas toutes les attaques. Ce n’est pas une garantie totale : il faut aussi sécuriser chaque serveur et le réseau interne.
– Il existe plusieurs architectures (physique, virtuelle, un ou plusieurs pare-feux) selon le besoin.
En résumé : la DMZ est une « zone tampon » qui protège le réseau interne en hébergeant séparément les services publics accessibles depuis Internet.
