إنشاء منطقة معزولة (DMZ) لتحسين اتصال وحدة التحكم

  • تتيح لك منطقة DMZ الخاصة بالموجه إعادة توجيه جميع حركة المرور الواردة إلى عنوان IP واحد، مما يسهل على وحدات التحكم تحقيق NAT مفتوح دون فتح المنافذ واحدًا تلو الآخر.
  • يُعد استخدام منطقة DMZ آمنًا إلى حد معقول على أجهزة الألعاب الحديثة، ولكنه محفوف بالمخاطر على أجهزة الكمبيوتر الشخصية أو أجهزة إنترنت الأشياء، لذلك يجب دمجه مع عنوان IP ثابت وجدار حماية مُهيأ بشكل جيد.
  • تُعد منطقة DMZ مفيدة أيضًا لاختبار جدار الحماية وشبكة VPN، لتقليل مشاكل NAT المزدوجة، وكأداة تشخيصية، دائمًا بطريقة متحكم بها ومؤقتة.
  • في الشبكات المتقدمة و IPv6، يتم تطبيق مفهوم DMZ من خلال الشبكات الفرعية المنفصلة وقواعد جدار الحماية، مما يوفر أمانًا وتحكمًا أكبر من DMZ المنزلية التقليدية.
Daniel Terrasa

18 دقيقة

تكوين منطقة DMZ لوحدات التحكم

إذا كنت تلعب عبر الإنترنت باستخدام جهازك وتعبت من رؤية الرسائل من مشكلة NAT الصارمة، أو مشاكل الاتصال، أو انقطاع المحادثة الصوتية بشكل متكرر.ربما أخبرك أحدهم من قبل: "ضع وحدة التحكم في منطقة DMZ وسيتم حل كل شيء". والحقيقة هي أنه نعم، يمكن أن يحل ذلك العديد من المشاكل، ولكنه ينطوي أيضاً على مخاطر أمنية يجب عليك فهمها قبل إجراء أي تغيير على جهاز التوجيه الخاص بك.

إعداد منطقة معزولة (DMZ) لجهاز الألعاب ليس بالأمر المعقد. المهم هو معرفة كيفية القيام بذلك. ما الذي تقوم به منطقة DMZ بالضبط، وكيف تختلف عن فتح المنافذ أو استخدام UPnP؟، متى يكون من المنطقي استخدامه، ومتى يكون من الأفضل تجنبه، وكيف يؤثر على شبكتك إذا كان لديك، على سبيل المثال، مفتاح تبديل أو نظام شبكة متداخلة أو جهاز توجيه ثانٍ في المنزل.

ما هي منطقة DMZ وكيف تساعدك في جهاز الألعاب الخاص بك؟

في جهاز التوجيه المنزلي، تُعد وظيفة DMZ (المنطقة منزوعة السلاح) خيارًا يجعل جميع حركة المرور الواردة من الإنترنت التي لا تخضع لقاعدة محددة إعادة التوجيه إلى جهاز واحد على الشبكة المحلية. يمكن أن يكون هذا الجهاز وحدة تحكم، أو جهاز كمبيوتر، أو خادم، أو حتى جهاز توجيه آخر.

عندما تضع جهازك في منطقة DMZ، يتصرف جهاز التوجيه كما لو أن جميع منافذه مفتوحة له. لا حاجة لضبط قواعد إعادة توجيه المنافذ لعبةً تلو الأخرىولا يعتمد ذلك على عمل بروتوكول UPnP بشكل صحيح. بالنسبة لـ أجهزة ألعاب الفيديو في غرفة المعيشة (بلاي ستيشن، إكس بوكس، نينتندو سويتش)، والتي تتميز بنظام مغلق نسبيًا، فإن هذا التعرض يكون، بشكل عام، قابلاً للتحكم فيه تمامًا.

يُعد هذا السلوك مفيدًا للغاية لأن العديد من الألعاب عبر الإنترنت تستخدم مجموعات منافذ ديناميكية أو غير موثقة بشكل جيد، وتتطلب بعض الخدمات مثل الدردشة الصوتية من نظير إلى نظير أو استضافة الألعاب ذلك. يمكن للاعبين الآخرين بدء الاتصالات بجهازك دون قيود NAT.وهنا يكمن دور المنطقة المنزوعة السلاح.

ومع ذلك، من المهم أن يكون واضحا أن منطقة DMZ على جهاز توجيه منزلي تختلف عن منطقة DMZ الخاصة بالأعمال التجاريةفي بيئات العمل الاحترافية، يتحدث الناس عن الشبكات الفرعية وجدران الحماية المتعددة. أما في جهاز التوجيه المنزلي، فعادةً ما تكون منطقة "DMZ" في القائمة مجرد منطقة تجميع لجميع البيانات الواردة التي لا تخضع لأي قواعد أخرى.

DMZ

منطقة DMZ وNAT: لماذا يشتكي الجهاز؟

في منزلك، تشترك جميع الأجهزة في عنوان IP عام واحد. يقوم جهاز التوجيه بالترجمة بين عنوان IP العام هذا وباقي العناوين. عناوين IP خاصة لأجهزتك بفضل تقنية NAT (ترجمة عناوين الشبكة)عندما يبدأ جهازك الاتصال بخادم اللعبة، يسير كل شيء بسلاسة، لأن جهاز التوجيه يتذكر من قام بفتح كل اتصال ويعرف كيفية إرجاع الاستجابات.

تظهر المشكلة عندما يحاول لاعب خارجي الاتصال مباشرةً بجهازك، على سبيل المثال، عند استضافة لعبة، أو بدء محادثة صوتية من نوع P2P، أو عندما تتطلب اللعبة حركة مرور واردة محددة. في هذه الحالة، إذا لم يكن لدى جهاز التوجيه قواعد معمول بها، لا يعرف الجهاز الذي يجب توجيه الاتصال الواصل إلى منفذ معين إليه. ثم يتجاهلها. يكتشف الجهاز هذا الوضع ويصنف NAT على أنه صارم أو من النوع 3 أو C أو D أو F حسب العلامة التجارية.

بشكل عام، تصنف أجهزة ألعاب الفيديو الوضع بهذه الطريقة لمساعدة المستخدم على تحديد موقعه:

  • فتح NAT (بلاي ستيشن النوع 1/2، إكس بوكس ​​مفتوح، سويتش A/B)يمكنك الوصول إلى المنافذ الضرورية الخاصة بك من الإنترنت، ويمكنك الانضمام إلى أي لعبة، واستضافة غرف، واستخدام الدردشة الصوتية مع أي شخص.
  • NAT متوسط. يمكنك اللعب، ولكن ستواجه قيودًا على الاتصال بالمستخدمين الذين لديهم أيضًا قيود.قد يصبح تنظيم الألعاب أو استخدام الدردشة باستمرار أمراً شاقاً حقاً.
  • NAT بشكل صارم. لا يمكنك العمل بشكل جيد إلا مع اللاعبين الذين لديهم NAT مفتوح؛ وغالبًا ما ستكون أول من ينسحب من الغرفة عندما تصبح اللعبة مزدحمة أو تحدث أي مشكلة.

تُعد منطقة DMZ واحدة من أسرع الطرق للانتقال من NAT متوسط/صارم إلى فتح NAT بدون فتح المنافذ يدويًا واحدًا تلو الآخرلا يتحسن الوضع. لا زمن استجابة ولا سرعةلكنها تقضي على العديد من مشكلات الاتصال والأخطاء.

مزايا استخدام منطقة منزوعة السلاح (DMZ) لأجهزة الألعاب

في سياق الألعاب، تكمن الميزة الكبرى للمنطقة المنزوعة السلاح في أن فهو يبسط عملية إعداد الشبكة بشكل كبير.إذا قمت بتخصيص منطقة DMZ الخاصة بجهاز التوجيه لجهازك (وجهازك فقط)، فستحصل على العديد من الفوائد الواضحة.

من ناحية أخرى، أصبح لدى الجهاز الآن جميع المنافذ متاحة لحركة المرور الواردة (باستثناء تلك التي تم توجيهها بالفعل إلى أجهزة أخرى). هذا يلغي الاعتماد على عمل UPnP بشكل صحيح، أو القواعد اليدوية، أو معرفة المنافذ التي تستخدمها كل لعبة متعددة اللاعبين.

بالإضافة إلى ذلك، أفاد العديد من المستخدمين أن بعض الألعاب كانت تعاني من تأخير، أو أخطاء عند الانضمام إلى المباريات، أو انقطاعات متكررة. تبدأ بالعمل بسلاسة بمجرد وضع وحدة التحكم في منطقة DMZخاصة في الخرائط الصغيرة، أو في السباقات، أو في الأوضاع التي يكون فيها الكثير من التفاعل المباشر بين اللاعبين، يمكن أن يكون التغيير ملحوظًا للغاية.

من وجهة نظر أمنية عملية، فإن أجهزة الألعاب الحديثة مثل بلاي ستيشن وإكس بوكس ​​وسويتش لديهم أنظمة تشغيل مغلقة ومحدودة للغاية مزودة بجدار حماية داخليهذا يقلل بشكل كبير من احتمالية أن تصبح الثغرة الأمنية التي يكشف عنها DMZ مشكلة خطيرة لشبكتك المنزلية، على عكس ما سيحدث مع جهاز كمبيوتر للأغراض العامة.

ومن المزايا الأخرى المثيرة للاهتمام أن منطقة DMZ تُبسط بعض السيناريوهات المتقدمة. مثل عندما تريد قم بتوصيل جهاز التوجيه المحايد الخاص بك خلف جهاز توجيه المشغل. ولا يتوفر لديك وضع الجسر. في هذه الحالة، يؤدي فتح منطقة DMZ الخاصة بالموجه الرئيسي وتوجيهها إلى الموجه الثاني إلى تقليل تأثير NAT المزدوج الفعلي، ويغنيك عن ربط قواعد المنافذ على جهازين مختلفين.

DMZ

عيوب ومخاطر فتح منطقة منزوعة السلاح

المشكلة الرئيسية هي الأمن. بتفعيل منطقة معزولة (DMZ) فأنت تعريض الجهاز مباشرة للإنترنتبدون فلتر المنفذ الذي يطبقه جهاز التوجيه عادةً، سيكون أي منفذ مفتوح للجهاز متاحًا من الخارج، مما يجذب عمليات المسح والهجمات الآلية.

إذا وضعت وحدة تحكم في منطقة الشبكة المحايدة (DMZ)، فإن المخاطر تكون تحت السيطرة إلى حد كبير، ولكن إذا قررت وضع جهاز كمبيوتر أو خادم أو جهاز كمبيوتر بخدمات سيئة التكوين هناك، إطلاق النار من سطح الهجومعلى جهاز الكمبيوتر، من السهل العثور على برامج قديمة أو خدمات غير ضرورية أو تكوينات ضعيفة لا يمكنها تحمل هذا المستوى من التعرض.

ومن النقاط الحساسة الأخرى ما يلي: يجب أن تشير منطقة DMZ دائمًا إلى عنوان IP ثابتإذا تركتَ جهازك أو وحدة التحكم مضبوطًا على بروتوكول DHCP التلقائي، وتغيّر عنوان IP الخاص به، فسيستمر جهاز التوجيه في توجيه جميع البيانات الواردة إلى العنوان القديم، والذي قد يكون مستخدمًا الآن من قِبل جهاز آخر متصل. وهذا قد يُسبب ثغرات أمنية خطيرة دون أن تُدرك ذلك.

تجدر الإشارة أيضاً إلى أن المنطقة المنزوعة السلاح المحلية تسمح عادةً جهاز واحد فقط في كل مرةإذا قمت بتفعيل منطقة DMZ لجهازك، فلن تتمكن بقية الأجهزة من الاستفادة من هذا الاختصار.

وأخيرًا، على الرغم من أن منطقة DMZ نفسها لا تستهلك عادةً موارد إضافية، إلا أنه إذا استقبل الجهاز المكشوف يمكن أن يؤدي ارتفاع حركة المرور إلى استهلاك النطاق الترددي بشكل كبير متاح، مما يؤثر على الأجهزة الأخرى على الشبكة. هذا ليس شائعًا، ولكنه قد يحدث في حالة وجود هجمات تخمين كلمات المرور، أو عمليات مسح مكثفة، أو حركة مرور كثيفة من نوع P2P.

متى لا يُنصح باستخدام منطقة منزوعة السلاح (DMZ)

هناك عدة سيناريوهات يجب عليك فيها التفكير ملياً قبل تفعيل وظيفة جهاز التوجيه هذه، لأن يميل التوازن بوضوح نحو جانب المخاطرة.

أوضح مثال هو مثال الأجهزة المعرضة للخطر أو القديمةإذا كنت ستكشف عن جهاز كمبيوتر قديم، أو خادم ببرامج غير محدثة، أو معدات لا تقوم بتحديثها باستمرار، فإن ما تفعله بمنطقة DMZ هو تسليط الضوء عليها والإعلان للإنترنت أنها متاحة للاختبار.

مشكلة شائعة أخرى هي عدم وجود تجزئة للشبكةفي العديد من المنازل، كل شيء موجود على نفس الشبكة الفرعية: أجهزة الكمبيوتر الخاصة بالعمل، وأجهزة التخزين الشبكي مع النسخ الاحتياطية، وكاميرات IP، والهواتف المحمولة، وما إلى ذلك. إذا كان لدى جهاز مخترق في منطقة DMZ طريقة "لرؤية" بقية الشبكة المحلية، فقد يصبح بوابة لبيانات أكثر حساسية.

عليك أيضًا أن تكون حذرًا جدًا بشأن تكوين غير صحيح لمنطقة DMZ نفسهاقد يتسبب خطأ عند إدخال عنوان IP، أو تعيين خاطئ في DHCP الثابت، أو سوء تفسير للواجهة التي يتم عرضها، في فتح أشياء أكثر مما تعتقد أو ترك منطقة DMZ تشير إلى الجهاز الخطأ.

وأخيرًا، عندما تحتاج إلى الوصول عن بُعد إلى موارد على شبكتك (على سبيل المثال، جهاز تخزين متصل بالشبكة أو جهاز كمبيوتر من خارج منزلك)، فإن منطقة DMZ ليست الحل الأمثل. في هذه الحالات شبكة افتراضية خاصة (VPN) مهيأة بشكل صحيح إنه يوفر أمانًا أكبر بكثير.

صبي يلعب ألعاب الفيديو على جهاز الكمبيوتر.

منطقة منزوعة السلاح للألعاب عبر الإنترنت من أجهزة الألعاب المنزلية والكمبيوتر الشخصي

في عالم ألعاب الفيديو، تُستخدم منطقة DMZ دائمًا تقريبًا بهدف محدد للغاية: تجنب استخدام NAT الصارم، ومشاكل استضافة المباريات، وانقطاعات الدردشة الصوتية.بالنسبة لأجهزة الألعاب، فهو حل شائع للغاية؛ أما بالنسبة لأجهزة الكمبيوتر الشخصية، فالأمر مختلف تمامًا.

إذا كنت تريد أن تتصل أجهزة PlayStation أو Xbox أو Nintendo Switch بسلاسة، وتنشئ غرفًا، وتستمع وتتحدث مع جميع اللاعبين، وتقلل من أخطاء التوفيق بين اللاعبين، فإن وضعها في منطقة DMZ عادة ما يكون الحل الأفضل. أكثر ملاءمة من فتح المنافذ يدويًا لكل خدمةيُعد هذا مفيدًا بشكل خاص عندما لا تعرف المنافذ التي تستخدمها كل لعبة أو عندما يكون بروتوكول UPnP الخاص بجهاز التوجيه الخاص بك يعمل جزئيًا فقط.

مع ذلك، ينصح العديد من الخبراء بشدة بعدم فتح منطقة DMZ لأجهزة الكمبيوتر المكتبية أو المحمولة. إلا إذا كان لديك جدار حماية نظام مُهيأ بشكل جيد، ومعرفة ما تقوم بتعريضه بالضبطيُعد جهاز الكمبيوتر أكثر تنوعًا من جهاز الألعاب، وبالتالي، يحتوي على المزيد من البرامج، والمزيد من الخدمات التي تعمل في الخلفية، وبشكل عام، لديه فرصة أكبر للفشل.

إذا قررت استخدام منطقة DMZ لجهاز الألعاب، فيجب أن تكون أولويتك هي ضمان ما يلي: لا يوجد جهاز حيوي آخر يشارك عنوان IP هذا أو يعتمد على نفس النطاق غير الخاضع للتحكموإذا كنت تلعب عبر الإنترنت من جهاز كمبيوتر، فمن الأفضل عادةً فتح المنافذ الضرورية فقط. أو استخدم بروتوكول UPnP بشكل متقطع، وقم بتعطيله عندما لا تحتاجه.

هناك العديد من الحالات التي كانت فيها بعض الألعاب حساسة للغاية فيما يتعلق بالشبكة، مما تسبب في انقطاعات قصيرة أو مشاكل عند بدء تشغيل الألعاب. يتوقفون عن الفشل على الفور تقريبًا عندما تكون وحدة التحكم موجودة خلف المنطقة المنزوعة السلاح، وخاصة عندما يكون هناك الكثير من الاتصال المباشر بين اللاعبين، يكون الفرق ملحوظًا.

اختبار منطقة DMZ وجدار الحماية وشبكة VPN على جهاز الكمبيوتر

وبعيدًا عن ألعاب الفيديو، تُستخدم المنطقة المنزوعة السلاح أيضًا لـ تدقيق أمان جدار الحماية أو VPNإذا كنت ترغب في التحقق من الإنترنت عن المنافذ المكشوفة فعليًا على خادم أو جهاز كمبيوتر، فإن أسهل طريقة هي وضعه في منطقة DMZ الخاصة بالموجه.

عندما لا يقوم جهاز التوجيه بتصفية أي منافذ لهذا الجهاز، فإن كل ما تراه مفتوحًا عند المسح من الخارج سيتأثر. يعتمد ذلك بشكل حصري على جدار الحماية المحلي للكمبيوتر.يتيح لك هذا تصحيح الأخطاء في القواعد، وتحديد الخدمات المكشوفة غير الضرورية، وضبط ما تريد أن يكون متاحًا من الخارج.

تحتاج بعض بروتوكولات VPN، مثل IPsec، إلى تفتح عدة منافذ مختلفة وقد تُسبب هذه المشاكل صعوبات إذا ما حجب أحد عناصر سلسلة NAT جزءًا من حركة البيانات. في هذه الحالات، يُساعد تفعيل منطقة DMZ مؤقتًا باتجاه خادم VPN على استبعاد مشاكل المنافذ أو NAT.

الفكرة بسيطة: تقوم بتفعيل منطقة DMZ، وتختبر اتصال VPN بشكل صحيح من الخارج، وتتحقق من المنافذ المحددة المستخدمة، وبمجرد أن تتضح لك هذه النقطة، تقوم بإغلاق منطقة DMZ مرة أخرى وتفتح المنافذ الأساسية فقط. من خلال قواعد إعادة التوجيه. إنها طريقة عملية لعزل المشكلة دون ترك الفريق بلا حماية على المدى الطويل.

تجدر الإشارة إلى أن معظم أجهزة التوجيه المنزلية تحتوي بشكل افتراضي على يتم إغلاق جميع المنافذ الواردة إذا لم تكن هناك قواعد لإعادة توجيه المنافذ.تقوم منطقة DMZ بكسر هذا الحماية عمداً، وبالتالي، يجب استخدامها فقط كأداة تشخيص مؤقتة أو مع معدات خاضعة لرقابة عالية.

قيود VPN مقارنة بموفري خدمة الإنترنت: ما يمكن لمزود الخدمة الخاص بك رؤيته وكيفية حماية نفسك على نظام التشغيل Windows

مراقبة وتحليل حركة المرور في منطقة منزوعة السلاح

ومن الاستخدامات الأخرى المثيرة للاهتمام لمنطقة DMZ، والتي يشيع استخدامها في البيئات المتقدمة أو شبه الاحترافية، ما يلي: مراقبة حركة مرور الشبكة الداخلة والخارجة من الخدمات المكشوفةبوضع الخوادم المرئية في منطقة منفصلة، ​​يصبح من الأسهل تحليل ما يحدث.

تستخدم منطقة DMZ المصممة جيدًا أدوات متخصصة لالتقاط وتحليل الحزم، والمعروفة أيضًا باسم أجهزة الاستشعار أو محللات البروتوكولاتتقوم هذه البرامج بتحليل كل حزمة بيانات: عنوان IP المصدر، وعنوان IP الوجهة، والمنفذ، والبروتوكول، والمحتوى، مما يسمح باكتشاف الأنماط الغريبة أو المشبوهة بشكل مباشر.

بالإضافة إلى العرض المرئي في الوقت الفعلي، تحتوي العديد من حلول المراقبة على ميزات لـ السجلات التاريخية والتخزينيُعد هذا مفيدًا جدًا لمراجعة الحوادث السابقة، ودراسة الهجمات التي حدثت بالفعل، أو تصحيح أخطاء التكوين التي تظهر بشكل متقطع فقط.

لا تكتفي الأنظمة الأكثر تطوراً بعرض البيانات الخام فحسب، بل تستخدم الخوارزميات وحتى الذكاء الاصطناعي لتمييز حركة المرور الطبيعية عن السلوك الشاذ. بفضل واجهاتها الرسومية الواضحة، تُسهّل هذه الأدوات على المسؤول تحديد أي ارتفاع غير معتاد في حركة المرور، أو عملية مسح جماعي، أو محاولات استغلال.

بما أن المنطقة المنزوعة السلاح غالباً ما تكون أول مكان تستهدفه العديد من الهجمات، فمن الشائع دمج هذه الأدوات مع أنظمة الكشف عن الاختراقات ومنعها (IDS/IPS)بهذه الطريقة، لن ترى فقط أن شيئًا غريبًا يحدث، ولكن يمكنك أيضًا أتمتة الاستجابات لوقف الهجوم أو عزل الفريق المتضرر.

استخدام منطقة DMZ في الشركات والشبكات المهنية

في عالم الشركات، يتجاوز مفهوم منطقة DMZ بكثير مجرد جهاز توجيه الإنترنت في غرفة المعيشة. هنا، نحن نتحدث عن شبكة فرعية منفصلة ومحمية جيدًا حيث توجد المرافق العامة، مثل صفحات الويب، وخوادم البريد، وأنظمة المصادقة الخارجية، أو واجهات برمجة التطبيقات التي تواجه العميل.

تتمثل الوظيفة الرئيسية لهذه المنطقة في العمل كـ طبقة وسيطة بين الإنترنت والشبكة الداخلية للشركةيتحكم جدار الحماية بشكل صارم في حركة المرور التي يمكن أن تمر من الإنترنت إلى منطقة DMZ، والاتصالات المسموح بها من منطقة DMZ إلى الشبكة المحلية الداخلية، حيث توجد البيانات الحساسة والأنظمة الحيوية.

مع هذه البنية، إذا تمكن المهاجم من اختراق خادم في منطقة DMZ، فإن الضرر سيبقى، من حيث المبدأ، داخل منطقة DMZ. المحتوى داخل تلك الشبكة الفرعية المعزولةلا تتمتع بصلاحيات مطلقة فيما يتعلق بقواعد البيانات الداخلية أو معدات الموظفين أو أنظمة الإدارة المالية.

يُضيف هذا النهج طبقة حماية إضافية ضد تسريبات البيانات، والوصول غير المصرح به، وهجمات التصيد الاحتياليلا يتم عرض سوى الخدمة التي يحتاجها العملاء بالضبط، بينما يبقى كل شيء آخر خلف حواجز إضافية.

في الشركات ذات متطلبات الأمان العالية، غالباً ما يتم دمج منطقة DMZ مع تدابير أخرى مثل تجزئة VLAN، وجدران الحماية المتعددة من موردين مختلفين، وسياسة صارمة للحد الأدنى من التعرض، وكل ذلك بهدف لجعل أي محاولة للتسلل صعبة قدر الإمكان.

منطقة DMZ، وNAT مزدوج، وتغيير جهاز التوجيه

في وصلات الألياف الضوئية، من الشائع جدًا أن يكون جهاز التوجيه الذي يقوم المشغل بتثبيته هو محدودة في الميزات، أو ضعيفة في شبكة الواي فاي، أو مقيدة للغاية من حيث التكوينيختار العديد من المستخدمين شراء جهاز توجيه أفضل من طرف ثالث وتوصيله بجهاز التوجيه الخاص بمزود الخدمة.

تكمن المشكلة في أنه إذا لم يسمح جهاز المشغل بالتكوين في وضع الجسر أو لم يزودك ببيانات اعتماد ONT، فأنت عالق به. جهازان توجيه يقومان بعملية ترجمة عناوين الشبكة (NAT) واحد تلو الآخريُعرف هذا باسم NAT المزدوج، وهو يعقد بشكل كبير عملية إعادة توجيه المنافذ والحصول على NAT مفتوح على وحدات التحكم.

في هذا السيناريو، تُعتبر منطقة DMZ حلاً بديلاً مقبولاً: حيث تقوم بضبط جهاز توجيه مزود خدمة الإنترنت بحيث يجب أن تشير منطقة DMZ إلى عنوان IP الخاص بشبكة WAN لجهاز التوجيه المحايد الخاص بك.وبهذه الطريقة، تمر جميع حركة المرور الواردة مباشرة إلى جهاز التوجيه الثاني، حيث يمكنك بعد ذلك إدارة المنافذ وUPnP والإعدادات الأخرى بحرية أكبر.

بدون منطقة DMZ، لفتح منفذ لجهاز كمبيوتر أو وحدة تحكم متصلة بجهاز التوجيه المحايد، سيتعين عليك قواعد السلسلة على كلا جهازي التوجيهيوجد اتصال واحد من جهاز التوجيه الرئيسي إلى جهاز التوجيه الثانوي، وآخر من جهاز التوجيه الثانوي إلى الجهاز النهائي. مع منطقة DMZ، يكفي إدارة الاتصال الثاني فقط.

مع ذلك، إذا كنت مهتمًا بالألعاب التنافسية عبر الإنترنت، فمن الجدير أيضًا التحقق مما إذا كان مزود الخدمة الخاص بك يستخدم CG-NAT، مشاركة عنوان IP عام بين عدة عملاءإذا كان الأمر كذلك، فلن تتمكن من الحصول على NAT مفتوح حقيقي حتى لو قمت بتكوين شبكتك بشكل مثالي؛ في كثير من الحالات يمكنك طلب الخروج من CG-NAT للحصول على عنوان IP العام الخاص بك.

كيفية فتح منطقة DMZ على جهاز توجيه منزلي

على الرغم من أن لكل مصنّع قوائمه الخاصة، إلا أن المنطق العام لإعداد منطقة DMZ منزلية عادة ما يكون متشابهًا جدًا: أولاً، تقوم بتعيين عنوان IP الخاص بالجهاز، ثم تقوم بتفعيل وظيفة DMZ عن طريق الإشارة إلى عنوان IP هذا.النظام مهم لتجنب إحداث فوضى في الأمور.

الخطوة الأولى هي تحديد طراز جهاز التوجيه الذي لديك و كيفية الوصول إلى لوحة التحكم الخاصة بكعادةً ما تجد عنوان IP الافتراضي واسم المستخدم وكلمة المرور على ملصق أسفل الجهاز. إذا لم تجدها هناك، يمكنك التحقق من البوابة الافتراضية على جهاز الكمبيوتر أو الهاتف المحمول وتجربة بيانات اعتماد شائعة مثل "admin/admin"، إلا إذا قام مزود خدمة الإنترنت بتغييرها.

بمجرد دخولك إلى لوحة التحكم، لديك خياران لضمان عدم تغيير عنوان IP الخاص بالجهاز أو وحدة التحكم. يمكنك ضبط عنوان IP ثابت مباشرة على الجهاز.يمكنك إما استخدام نطاق خارج نطاق DHCP التلقائي لجهاز التوجيه، أو استخدام خيار DHCP الثابت لجهاز التوجيه بحيث يقوم دائمًا بتعيين نفس عنوان IP لنفس عنوان MAC.

بمجرد حصولك على عنوان IP مضمون، حان الوقت للبحث عن قسم DMZ. اعتمادًا على جهاز التوجيه، قد يظهر في أقسام مثل جدار الحماية، والأمان، وNAT، والخادم الافتراضي، والتطبيقات والألعاب أو ضمن إعدادات المنفذ المتقدمة. في بعض طرازات أجهزة ASUS، على سبيل المثال، يكون المسار المعتاد هو WAN > DMZ.

في نموذج منطقة الشبكة المحايدة (DMZ)، تقوم بتفعيل الوظيفة، ثم تُدخل عنوان IP الخاص بالجهاز الذي تريد كشفه ثم احفظ التغييرات. بعد تطبيق الإعدادات، سيتم توجيه حركة البيانات الواردة التي لا تخضع لقاعدة محددة مباشرةً إلى عنوان IP هذا.

هل تفتح منطقة DMZ جميع المنافذ فعلاً؟

على الرغم من أن المنطقة المنزوعة السلاح توصف غالبًا بأنها "تفتح كل شيء"، إلا أن هناك فرقًا دقيقًا مهمًا في الواقع العملي: تُعطى الأولوية لقواعد إعادة توجيه المنافذ المحددة على منطقة DMZبمعنى آخر، إذا كان لديك بالفعل منفذ مُعاد توجيهه إلى عنوان IP آخر، فإن تلك القاعدة لها الأولوية.

تستخدم معظم أجهزة التوجيه المنزلية داخليًا نظامًا قائمًا على لينكس مع iptables لإدارة جدار الحماية وNAT. في سلاسل القواعد هذه، تتم معالجة إدخالات إعادة توجيه المنافذ قبل قاعدة DMZ العامةيتم إرسال حركة المرور إلى عنوان IP الخاص بمنطقة DMZ فقط في حالة عدم وجود منفذ مطابق.

هذا يعني أنه يمكنك الحصول، على سبيل المثال، على خادم ويب أو جهاز تخزين متصل بالشبكة (NAS) مع فتح منافذ محددة وفي الوقت نفسه، تستقبل وحدة التحكم الموجودة في منطقة الشبكة المحايدة (DMZ) باقي حركة البيانات. ولن يتم توجيه منافذ ذلك الخادم إلى وحدة التحكم لأن قواعدها لها الأولوية.

على أي حال، على الرغم من أن الشركات المصنعة قد قامت بتبسيط واجهات التكوين بشكل كبير، إلا أن ذلك لا يغير حقيقة أن تفعيل منطقة منزوعة السلاح (DMZ) لا يزال عملية حساسةإذا قررت استخدامه، فتأكد دائمًا من أن الجهاز المعرض للضوء يحتفظ بجدار الحماية الخاص به نشطًا ومحدثًا.

بالإضافة إلى ذلك، يُنصح بمراجعة الخدمات والبرامج التي تعمل على هذا الكمبيوتر بشكل دوري. وذلك لأن عمليات فحص المنافذ ومحاولات استغلال الثغرات الأمنية أمر مستمر. على الإنترنت، حتى بالنسبة للاتصالات المنزلية التي تبدو غير مهمة.

منطقة DMZ وبروتوكول IPv6

عندما ندخل عالم IPv6، تتغير بعض قواعد اللعبة مقارنةً بما اعتدنا عليه مع IPv4. هنا لا يتم استخدام تقنية NAT الكلاسيكية؛ لكل جهاز عنوان عالمي فريد. ويمكن الوصول إليها مباشرة من الإنترنت ما لم يتم حظرها بواسطة جدار الحماية.

لإعداد منطقة شبيهة بمنطقة DMZ في IPv6، تحتاج بدلاً من NAT، تقسيم الشبكة الفرعية وقواعد جدار الحماية المضبوطة بدقةعلى الأقل، ستكون هناك حاجة إلى أكثر من شبكة فرعية /64 واحدة، لأن كل منطقة (الشبكة المحلية الداخلية، DMZ، إلخ) يجب أن يكون لها شبكتها الفرعية الخاصة.

عادةً ما تطلب نطاقًا أكبر من مزود الخدمة، مثل /56 أو /48، مما يسمح لك بـ قسّمها إلى مضاعفات /64واحد للشبكة الداخلية الرئيسية، وآخر للمنطقة المنزوعة السلاح، وأخرى إضافية للتوسعات المستقبلية أو المناطق المحددة.

في هذا السيناريو، لا توجد منطقة معزولة (DMZ) "عن طريق NAT"، ولكنك تحدد في جدار الحماية حركة المرور المسموح بها من الإنترنت إلى الشبكة الفرعية DMZ و ما نوع البيانات التي يمكن أن تنتقل من منطقة DMZ إلى الشبكة المحلية (LAN)؟إنه أسلوب أنظف وأكثر فعالية، ولكنه يتطلب أيضاً معرفة أكبر قليلاً.

وكما هو الحال دائمًا، يكمن الحل في قواعد جدار الحماية. ستحتاج إلى السماح فقط بالمنافذ الأساسية لخوادم منطقة DMZ والحد قدر الإمكان من الاتصالات التي تبدأ من المنطقة المنزوعة السلاح إلى الداخل، مع تطبيق مبدأ أقل الامتيازات.

يُعدّ إنشاء منطقة معزولة (DMZ) لاتصالات أجهزة الألعاب أداة فعّالة للغاية للتخلص من مشاكل NAT الصارمة، والألعاب التي لا تعمل، أو المحادثات الصوتية غير المستقرة. ولكن يجب القيام بذلك بحذر. عند استخدامها بشكل صحيح، تصبح أداة مفيدة ضمن مجموعة أدوات الشبكة لديك، وليست ثغرة أمنية دائمة في شبكتك الرقمية.

ألعاب الكمبيوتر الشخصي، وأجهزة الألعاب، والألعاب: دليل شامل لاختيار الخيار الأفضل على نظام ويندوز
المادة ذات الصلة:
ألعاب الكمبيوتر الشخصي، وأجهزة الألعاب، والألعاب: دليل شامل لاختيار الخيار الأفضل على نظام ويندوز