Contattaci
FibreAzienda
Contattaci
Nessun risultato trovato.
Sicurezza informaticaSicurezza di rete

Zona demilitarizzata (DMZ): esempi e architettura

Cem Dilmegani
Cem Dilmegani
aggiornato il Mar 6, 2026
Guarda il nostro norme etiche

Una rete in una zona demilitarizzata (DMZ) è una sottorete che contiene i servizi di un'organizzazione accessibili al pubblico. Funge da punto di accesso esposto a una rete non affidabile, spesso Internet.

Le DMZ (zone demilitarizzate) vengono utilizzate in diversi ambienti, dai router domestici alle reti aziendali, per isolare i servizi accessibili al pubblico e proteggere i sistemi interni. Le DMZ ospitano servizi accessibili al pubblico isolandoli dalla LAN interna di un'organizzazione. 1 Le organizzazioni combinano i perimetri della DMZ con la microsegmentazione Zero Trust e controlli di accesso rigorosi. 2

Esplora esempi concreti di DMZ e diverse architetture DMZ (firewall singolo o doppio) :

Perché la DMZ è importante per la sicurezza di rete?

Le DMZ aggiungono un ulteriore livello di segmentazione della rete per proteggere le reti private interne. Creano una zona cuscinetto tra Internet pubblico e le reti private dell'organizzazione.

Queste sottoreti limitano l'accesso esterno ai server e alle risorse interne, rendendo più difficile per gli aggressori penetrare nella rete interna.

Nelle configurazioni tipiche (vedi figura sopra), la sottorete DMZ è posizionata tra due firewall o su un segmento dedicato di un singolo firewall con più interfacce. Ciò garantisce che:

  • L'accesso non autorizzato alla rete interna viene bloccato, anche se un servizio ospitato nella DMZ viene compromesso.
  • Tutto il traffico in entrata da Internet viene prima filtrato e ispezionato prima di raggiungere i server della DMZ.
  • Il traffico di rete interno da e verso la DMZ è strettamente controllato e monitorato.

Esempi di DMZ

Esempio 1 di DMZ: implementazione di una DMZ con un solo firewall

Come illustrato nella Figura 1, la rete DMZ non si trova né all'interno né all'esterno del firewall. È accessibile sia tramite reti interne che esterne.

Uno dei principali vantaggi di questo schema di rete è l'isolamento. Ad esempio, se il server di posta elettronica viene violato, l'attaccante non sarà in grado di accedere alla rete interna. In questo scenario, l'attaccante potrebbe accedere a diversi server nella DMZ poiché condividono la stessa rete fisica.

Figura 1. Schema semplificato della DMZ.

Fonte: International Journal of Wireless and Microwave Technologies 3

In questa configurazione, la DMZ impone i seguenti controlli di accesso:

  • Rete esterna: la rete esterna non può stabilire connessioni con la rete interna, tuttavia può avviare connessioni con la DMZ.
  • Rete interna: la rete interna può avviare connessioni verso reti esterne, ma non può avviare connessioni verso la rete interna.

Esempio DMZ 2: Una DMZ connessa a un dispositivo di terze parti

Un altro approccio tipico per la DMZ consiste nel connettersi a un dispositivo di terze parti, come ad esempio un fornitore. La Figura 2 illustra una rete con un fornitore connesso tramite un collegamento T1 a un router nella DMZ.

Questo esempio di DMZ può essere utilizzato quando le aziende esternalizzano i propri sistemi a terzi, consentendo l'accesso diretto al server del fornitore tramite questa configurazione.

Figura 2. Connessione della DMZ a un fornitore

Fonte: O'Reilly Media 4

Esempio 3 di DMZ: più DMZ connesse a un dispositivo di terze parti

A volte una singola DMZ non è sufficiente per le organizzazioni che gestiscono reti complesse. La Figura 3 illustra una rete con più DMZ. Il progetto combina i primi due esempi: Internet è all'esterno e gli utenti sono all'interno della rete.

Figura 3. Zone demilitarizzate multiple

Fonte: O'Reilly Media 5

  • DMZ-1 è un punto di accesso a un fornitore.
  • La DMZ-2 è la zona in cui si trovano i server Internet.

I requisiti di sicurezza sono coerenti con l'esempio precedente (Esempio 2), ma è necessaria un'ulteriore considerazione: se alla DMZ-1 è consentito avviare connessioni verso la DMZ-2 e viceversa.

La valutazione di questo accesso bidirezionale contribuisce a rafforzare i controlli di sicurezza granulari all'interno di ambienti di rete complessi.

Architetture DMZ

Una DMZ può essere configurata in vari modi, da un singolo firewall a due o più firewall. La maggior parte delle architetture DMZ attuali prevede due firewall che possono essere scalati per supportare reti complesse.

1. Firewall singolo

Per realizzare un'architettura di rete che includa una DMZ, è necessario un singolo firewall con almeno tre interfacce di rete.

Figura 4. Illustrazione di un'architettura firewall singola

Fonte: SAP 6

Perché utilizzare un singolo firewall: un singolo firewall semplifica l'architettura di rete consolidando il controllo del traffico, l'applicazione delle policy e la registrazione degli accessi in un unico dispositivo. Ciò riduce la complessità amministrativa e diminuisce sia i costi di capitale che quelli operativi. È la soluzione ideale per ambienti di piccole dimensioni dove non è necessaria una difesa perimetrale multilivello.

2. Doppio firewall

Questa implementazione crea una DMZ utilizzando due firewall.

Figura 5. Illustrazione dell'architettura a doppio firewall.

Fonte: SAP 7

Perché utilizzare due firewall: I due firewall offrono un sistema più sicuro. In alcune aziende, i due firewall sono forniti da provider diversi. Se un attacco esterno riesce a violare il primo firewall, potrebbe essere necessario più tempo per violare il secondo, se quest'ultimo è prodotto da un fornitore diverso, riducendo così la probabilità che sia vittima delle stesse vulnerabilità di sicurezza.

Le recenti novità hardware hanno introdotto nuove opzioni per le implementazioni di firewall DMZ, tra cui il Firebox M695 di WatchGuard (rilasciato a dicembre 2025), dotato di un processore Core i7-14701E e in grado di offrire una velocità di trasmissione dati molto elevata (45 Gbps raw) per ambienti di grandi dimensioni. 8

Per le implementazioni nelle piccole e medie imprese, il WatchGuard Firebox T185 (rilasciato a gennaio 2026) offre prestazioni multi-gigabit con una velocità effettiva del firewall di circa 5,7 Gbps e funzionalità di sicurezza di livello enterprise per le reti delle filiali. 9

Vantaggi della zona demilitarizzata (DMZ)

Il valore principale di una DMZ risiede nella sua capacità di fornire agli utenti di Internet pubblici l'accesso a specifici servizi esterni, fungendo al contempo da barriera protettiva per la rete interna dell'organizzazione.

Questo ulteriore livello di sicurezza offre diversi vantaggi chiave in termini di sicurezza:

1. Fornisce controlli di accesso

Una rete DMZ controlla l'accesso ai servizi disponibili su Internet che non si trovano all'interno della rete perimetrale di un'azienda. Aggiunge inoltre un ulteriore livello di segmentazione della rete, aumentando il numero di ostacoli che un utente deve superare prima di poter accedere alla rete privata di un'azienda.

2. Impedire la ricognizione di rete

Una DMZ limita la capacità di un attaccante di valutare potenziali obiettivi sulla rete. Anche se una macchina nella DMZ viene violata, il firewall interno difende la rete privata isolandola dalla DMZ. Questa configurazione rende più difficili gli attacchi provenienti dall'esterno della rete.

3. Limita lo spoofing del protocollo Internet (IP)

Lo spoofing IP consiste nel falsificare l'indirizzo IP di origine dei pacchetti per ottenere accessi non autorizzati. Una DMZ aiuta a rilevare e bloccare il traffico contraffatto, soprattutto se combinata con ulteriori misure di sicurezza che convalidano l'autenticità dell'IP, proteggendo ulteriormente la rete interna dagli attacchi di impersonificazione.

Le 5 principali vulnerabilità delle DMZ nella sicurezza di rete

Una DMZ è utile, ma presenta delle debolezze. Queste debolezze possono facilitare agli aggressori l'individuazione di vulnerabilità.

1. Le parti pubbliche sono facilmente visibili su internet

I server in una DMZ devono essere accessibili a tutti. Gli hacker possono individuare e scansionare questi sistemi pubblici alla ricerca di vulnerabilità.

2. Una configurazione errata crea rischi

La configurazione e la gestione della DMZ possono essere complesse. Se le regole del firewall o i controlli di accesso sono errati, gli aggressori potrebbero riuscire a penetrare nella zona.

3. La complessità aumenta gli errori

Una DMZ aggiunge più dispositivi, regole e impostazioni da gestire. Una maggiore complessità significa maggiori possibilità di errore umano.

4. Un falso senso di sicurezza

Alcuni pensano che una DMZ renda una rete totalmente sicura. Non è così. Una DMZ riduce il rischio, ma non può bloccare tutti gli attacchi da sola.

5. Le zone demilitarizzate potrebbero avere difficoltà con le nuove tecnologie

Le architetture DMZ tradizionali potrebbero non essere compatibili con i servizi cloud o i moderni modelli di rete, limitandone l'utilità.

Nel febbraio 2026, la Cybersecurity and Infrastructure Security Agency (CISA) statunitense ha pubblicato nuove linee guida per gli operatori di infrastrutture critiche a seguito di un attacco informatico alla rete elettrica polacca. 10 L'avviso sottolinea l'importanza di una rigorosa segmentazione della rete e di altri controlli per contribuire a contenere le minacce nelle reti di tecnologia operativa (OT). 11

Applicazioni delle zone demilitarizzate

1. Servizi cloud

Alcuni servizi cloud adottano una strategia di sicurezza ibrida in cui viene creata una DMZ tra la rete locale dell'azienda e la sua rete logica. Questa strategia è comunemente utilizzata quando i servizi dell'azienda vengono eseguiti in parte in locale e in parte su una rete logica.

AWS e Cloud includono soluzioni firewall-as-a-service integrate. Ad esempio, AWS offre AWS Network Firewall (un servizio firewall gestito e con stato per le VPC). 12 Google Il firewall di nuova generazione di Cloud include un servizio di filtro URL per il controllo del traffico basato sul dominio e supporta policy firewall gerarchiche per la segmentazione granulare della rete. 13 . 14

2. Reti domestiche

Una DMZ può essere utile anche per le reti domestiche che utilizzano connessioni LAN e router a banda larga. Diversi router domestici includono opzioni DMZ o impostazioni host DMZ. Queste opzioni consentono agli utenti di connettere a Internet un solo dispositivo alla volta.

3. Sistemi di controllo industriale (ICS)

Le zone demilitarizzate (DMZ) potrebbero fornire una soluzione ai problemi di sicurezza associati ai sistemi di controllo industriale (ICS).

La maggior parte delle apparecchiature di tecnologia operativa (OT) connesse a Internet non è progettata per mitigare gli attacchi con la stessa efficacia dei dispositivi IT. Una DMZ può migliorare la segmentazione della rete OT, rendendo più difficile l'infiltrazione di malware, virus o altre minacce di rete.

Le organizzazioni stanno sostituendo i perimetri di rete piatti con modelli Zero Trust che utilizzano la microsegmentazione e controlli di accesso granulari. 15 Le recenti linee guida globali per le reti OT (guidate dal NCSC del Regno Unito in collaborazione con la CISA) sottolineano l'importanza di ridurre le connessioni esposte e di imporre una rigorosa segmentazione della rete ai confini operativi. 16 . 17

4. Hosting web e di posta elettronica

I servizi accessibili al pubblico, come i server web, vengono in genere distribuiti all'interno di una DMZ per fornire agli utenti esterni l'accesso alle risorse essenziali, mantenendo al contempo la sicurezza della rete interna.

5. Sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS)

Alcune architetture di sicurezza posizionano sensori IDS/IPS nella DMZ per ispezionare il traffico in entrata e in uscita alla ricerca di comportamenti dannosi prima che raggiunga la rete interna.

6. Accesso per partner e fornitori

Le organizzazioni che forniscono accesso alla rete a partner o fornitori terzi spesso utilizzano una DMZ per ospitare servizi condivisi (ad esempio, API, portali SFTP). Ciò limita l'esposizione della rete interna nel caso in cui l'accesso della parte esterna venga compromesso.

7. Gateway di accesso remoto

I concentratori VPN, i gateway per desktop remoto o i broker di infrastruttura desktop virtuale (VDI) vengono spesso implementati in una DMZ per consentire un accesso remoto sicuro ai sistemi interni senza esporli direttamente a Internet.

Collegamenti di riferimento

1.
https://www.techtarget.com/searchsecurity/definition/DMZ
2.
https://www.cisa.gov/resources-tools/resources/microsegmentation-zero-trust-part-one-introduction-and-planning
3.
ResearchGate - Temporarily Unavailable
4.
Network Warrior
5.
Network Warrior
6.
SAP Help Portal | SAP Online Help
7.
SAP Help Portal | SAP Online Help
8.
WatchGuard Firebox M695 review | IT Pro
IT Pro
9.
WatchGuard Firebox T185 review | IT Pro
IT Pro
10.
https://www.itpro.com/security/cisa-shares-lessons-learned-from-polish-power-grid-hack-and-how-to-prevent-disaster-striking-again
11.
https://www.itpro.com/security/cisa-shares-lessons-learned-from-polish-power-grid-hack-and-how-to-prevent-disaster-striking-again
12.
https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html
13.
https://docs.cloud.google.com/firewall/docs/about-url-filtering
14.
Cloud NGFW overview  |  Cloud Next Generation Firewall  |  Google Cloud Documentation
15.
https://www.cisa.gov/resources-tools/resources/microsegmentation-zero-trust-part-one-introduction-and-planning
16.
NCSC-led global guidance sets out principles for designing secure connectivity into OT networks - Industrial Cyber
Industrial Cyber
17.
NCSC-led global guidance sets out principles for designing secure connectivity into OT networks - Industrial Cyber
Industrial Cyber
Cem Dilmegani
Cem Dilmegani
Analista principale
Segui
Cem è analista principale presso AIMultiple dal 2017. AIMultiple fornisce informazioni a centinaia di migliaia di aziende (secondo SimilarWeb), tra cui il 55% delle aziende Fortune 500, ogni mese. Il lavoro di Cem è stato citato da importanti pubblicazioni globali come Business Insider, Forbes, Washington Post, società globali come Deloitte e HPE, ONG come il World Economic Forum e organizzazioni sovranazionali come la Commissione Europea. È possibile consultare l'elenco di altre aziende e risorse autorevoli che hanno citato AIMultiple. Nel corso della sua carriera, Cem ha lavorato come consulente tecnologico, responsabile acquisti tecnologici e imprenditore nel settore tecnologico. Ha fornito consulenza alle aziende sulle loro decisioni tecnologiche presso McKinsey & Company e Altman Solon per oltre un decennio. Ha anche pubblicato un report di McKinsey sulla digitalizzazione. Ha guidato la strategia tecnologica e gli acquisti di un'azienda di telecomunicazioni, riportando direttamente al CEO. Ha inoltre guidato la crescita commerciale dell'azienda deep tech Hypatos, che ha raggiunto un fatturato annuo ricorrente a 7 cifre e una valutazione a 9 cifre partendo da zero in soli 2 anni. Il lavoro di Cem in Hypatos è stato oggetto di articoli su importanti pubblicazioni tecnologiche come TechCrunch e Business Insider. Cem partecipa regolarmente come relatore a conferenze internazionali di settore. Si è laureato in ingegneria informatica presso l'Università di Bogazici e ha conseguito un MBA presso la Columbia Business School.
Visualizza il profilo completo

Sii il primo a commentare

Il tuo indirizzo email non verrà pubblicato. Tutti i campi sono obbligatori.

0/450

Prossimo da leggere

ERP AgenticoMar 5

I 10 migliori sistemi ERP basati sull'IA e 6 soluzioni

Hazal Şimşek
Hazal Şimşek
Framework di intelligenza artificiale agentivaApr 24

Agentic Mesh: il futuro della collaborazione scalabile basata sull'IA

Cem Dilmegani
Cem Dilmegani
Programmazione AIApr 24

Ottimizzazione della codifica agentica: come utilizzare il codice Claude nel 2026?

Cem Dilmegani
Cem Dilmegani
STRACCIOApr 20

Oltre 20 framework RAG per agenti

Cem Dilmegani
Ekrem Sarı
Cem Dilmegani
con
Ekrem Sarı
Software di utilitàApr 28

Utilità dell'IA: i 15 principali casi d'uso e studi di caso

Cem Dilmegani
Cem Dilmegani
Agenti di intelligenza artificialeApr 27

Elenco dei migliori 50+ agenti di intelligenza artificiale open source

Cem Dilmegani
Cem Dilmegani