Una rete DMZ (Zona Demilitarizzata) è una sottorete contenente i servizi pubblicamente accessibili di un'organizzazione. Funge da punto esposto verso una rete non affidabile, spesso Internet.
Le DMZ sono utilizzate in vari ambienti, dai router domestici alle reti aziendali, per isolare i servizi rivolti al pubblico e proteggere i sistemi interni. Le DMZ (zone demilitarizzate) ospitano servizi rivolti al pubblico isolandoli dalla LAN interna di un'organizzazione.1 Le organizzazioni combinano i perimetri DMZ con la microsegmentazione Zero Trust e controlli di accesso rigorosi.2
Esplora esempi reali di DMZ e diverse architetture DMZ (firewall singolo vs. doppio):
Perché la DMZ è importante nella sicurezza di rete?
Le DMZ aggiungono un livello di segmentazione di rete per difendere la rete privata interna. Creano una zona cuscinetto tra Internet pubblico e le reti private dell'organizzazione.
Queste sottoreti limitano l'accesso esterno ai server e agli asset interni, rendendo più difficile per gli attaccanti penetrare nella rete interna.
Nelle configurazioni tipiche (vedi figura sopra), la sottorete DMZ è posizionata tra due firewall o su un segmento dedicato di un singolo firewall con più interfacce. Ciò garantisce che:
- L'accesso non autorizzato alla rete interna sia bloccato, anche se un servizio ospitato nella DMZ viene compromesso.
- Tutto il traffico in entrata da Internet venga prima filtrato e ispezionato prima di raggiungere i server DMZ.
- Il traffico della rete interna da e verso la DMZ sia strettamente controllato e monitorato.
Esempi di DMZ
Esempio DMZ 1: Implementazione DMZ con un firewall
Come si vede nella Figura 1, la rete DMZ non è né all'interno né all'esterno del firewall. È accessibile sia dalle reti interne che da quelle esterne.
Uno dei principali vantaggi di questo diagramma di rete è l'isolamento. Ad esempio, se il server email viene violato, l'attaccante non sarà in grado di accedere alla rete interna. In questo scenario, l'attaccante potrebbe accedere a vari server nella DMZ poiché condividono la stessa rete fisica.
Figura 1. Diagramma semplice della DMZ
Fonte: International Journal of Wireless and Microwave Technologies3
In questa configurazione, la DMZ applica i seguenti controlli di accesso:
- Rete esterna: La rete esterna non può stabilire connessioni con la rete interna, tuttavia può avviare connessioni verso la DMZ.
- Rete interna: La rete interna può avviare connessioni verso reti esterne, ma la rete non può avviare connessioni verso la rete interna.
Esempio DMZ 2: Una DMZ connessa a un dispositivo di terze parti
Un altro approccio tipico alla DMZ è la connessione a un dispositivo di terze parti, come un fornitore. La Figura 2 illustra una rete con un fornitore connesso tramite un collegamento T1 a un router nella DMZ.
Questo esempio di DMZ può essere utilizzato quando le aziende esternalizzano i propri sistemi a una parte esterna, consentendo l'accesso diretto al server del fornitore tramite questa configurazione.
Figura 2. DMZ connessa a un fornitore
Fonte: O'Reilly Media4
Esempio DMZ 3: DMZ multiple connesse a un dispositivo di terze parti
A volte una singola DMZ è insufficiente per le organizzazioni che gestiscono reti complesse. La Figura 3 illustra una rete con DMZ multiple. Il design combina i primi due esempi: Internet è all'esterno e gli utenti sono all'interno della rete.
Figura 3. DMZ multiple
Fonte: O'Reilly Media5
- DMZ-1 è un punto di accesso per un fornitore.
- DMZ-2 è dove si trovano i server Internet.
I requisiti di sicurezza sono coerenti con l'esempio precedente (Esempio 2), ma è necessaria una considerazione aggiuntiva: se DMZ-1 è autorizzata ad avviare connessioni verso DMZ-2, e viceversa.
La valutazione di questo accesso bidirezionale aiuta a implementare controlli di sicurezza granulari in ambienti di rete complessi.
Architetture DMZ
Una DMZ può essere configurata in vari modi, da un singolo firewall a due o più firewall. La maggior parte delle attuali architetture DMZ include due firewall che possono essere scalati per supportare reti complesse.
1. Firewall singolo
Per costruire un'architettura di rete che includa una DMZ è necessario un singolo firewall con almeno tre interfacce di rete.
Figura 4. Illustrazione di un'architettura a firewall singolo
Fonte: SAP6
Perché utilizzare un firewall singolo: Un firewall singolo semplifica l'architettura di rete consolidando il controllo del traffico, l'applicazione delle policy e la registrazione in un unico dispositivo. Ciò riduce la complessità amministrativa e abbassa sia i costi di capitale che quelli operativi. È ideale per ambienti più piccoli dove non c'è necessità di difese perimetrali a più livelli.
2. Doppio firewall
Questa implementazione crea una DMZ utilizzando due firewall.
Figura 5. Illustrazione dell'architettura a doppio firewall
Fonte: SAP7
Perché utilizzare due firewall: I due firewall offrono un sistema più sicuro. In alcune aziende, i due firewall sono forniti da produttori diversi. Se un attacco esterno riesce a violare il primo firewall, potrebbe impiegare più tempo a violare il secondo se è costruito da un produttore diverso, rendendolo meno suscettibile alle stesse vulnerabilità di sicurezza.
I recenti rilasci hardware hanno introdotto nuove opzioni per le implementazioni di firewall DMZ, incluso il Firebox M695 di WatchGuard (rilasciato a dicembre 2025), che presenta un processore Intel Core i7-14701E e offre una velocità di trasmissione molto elevata (45 Gbps raw) per ambienti di grandi dimensioni.8
Per le implementazioni in piccole e medie imprese, il WatchGuard Firebox T185 (rilasciato a gennaio 2026) offre prestazioni multi-gigabit con circa 5,7 Gbps di velocità firewall raw e funzionalità di sicurezza di classe enterprise per reti di filiali.9
Vantaggi della Zona Demilitarizzata (DMZ)
Il valore principale di una DMZ risiede nella sua capacità di fornire agli utenti di Internet pubblico l'accesso a specifici servizi rivolti all'esterno, fungendo al contempo da barriera protettiva che protegge la rete interna dell'organizzazione.
Questo livello aggiuntivo di sicurezza offre diversi vantaggi chiave per la sicurezza:
1. Fornisce controlli di accesso
Una rete DMZ controlla l'accesso ai servizi accessibili via Internet che non si trovano all'interno del perimetro di rete aziendale. Aggiunge inoltre un livello di segmentazione di rete, aumentando il numero di barriere che un utente deve superare prima di ottenere l'ammissione alla rete privata dell'azienda.
2. Previene la ricognizione di rete
Una DMZ limita la capacità di un attaccante di valutare potenziali obiettivi sulla rete. Anche se una macchina nella DMZ viene violata, il firewall interno difende la rete privata isolandola dalla DMZ. Questa configurazione rende più difficili gli exploit di rete esterni.
3. Limita l'IP spoofing (falsificazione del protocollo Internet)
L'IP spoofing consiste nel falsificare l'indirizzo IP di origine dei pacchetti per ottenere accesso non autorizzato. Una DMZ aiuta a rilevare e bloccare il traffico falsificato, specialmente se combinata con misure di sicurezza aggiuntive che convalidano l'autenticità IP, proteggendo ulteriormente la rete interna da attacchi di impersonificazione.
Le 5 principali vulnerabilità delle DMZ nella sicurezza di rete
Una DMZ è utile, ma presenta punti deboli. Questi punti deboli possono rendere più facile per gli attaccanti trovare problemi.
1. Le parti pubbliche sono facili da vedere da Internet
I server in una DMZ devono essere aperti affinché le persone possano utilizzarli. Gli hacker possono trovare e scansionare questi sistemi rivolti al pubblico per cercare punti deboli.
2. La configurazione errata crea rischi
La configurazione e la gestione della DMZ possono essere complesse. Se le regole del firewall o i controlli di accesso sono errati, gli attaccanti potrebbero entrare.
3. La complessità aumenta gli errori
Una DMZ aggiunge più dispositivi, regole e impostazioni da gestire. Maggiore complessità significa più possibilità di errore umano.
4. Un falso senso di sicurezza
Alcune persone pensano che una DMZ renda una rete totalmente sicura. Non è così. Una DMZ riduce il rischio, ma non può fermare tutti gli attacchi da sola.
5. Le DMZ possono avere difficoltà con le tecnologie più recenti
I design DMZ tradizionali potrebbero non adattarsi bene ai servizi cloud o ai modelli di rete moderni, limitandone l'utilità.
A febbraio 2026, la U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha emesso una nuova guida per gli operatori di infrastrutture critiche a seguito di un attacco informatico alla rete elettrica polacca.10 L'avviso sottolinea la rigorosa segmentazione di rete e altri controlli per aiutare a contenere le minacce nelle reti di tecnologia operativa (OT).11
Applicazioni delle DMZ
1. Servizi cloud
Alcuni servizi cloud impiegano una strategia di sicurezza ibrida in cui una DMZ viene stabilita tra la rete on-premises dell'azienda e la sua rete logica. Questa strategia è comunemente utilizzata quando i servizi dell'azienda vengono eseguiti in parte on-premises e in parte su una rete logica.
AWS e Google Cloud includono soluzioni firewall-as-a-service integrate. Ad esempio, AWS fornisce AWS Network Firewall (un servizio firewall stateful gestito per VPC).12 Il Cloud Next-Generation Firewall di Google Cloud include un servizio di filtraggio URL per il controllo del traffico basato sul dominio e supporta policy firewall gerarchiche per una segmentazione di rete granulare 13 .14
2. Reti domestiche
Una DMZ può essere utile anche per le reti domestiche che utilizzano impostazioni LAN e router a banda larga. Diversi router domestici includono opzioni DMZ o impostazioni host DMZ. Queste opzioni consentono agli utenti di connettere un solo dispositivo a Internet.
3. Sistemi di controllo industriale (ICS)
Le DMZ possono fornire una soluzione ai problemi di sicurezza associati agli ICS.
La maggior parte delle apparecchiature di tecnologia operativa (OT) che si connettono a Internet non è progettata per mitigare gli attacchi tanto bene quanto i dispositivi IT. Una DMZ può migliorare la segmentazione della rete OT, rendendo più difficile l'infiltrazione di malware, virus o altre minacce di rete.
Le organizzazioni stanno sostituendo i perimetri di rete piatti con modelli Zero Trust che utilizzano la microsegmentazione e controlli di accesso granulari.15 La recente guida globale per le reti OT (guidata dall'NCSC del Regno Unito con la collaborazione della CISA) sottolinea la riduzione delle connessioni esposte e l'applicazione di una rigorosa segmentazione di rete ai confini operativi 16 .17
4. Hosting web ed email
I servizi rivolti al pubblico come i server web sono generalmente implementati all'interno di una DMZ per fornire agli utenti esterni l'accesso a risorse essenziali mantenendo al contempo la sicurezza della rete interna.
5. Sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS)
Alcune architetture di sicurezza posizionano i sensori IDS/IPS nella DMZ per ispezionare il traffico in entrata e in uscita alla ricerca di comportamenti malevoli prima che raggiunga la rete interna.
6. Accesso per partner e fornitori
Le organizzazioni che forniscono accesso di rete a partner o fornitori terzi spesso utilizzano una DMZ per ospitare servizi condivisi (ad es., API, portali SFTP). Ciò limita l'esposizione della rete interna nel caso in cui l'accesso della parte esterna venga compromesso.
7. Gateway di accesso remoto
I concentratori VPN, i gateway desktop remoti o i broker di infrastruttura desktop virtuale (VDI) sono spesso implementati in una DMZ per consentire un accesso remoto sicuro ai sistemi interni senza esporli direttamente a Internet.
Cita questa ricerca
Scegli il formato adatto a dove pubblicherai. Incollare la versione con link nel tuo CMS preserva il backlink.
@misc{dilmegani2026,
author = {Dilmegani, Cem},
title = {{Zona Demilitarizzata (DMZ): Esempi e Architettura}},
year = {2026},
month = mar,
howpublished = {\url{https://aimultiple.com/dmz}},
note = {AIMultiple. Consultato il 6 Marzo 2026}
}







Sii il primo a commentare
Il tuo indirizzo email non verrà pubblicato. Tutti i campi sono obbligatori. I commenti vengono lasciati nella loro lingua originale.