Contate-nos
ServiçosEmpresa
Contate-nos
Nenhum resultado encontrado.
Segurança cibernéticaSegurança de rede

Zona Desmilitarizada (DMZ): Exemplos e Arquitetura

Cem Dilmegani
Cem Dilmegani
atualizado em Mar 6, 2026
Veja o nosso normas éticas

Uma Zona Desmilitarizada (DMZ) é uma sub-rede que contém os serviços de acesso público de uma organização. Ela serve como um ponto de exposição a uma rede não confiável, geralmente a Internet.

As DMZs são utilizadas em diversos ambientes, desde roteadores domésticos até redes corporativas, para isolar serviços voltados para o público e proteger sistemas internos. As DMZs (zonas desmilitarizadas) hospedam serviços voltados para o público, isolando-os da LAN interna de uma organização. 1 As organizações combinam perímetros de DMZ com microsegmentação Zero Trust e controles de acesso rigorosos. 2

Explore exemplos práticos de DMZ e diferentes arquiteturas de DMZ (firewall único vs. firewall duplo) :

Por que a DMZ é importante na segurança de rede?

As DMZs adicionam uma camada de segmentação de rede para proteger a rede privada interna. Elas criam uma zona de amortecimento entre a internet pública e as redes privadas da organização.

Essas sub-redes limitam o acesso externo a servidores e ativos internos, tornando mais difícil para os invasores penetrarem na rede interna.

Em configurações típicas (ver figura acima), a sub-rede DMZ é colocada entre dois firewalls ou em um segmento dedicado de um único firewall com múltiplas interfaces. Isso garante que:

  • O acesso não autorizado à rede interna é bloqueado, mesmo que um serviço hospedado na DMZ seja comprometido.
  • Todo o tráfego de entrada da internet é filtrado e inspecionado antes de chegar aos servidores da DMZ.
  • O tráfego de rede interna de e para a DMZ é rigorosamente controlado e monitorado.

Exemplos de DMZ

Exemplo 1 de DMZ: Implementação de DMZ com um firewall

Como pode ser observado na Figura 1, a rede DMZ não está nem dentro nem fora do firewall. Ela é acessível tanto por meio de redes internas quanto externas.

Uma das principais vantagens deste diagrama de rede é o isolamento. Por exemplo, se o servidor de e-mail for invadido, o atacante não conseguirá acessar a rede interna. Nesse cenário, o atacante pode acessar vários servidores na DMZ, já que compartilham a mesma rede física.

Figura 1. Diagrama simples da DMZ

Fonte: International Journal of Wireless and Microwave Technologies 3

Nessa configuração, a DMZ impõe os seguintes controles de acesso:

  • Rede externa: A rede externa não pode estabelecer conexões com a rede interna; no entanto, a rede externa pode iniciar conexões com a DMZ.
  • Rede interna: A rede interna pode iniciar conexões com redes externas, mas a rede não pode iniciar conexões com a própria rede interna.

Exemplo 2 de DMZ: Uma DMZ conectada a um dispositivo de terceiros.

Outra abordagem típica de DMZ é a conexão a um dispositivo de terceiros, como um fornecedor. A Figura 2 ilustra uma rede com um fornecedor conectado por meio de um link T1 a um roteador na DMZ.

Este exemplo de DMZ pode ser usado quando as empresas terceirizam seus sistemas para uma empresa externa, permitindo o acesso direto ao servidor do fornecedor por meio dessa configuração.

Figura 2. DMZ conectando-se a um fornecedor

Fonte: O'Reilly Media 4

Exemplo 3 de DMZ: Várias DMZs conectadas a um dispositivo de terceiros

Às vezes, uma única DMZ é insuficiente para organizações que operam redes complexas. A Figura 3 ilustra uma rede com múltiplas DMZs. O projeto combina os dois primeiros exemplos: a Internet está fora da rede e os usuários estão dentro dela.

Figura 3. Múltiplas DMZs

Fonte: O'Reilly Media 5

  • DMZ-1 é um ponto de acesso a um fornecedor.
  • A DMZ-2 é onde os servidores da Internet estão localizados.

Os requisitos de segurança são consistentes com o exemplo anterior (Exemplo 2), mas é necessária uma consideração adicional: se a DMZ-1 tem permissão para iniciar conexões com a DMZ-2 e vice-versa.

A avaliação desse acesso bidirecional ajuda a aplicar controles de segurança granulares em ambientes de rede complexos.

Arquiteturas DMZ

Uma DMZ pode ser configurada de diversas maneiras, desde um único firewall até firewalls duplos ou múltiplos. A maioria das arquiteturas de DMZ atuais inclui firewalls duplos que podem ser dimensionados para suportar redes complexas.

1. Firewall único

É necessário um único firewall com pelo menos três interfaces de rede para construir uma arquitetura de rede que inclua uma DMZ.

Figura 4. Ilustração de uma arquitetura de firewall única.

Fonte: SAP 6

Por que usar um único firewall: Um único firewall simplifica a arquitetura de rede ao consolidar o controle de tráfego, a aplicação de políticas e o registro de logs em um único dispositivo. Isso reduz a complexidade administrativa e diminui os custos operacionais e de capital. É a melhor opção para ambientes menores, onde não há necessidade de defesas de perímetro em múltiplas camadas.

2. Firewall duplo

Esta implementação cria uma DMZ usando dois firewalls.

Figura 5. Ilustração da arquitetura de firewall duplo

Fonte: SAP 7

Por que usar firewalls duplos: Firewalls duplos oferecem um sistema mais seguro. Em algumas empresas, os dois firewalls são fornecidos por fornecedores diferentes. Se um ataque externo conseguir ultrapassar o primeiro firewall, pode levar mais tempo para ultrapassar o segundo firewall se este for de um fabricante diferente, tornando menos provável que seja vítima das mesmas vulnerabilidades de segurança.

Os lançamentos recentes de hardware introduziram novas opções para implantações de firewall em DMZ, incluindo o Firebox M695 da WatchGuard (lançado em dezembro de 2025), que possui um processador Core i7-14701E e oferece altíssima taxa de transferência (45 Gbps brutos) para grandes ambientes. 8

Para implantações em pequenas e médias empresas, o WatchGuard Firebox T185 (lançado em janeiro de 2026) oferece desempenho multigigabit com taxa de transferência bruta de firewall de aproximadamente 5,7 Gbps e recursos de segurança de nível empresarial para redes de filiais. 9

Benefícios da Zona Desmilitarizada (DMZ)

O principal valor de uma DMZ reside na sua capacidade de fornecer aos usuários da internet pública acesso a serviços específicos voltados para o exterior, ao mesmo tempo que serve como uma barreira protetora que resguarda a rede interna da organização.

Essa camada adicional de segurança oferece diversos benefícios importantes em termos de segurança:

1. Fornece controles de acesso

Uma rede DMZ controla o acesso a serviços acessíveis pela internet que não estão dentro do perímetro da rede de uma empresa. Ela também adiciona uma camada de segmentação de rede, aumentando o número de barreiras que um usuário precisa superar antes de obter acesso à rede privada da empresa.

2. Impedir o reconhecimento de rede

Uma DMZ limita a capacidade de um atacante avaliar possíveis alvos na rede. Mesmo que uma máquina na DMZ seja invadida, o firewall interno protege a rede privada, isolando-a da DMZ. Essa configuração dificulta a exploração de vulnerabilidades externas na rede.

3. Limita a falsificação do Protocolo de Internet (IP)

A falsificação de IP envolve a adulteração do endereço IP de origem dos pacotes para obter acesso não autorizado. Uma DMZ ajuda a detectar e bloquear o tráfego falsificado, especialmente quando combinada com medidas de segurança adicionais que validam a autenticidade do IP, protegendo ainda mais a rede interna contra ataques de personificação.

As 5 principais vulnerabilidades das DMZs em segurança de rede

Uma DMZ é útil, mas tem vulnerabilidades. Essas vulnerabilidades podem facilitar a exploração de falhas por parte dos atacantes.

1. Partes íntimas são facilmente visíveis pela internet.

Os servidores em uma DMZ precisam estar abertos para que as pessoas possam usá-los. Hackers podem encontrar e analisar esses sistemas expostos publicamente em busca de vulnerabilidades.

2. Uma configuração incorreta cria riscos

A configuração e o gerenciamento de uma DMZ podem ser complexos. Se as regras do firewall ou os controles de acesso estiverem incorretos, invasores podem conseguir acesso.

3. A complexidade aumenta os erros.

Uma DMZ adiciona mais dispositivos, regras e configurações para gerenciar. Mais complexidade significa mais chances de erro humano.

4. Uma falsa sensação de segurança

Algumas pessoas pensam que uma DMZ torna uma rede totalmente segura. Não torna. Uma DMZ reduz o risco, mas não consegue impedir todos os ataques sozinha.

5. As DMZs podem ter dificuldades com tecnologias mais recentes.

Os projetos tradicionais de DMZ podem não se adequar bem aos serviços em nuvem ou aos modelos de rede modernos, limitando sua utilidade.

Em fevereiro de 2026, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu novas diretrizes para operadores de infraestrutura crítica após um ataque cibernético à rede elétrica da Polônia. 10 O aviso enfatiza a segmentação rigorosa da rede e outros controles para ajudar a conter ameaças em redes de tecnologia operacional (TO). 11

Aplicações das DMZs

1. Serviços em nuvem

Alguns serviços em nuvem empregam uma estratégia de segurança híbrida na qual uma DMZ (Zona Desmilitarizada) é estabelecida entre a rede local da empresa e sua rede lógica. Essa estratégia é comumente utilizada quando os serviços da empresa são executados parcialmente em infraestrutura local e parcialmente em uma rede lógica.

A AWS e a Google Cloud incluem soluções integradas de firewall como serviço. Por exemplo, a AWS fornece o AWS Network Firewall (um serviço de firewall gerenciado e com estado para VPCs). 12 Google O Firewall de Próxima Geração da Cloud inclui um serviço de filtragem de URL para controle de tráfego baseado em domínio e suporta políticas de firewall hierárquicas para segmentação granular da rede. 13 . 14

2. Redes domésticas

Uma DMZ também pode ser útil para redes domésticas que utilizam configurações de LAN e roteadores de banda larga. Vários roteadores domésticos incluem opções de DMZ ou configurações de host DMZ. Essas opções permitem que os usuários conectem apenas um dispositivo à internet.

3. Sistemas de controle industrial (SCI)

As DMZs podem oferecer uma solução para os problemas de segurança associados aos ICS.

A maioria dos equipamentos de tecnologia operacional (TO) que se conectam à internet não são tão bem projetados para mitigar ataques quanto os dispositivos de TI. Uma DMZ pode aprimorar a segmentação da rede de TO, dificultando a infiltração de malware, vírus ou outras ameaças à rede.

As organizações estão substituindo perímetros de rede planos por modelos de Confiança Zero que utilizam microsegmentação e controles de acesso granulares. 15 Diretrizes globais recentes para redes de Tecnologia Operacional (lideradas pelo NCSC do Reino Unido com a colaboração da CISA) enfatizam a redução de conexões expostas e a aplicação de uma segmentação de rede rigorosa nos limites operacionais. 16 . 17

4. Hospedagem de sites e e-mails

Serviços voltados para o público, como servidores web, são normalmente implantados dentro de uma DMZ para fornecer aos usuários externos acesso a recursos essenciais, mantendo a segurança da rede interna.

5. Sistemas de detecção e prevenção de intrusões (IDS/IPS)

Algumas arquiteturas de segurança posicionam sensores IDS/IPS na DMZ para inspecionar o tráfego de entrada e saída em busca de comportamentos maliciosos antes que ele chegue à rede interna.

6. Acesso de parceiros e fornecedores

Organizações que fornecem acesso à rede para parceiros ou fornecedores terceirizados geralmente usam uma DMZ para hospedar serviços compartilhados (por exemplo, APIs, portais SFTP). Isso limita a exposição da rede interna caso o acesso da parte externa seja comprometido.

7. Portais de acesso remoto

Concentradores VPN, gateways de área de trabalho remota ou agentes de infraestrutura de área de trabalho virtual (VDI) são frequentemente implantados em uma DMZ para permitir o acesso remoto seguro a sistemas internos sem expô-los diretamente à internet.

Links de referência

1.
https://www.techtarget.com/searchsecurity/definition/DMZ
2.
https://www.cisa.gov/resources-tools/resources/microsegmentation-zero-trust-part-one-introduction-and-planning
3.
ResearchGate - Temporarily Unavailable
4.
Network Warrior
5.
Network Warrior
6.
SAP Help Portal | SAP Online Help
7.
SAP Help Portal | SAP Online Help
8.
WatchGuard Firebox M695 review | IT Pro
IT Pro
9.
WatchGuard Firebox T185 review | IT Pro
IT Pro
10.
https://www.itpro.com/security/cisa-shares-lessons-learned-from-polish-power-grid-hack-and-how-to-prevent-disaster-striking-again
11.
https://www.itpro.com/security/cisa-shares-lessons-learned-from-polish-power-grid-hack-and-how-to-prevent-disaster-striking-again
12.
https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html
13.
https://docs.cloud.google.com/firewall/docs/about-url-filtering
14.
Cloud NGFW overview  |  Cloud Next Generation Firewall  |  Google Cloud Documentation
15.
https://www.cisa.gov/resources-tools/resources/microsegmentation-zero-trust-part-one-introduction-and-planning
16.
NCSC-led global guidance sets out principles for designing secure connectivity into OT networks - Industrial Cyber
Industrial Cyber
17.
NCSC-led global guidance sets out principles for designing secure connectivity into OT networks - Industrial Cyber
Industrial Cyber
Cem Dilmegani
Cem Dilmegani
Analista Principal
Siga-nos
Cem é o analista principal da AIMultiple desde 2017. A AIMultiple fornece informações para centenas de milhares de empresas (segundo o SimilarWeb), incluindo 55% das empresas da Fortune 500, todos os meses. O trabalho de Cem foi citado por importantes publicações globais, como Business Insider, Forbes e Washington Post, além de empresas globais como Deloitte e HPE, ONGs como o Fórum Econômico Mundial e organizações supranacionais como a Comissão Europeia. Você pode ver mais empresas e recursos renomados que mencionaram a AIMultiple. Ao longo de sua carreira, Cem atuou como consultor de tecnologia, comprador de tecnologia e empreendedor na área. Ele assessorou empresas em suas decisões tecnológicas na McKinsey & Company e na Altman Solon por mais de uma década. Também publicou um relatório da McKinsey sobre digitalização. Liderou a estratégia de tecnologia e a área de compras de uma empresa de telecomunicações, reportando-se diretamente ao CEO. Além disso, liderou o crescimento comercial da empresa de tecnologia avançada Hypatos, que atingiu uma receita recorrente anual de sete dígitos e uma avaliação de nove dígitos, partindo de zero, em apenas dois anos. O trabalho de Cem no Hypatos foi noticiado por importantes publicações de tecnologia, como TechCrunch e Business Insider. Cem participa regularmente como palestrante em conferências internacionais de tecnologia. Ele se formou em engenharia da computação pela Universidade Bogazici e possui um MBA pela Columbia Business School.
Ver perfil completo

Seja o primeiro a comentar

Seu endereço de e-mail não será publicado. Todos os campos são obrigatórios.

0/450

A seguir, leia

AI GovernanceJan 28

Os 20 principais softwares e tecnologias de IA para GRC em 2026

Hazal Şimşek
Hazal Şimşek
Estruturas de IA AgencialAbr 26

Mais de 10 frameworks e ferramentas de orquestração agética

Hazal Şimşek
Hazal Şimşek
ERP AgenticMar 5

Os 10 melhores sistemas ERP com IA ativa e 6 soluções

Hazal Şimşek
Hazal Şimşek
Modelos de IAFev 10

Modelos Fundamentais de Séries Temporais: Casos de Uso e Benefícios

Sıla Ermut
Sıla Ermut
TRAPOAbr 16

RAG Híbrido: Aumentando a Precisão do RAG

Cem Dilmegani
Ekrem Sarı
Cem Dilmegani
com
Ekrem Sarı
Estruturas de IA AgencialMar 30

Os 5 principais frameworks de IA agente de código aberto em 2026

Cem Dilmegani
Nazlı Şipi
Cem Dilmegani
com
Nazlı Şipi