Bir Demilitarize Bölge (DMZ) ağı, bir kuruluşun halka açık hizmetlerini barındıran bir alt ağdır. Genellikle İnternet olan güvensiz bir ağa maruz kalmış bir nokta olarak hizmet eder.
DMZ'ler, ev yönlendiricilerinden kurumsal ağlara kadar çeşitli ortamlarda, halka açık hizmetleri izole etmek ve dahili sistemleri korumak için kullanılır. DMZ'ler (demilitarize bölgeler), halka açık hizmetleri barındırırken bunları bir kuruluşun dahili LAN'ından izole eder.1 Kuruluşlar, DMZ çevrelerini Zero Trust mikrosegmentasyon ve sıkı erişim kontrolleri ile birleştirir.2
Gerçek dünya DMZ örneklerini ve farklı DMZ mimarilerini (tekli vs. çiftli güvenlik duvarı) keşfedin:
DMZ ağ güvenliğinde neden önemlidir?
DMZ'ler, dahili özel ağı savunmak için bir ağ segmentasyonu katmanı ekler. Halka açık internet ile kuruluşun özel ağları arasında bir tampon bölge oluşturur.
Bu alt ağlar, dahili sunuculara ve varlıklara dış erişimi sınırlar, böylece saldırganların dahili ağa sızmasını daha zor hale getirir.
Tipik yapılandırmalarda (yukarıdaki şekle bakın), DMZ alt ağı iki güvenlik duvarı arasında veya birden fazla arayüze sahip tek bir güvenlik duvarının özel bir segmentinde yer alır. Bu şunları sağlar:
- Yetkisiz erişim dahili ağa, DMZ'de barındırılan bir hizmet tehlikeye girse bile engellenir.
- Tüm gelen trafik internetten, DMZ sunucularına ulaşmadan önce filtrelenir ve incelenir.
- Dahili ağ trafiği DMZ'ye ve DMZ'den sıkı bir şekilde kontrol edilir ve izlenir.
DMZ örnekleri
DMZ örneği 1: Tek güvenlik duvarı ile DMZ uygulaması
Şekil 1'de görüldüğü gibi, DMZ ağı güvenlik duvarının içinde de değildir, dışında da değildir. Hem dahili hem de dış ağlar üzerinden erişilebilir.
Bu ağ diyagramının temel avantajlarından biri izolasyondur. Örneğin, e-posta sunucusu hacklenirse, saldırgan dahili ağa erişemeyecektir. Bu senaryoda, saldırgan aynı fiziksel ağı paylaştıkları için DMZ'deki çeşitli sunuculara erişebilir.
Şekil 1. Basit DMZ diyagramı
Kaynak: International Journal of Wireless and Microwave Technologies3
Bu yapılandırmada, DMZ aşağıdaki erişim kontrollerini uygular:
- Dış ağ: Dış ağ iç ağ ile bağlantı kuramaz, ancak dış ağ DMZ'ye bağlantı başlatabilir.
- İç ağ: Dahili ağ dış ağlarla bağlantı başlatabilir, ancak ağ iç ağa bağlantı başlatamaz.
DMZ örneği 2: Bir üçüncü taraf cihazına bağlı bir DMZ
Diğer tipik bir DMZ yaklaşımı, bir satıcı gibi bir üçüncü taraf cihazına bağlanmaktır. Şekil 2, bir DMZ'deki bir yönlendiriciye T1 bağlantısı üzerinden bağlı bir satıcısı olan bir ağı göstermektedir.
Bu DMZ örneği, şirketlerin sistemlerini dış bir tarafa dış kaynak olarak kullandığında, bu kurulum üzerinden satıcının sunucusuna doğrudan erişime izin verildiğinde kullanılabilir.
Şekil 2. Bir satıcıya bağlanan DMZ
Kaynak: O'Reilly Media4
DMZ örneği 3: Bir üçüncü taraf cihazına bağlı birden fazla DMZ
Bazen tek bir DMZ, karmaşık ağlarda faaliyet gösteren kuruluşlar için yetersiz kalır. Şekil 3, birden fazla DMZ'ye sahip bir ağı göstermektedir. Tasarım ilk iki örneği birleştirir: İnternet dışarıda, kullanıcılar ise ağın içindedir.
Şekil 3. Birden fazla DMZ
Kaynak: O'Reilly Media5
- DMZ-1, bir satıcıya erişim noktasıdır.
- DMZ-2, İnternet sunucularının bulunduğu yerdir.
Güvenlik gereksinimleri önceki örnekle (Örnek 2) tutarlıdır, ancak ek bir dikkate ihtiyaç vardır: DMZ-1'in DMZ-2'ye bağlantı başlatmasına ve bunun tersine izin verilip verilmediği.
Bu iki yönlü erişimi değerlendirmek, karmaşık ağ ortamları içinde ayrıntılı güvenlik kontrollerini uygulamaya yardımcı olur.
DMZ mimarileri
Bir DMZ, tek bir güvenlik duvarından çift veya çoklu güvenlik duvarlarına kadar çeşitli şekillerde yapılandırılabilir. Mevcut DMZ mimarilerinin çoğu, karmaşık ağları desteklemek için ölçeklenebilen ikiz güvenlik duvarlarını içerir.
1. Tek güvenlik duvarı
DMZ içeren bir ağ mimarisi oluşturmak için en az üç ağ arayüzüne sahip tek bir güvenlik duvarı gerekir.
Şekil 4. Tek güvenlik duvarı mimarisinin gösterimi
Kaynak: SAP6
Tek güvenlik duvarı kullanmanın nedeni: Tek bir güvenlik duvarı, trafik kontrolünü, politika uygulamasını ve günlük tutmayı tek bir cihazda birleştirerek ağ mimarisini basitleştirir. Bu, idari karmaşıklığı azaltır ve hem sermaye hem de operasyonel maliyetleri düşürür. Çok katmanlı çevre savunmalarına ihtiyaç duyulmadığı daha küçük ortamlar için en iyisidir.
2. Çift güvenlik duvarı
Bu uygulama, iki güvenlik duvarı kullanarak bir DMZ oluşturur.
Şekil 5. Çift güvenlik duvarı mimarisinin gösterimi
Kaynak: SAP7
Çift güvenlik duvarı kullanmanın nedeni: Çift güvenlik duvarları daha güvenli bir sistem sunar. Bazı şirketlerde, iki güvenlik duvarı ayrı sağlayıcılar tarafından sunulur. Bir dış saldırı ilk güvenlik duvarını aşabilirse, farklı bir üretici tarafından oluşturulmuşsa ikinci güvenlik duvarını aşmak daha uzun sürebilir, bu da aynı güvenlik açıklarının kurbanı olma olasılığını azaltır.
Son donanım sürümleri, WatchGuard'ın Aralık 2025'te piyasaya sürülen Firebox M695'i de dahil olmak üzere DMZ güvenlik duvarı dağıtımları için yeni seçenekler getirdi; bu, büyük ortamlar için çok yüksek throughput (ham 45 Gbps) sağlayan bir Intel Core i7-14701E işlemciye sahiptir.8
Küçük ve orta ölçekli işletme dağıtımları için, Ocak 2026'da piyasaya sürülen WatchGuard Firebox T185, yaklaşık 5,7 Gbps ham güvenlik duvarı throughput'u ile çok gigabit performans sağlar ve şube ofis ağları için kurumsal sınıf güvenlik özellikleri sunar.9
Demilitarize Bölge (DMZ) Faydaları
DMZ'nin temel değeri, halka açık internet kullanıcılarına belirli dışa dönük hizmetlere erişim sağlarken, kuruluşun dahili ağını koruyan koruyucu bir bariyer görevi görmesinde yatar.
Bu ek güvenlik katmanı, birkaç temel güvenlik avantajı sunar:
1. Erişim kontrolleri sağlar
Bir DMZ ağı, bir şirketin çevre ağı içinde olmayan, internet üzerinden erişilebilen hizmetlere erişimi kontrol eder. Ayrıca bir ağ segmentasyonu katmanı ekleyerek, bir kullanıcının bir şirketin özel ağına kabul almadan önce aşması gereken engeller sayısını artırır.
2. Ağ keşfini önler
Bir DMZ, bir saldırganın ağdaki potansiyel hedefleri değerlendirme yeteneğini sınırlar. DMZ'deki bir makine hacklense bile, dahili güvenlik duvarı, özel ağı DMZ'den izole ederek korur. Bu yapılandırma, dış ağ sömürülerini daha zor hale getirir.
3. Internet Protocol (IP) sahteciliğini sınırlar
IP sahteciliği, yetkisiz erişim kazanmak için paketlerin kaynak IP adresini sahtecilik yapmayı içerir. Bir DMZ, sahte trafiği tespit etmeye ve engellemeye yardımcı olur, özellikle IP kimliğini doğrulayan ek güvenlik önlemleriyle birleştirildiğinde, dahili ağı kimlik avı saldırılarından daha da korur.
Ağ güvenliğinde DMZ'lerin en üst 5 zafiyeti
Bir DMZ yararlıdır, ancak zayıflıkları vardır. Bu zayıflıklar, saldırganların sorunları bulmasını kolaylaştırabilir.
1. Halka açık kısımlar internetten kolayca görülebilir
DMZ'deki sunucular, insanların onları kullanabilmesi için açık olmalıdır. Hackerlar, bu halka açık sistemleri bulabilir ve zayıflıkları aramak için tarayabilir.
2. Yanlış yapılandırma risk oluşturur
DMZ yapılandırması ve yönetimi karmaşık olabilir. Güvenlik duvarı kuralları veya erişim kontrolleri yanlışsa, saldırganlar girebilir.
3. Karmaşıklık hataları artırır
Bir DMZ, yönetilecek daha fazla cihaz, kural ve ayar ekler. Daha fazla karmaşıklık, insan hatası için daha fazla şansa yol açar.
4. Yanlış bir güvenlik duygusu
Bazı insanlar bir DMZ'nin bir ağı tamamen güvenli hale getirdiğini düşünür. Öyle değil. Bir DMZ riski azaltır, ancak tek başına tüm saldırıları durduramaz.
5. DMZ'ler yeni teknolojilerle zorlanabilir
Geleneksel DMZ tasarımları, bulut hizmetleri veya modern ağlama modelleriyle iyi uymayabilir, bu da faydalılıklarını sınırlayabilir.
Şubat 2026'da, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Polonya'nın elektrik şebekesine yönelik bir siber saldırının ardından kritik altyapı operatörleri için yeni yönergeler yayınladı.10 Tavsiye, operasyonel teknoloji (OT) ağlarında tehditleri sınırlamaya yardımcı olmak için sıkı ağ segmentasyonu ve diğer kontrolleri vurgulamaktadır.11
DMZ'lerin Uygulamaları
1. Bulut hizmetleri
Bazı bulut hizmetleri, bir şirketin yerinde ağı ile mantıksal ağı arasında bir DMZ oluşturulan hibrit bir güvenlik stratejisi benimser. Bu strateji, şirketin hizmetlerinin kısmen yerinde ve kısmen de mantıksal bir ağ üzerinde çalıştığı durumlarda yaygın olarak kullanılır.
AWS ve Google Cloud, yerleşik firewall-as-a-service çözümleri sunar. Örneğin, AWS, VPC'ler için yönetilen, durum bilgili bir güvenlik duvarı hizmeti olan AWS Network Firewall'ı sağlar.12 Google Cloud'un Bulut Sonraki Nesil Güvenlik Duvarı, alan tabanlı trafik kontrolü için bir URL filtreleme hizmeti içerir ve ayrıntılı ağ segmentasyonu için hiyerarşik güvenlik duvarı politikalarını destekler 13 .14
2. Ev ağları
Bir DMZ, LAN ayarlarını ve geniş bant yönlendiricilerini kullanan ev ağları için de yararlı olabilir. Birçok ev yönlendiricisi DMZ seçenekleri veya DMZ ana bilgisayar ayarları içerir. Bu seçenekler, kullanıcıların yalnızca bir cihazı internete bağlamasına olanak tanır.
3. Endüstriyel kontrol sistemleri (ICS)
DMZ'ler, ICS ile ilişkili güvenlik sorunlarına bir çözüm sağlayabilir.
İnternete bağlanan operasyonel teknoloji (OT) ekipmanlarının çoğu, BT cihazları kadar saldırıları hafifletmek için tasarlanmamıştır. Bir DMZ, OT ağ segmentasyonunu artırarak, kötü amaçlı yazılım, virüsler veya diğer ağ tehditlerinin sızmasını daha zor hale getirebilir.
Kuruluşlar, düz ağ çevrelerini Zero Trust modelleri ile değiştiriyor; bu modeller mikrosegmentasyon ve ayrıntılı erişim kontrolleri kullanır.15 OT ağları için son küresel yönergeler (İngiltere'nin NCSC'si tarafından CISA ile iş birliği içinde liderlik edilmiştir), maruz kalan bağlantıları azaltmayı ve operasyonel sınırlarda sıkı ağ segmentasyonunu uygulamayı vurgulamaktadır 16 .17
4. Web ve e-posta barındırma
Web sunucuları gibi halka açık hizmetler, dahili ağın güvenliğini korurken dış kullanıcılara temel kaynaklara erişim sağlamak için genellikle bir DMZ içinde dağıtılır.
5. Saldırı tespit ve önleme sistemleri (IDS/IPS)
Bazı güvenlik mimarileri, kötü niyetli davranışı iç ağa ulaşmadan önce incelemek için IDS/IPS sensörlerini DMZ'ye yerleştirir.
6. Ortak ve satıcı erişimi
Üçüncü taraf ortaklara veya satıcılara ağ erişimi sağlayan kuruluşlar, genellikle paylaşılan hizmetleri barındırmak için bir DMZ kullanır (örn. API'ler, SFTP portalları). Bu, dış tarafın erişimi tehlikeye girerse dahili ağın maruz kalmasını sınırlar.
7. Uzaktan erişim ağ geçitleri
VPN konsantratörleri, uzaktan masaüstü ağ geçitleri veya sanal masaüstü altyapısı (VDI) aracıları, dahili sistemlere doğrudan internete maruz kalmadan güvenli uzaktan erişime izin vermek için genellikle bir DMZ'de dağıtılır.
Bu araştırmayı kaynak gösterin
Yayınlayacağınız yere uygun formatı seçin. Bağlantılı sürümü CMS'inize yapıştırmak, geri bağlantıyı korur.
@misc{dilmegani2026,
author = {Dilmegani, Cem},
title = {{Demilitarize Bölge (DMZ): Örnekler ve Mimari}},
year = {2026},
month = mar,
howpublished = {\url{https://aimultiple.com/dmz}},
note = {AIMultiple. Erişim tarihi: 6 Mart 2026}
}







Yorum yapan ilk kişi olun
E-posta adresiniz yayınlanmayacak. Tüm alanlar gereklidir. Yorumlar orijinal dilinde bırakılır.