Bize Ulaşın
HizmetlerŞirket
Bize Ulaşın
Sonuç bulunamadı.
Siber güvenlikAğ Güvenliği

Silahsızlandırılmış Bölge (DMZ): Örnekler ve Mimari

Cem Dilmegani
Cem Dilmegani
güncellendi Mar 6, 2026
Bakınız etik normlar

Demilitarize Bölge (DMZ) ağı, bir kuruluşun herkese açık hizmetlerini içeren bir alt ağdır. Genellikle İnternet olan güvenilmeyen bir ağa açık bir nokta görevi görür.

DMZ'ler, ev yönlendiricilerinden kurumsal ağlara kadar çeşitli ortamlarda, halka açık hizmetleri izole etmek ve iç sistemleri korumak için kullanılır. DMZ'ler (silahsızlandırılmış bölgeler), halka açık hizmetleri barındırırken bunları kuruluşun iç LAN'ından izole eder. 1 Kuruluşlar, DMZ çevrelerini Sıfır Güven mikro segmentasyonu ve sıkı erişim kontrolleriyle birleştirir. 2

Gerçek dünya DMZ örneklerini ve farklı DMZ mimarilerini (tek güvenlik duvarlı ve çift güvenlik duvarlı) inceleyin:

Ağ güvenliğinde DMZ neden önemlidir?

DMZ'ler, dahili özel ağı korumak için ağ bölümlendirmesine ek bir katman ekler. Genel internet ile kuruluşun özel ağları arasında bir tampon bölge oluşturur.

Bu alt ağlar, iç sunuculara ve varlıklara dış erişimi sınırlandırarak, saldırganların iç ağa sızmasını daha zor hale getirir.

Tipik yapılandırmalarda (yukarıdaki şekle bakınız), DMZ alt ağı iki güvenlik duvarı arasına veya birden fazla arayüze sahip tek bir güvenlik duvarının özel bir bölümüne yerleştirilir. Bu, şunları sağlar:

  • DMZ'de barındırılan bir hizmetin güvenliği ihlal edilse bile, iç ağa yetkisiz erişim engellenir.
  • İnternetten gelen tüm trafik, DMZ sunucularına ulaşmadan önce filtrelenir ve incelenir.
  • DMZ'ye giden ve DMZ'den gelen dahili ağ trafiği sıkı bir şekilde kontrol edilir ve izlenir.

DMZ örnekleri

DMZ örneği 1: Tek güvenlik duvarı ile DMZ uygulaması

Şekil 1'de görüldüğü gibi, DMZ ağı güvenlik duvarının ne içinde ne de dışında yer almaktadır. Hem iç hem de dış ağlar üzerinden erişilebilir durumdadır.

Bu ağ diyagramının başlıca avantajlarından biri izolasyondur. Örneğin, e-posta sunucusu hacklenirse, saldırgan iç ağa erişemez. Bu senaryoda, saldırgan aynı fiziksel ağı paylaştıkları için DMZ'deki çeşitli sunuculara erişebilir.

Şekil 1. Basit DMZ diyagramı

Kaynak: Uluslararası Kablosuz ve Mikrodalga Teknolojileri Dergisi 3

Bu yapılandırmada, DMZ aşağıdaki erişim kontrollerini uygular:

  • Dış ağ: Dış ağ, iç ağ ile bağlantı kuramaz; ancak dış ağ, DMZ ile bağlantı kurmaya başlayabilir.
  • İç ağ: İç ağ, dış ağlara bağlantı kurabilir, ancak iç ağa bağlantı kuramaz.

DMZ örneği 2: Üçüncü taraf bir cihaza bağlı bir DMZ

DMZ'ye yönelik bir diğer tipik yaklaşım, bir tedarikçi gibi üçüncü taraf bir cihaza bağlanmaktır. Şekil 2, bir tedarikçinin DMZ'deki bir yönlendiriciye T1 bağlantısı üzerinden bağlandığı bir ağı göstermektedir.

Bu DMZ örneği, şirketlerin sistemlerini dış bir tarafa devrettiği durumlarda kullanılabilir ve bu kurulum aracılığıyla tedarikçinin sunucusuna doğrudan erişim sağlar.

Şekil 2. DMZ'nin bir tedarikçiye bağlanması

Kaynak: O'Reilly Media 4

DMZ örneği 3: Üçüncü taraf bir cihaza bağlı birden fazla DMZ

Bazen tek bir DMZ, karmaşık ağlar işleten kuruluşlar için yetersiz kalabilir. Şekil 3, birden fazla DMZ'ye sahip bir ağı göstermektedir. Tasarım, ilk iki örneği birleştirir: İnternet dışarıda, kullanıcılar ise ağın içindedir.

Şekil 3. Çoklu DMZ'ler

Kaynak: O'Reilly Media 5

  • DMZ-1, bir tedarikçiye erişim noktasıdır.
  • DMZ-2, internet sunucularının bulunduğu yerdir.

Güvenlik gereksinimleri önceki örnekle (Örnek 2) tutarlıdır, ancak ek bir husus daha dikkate alınmalıdır: DMZ-1'in DMZ-2'ye bağlantı başlatmasına ve bunun tersine izin verilip verilmediği.

Bu çift yönlü erişimin değerlendirilmesi, karmaşık ağ ortamlarında ayrıntılı güvenlik kontrollerinin uygulanmasına yardımcı olur.

DMZ mimarileri

DMZ, tek bir güvenlik duvarından çift veya çoklu güvenlik duvarlarına kadar çeşitli şekillerde yapılandırılabilir. Mevcut DMZ mimarilerinin çoğu, karmaşık ağları destekleyecek şekilde ölçeklendirilebilen ikiz güvenlik duvarları içerir.

1. Tek güvenlik duvarı

DMZ içeren bir ağ mimarisi oluşturmak için en az üç ağ arayüzüne sahip tek bir güvenlik duvarına ihtiyaç vardır.

Şekil 4. Tek bir güvenlik duvarı mimarisinin gösterimi

Kaynak: SAP 6

Tek bir güvenlik duvarı kullanmanın nedenleri: Tek bir güvenlik duvarı, trafik kontrolünü, politika uygulamasını ve oturum açmayı tek bir cihazda birleştirerek ağ mimarisini basitleştirir. Bu, yönetim karmaşıklığını azaltır ve hem sermaye hem de işletme maliyetlerini düşürür. Çok katmanlı çevre savunmalarına ihtiyaç duyulmayan daha küçük ortamlar için en uygun çözümdür.

2. Çift güvenlik duvarı

Bu uygulama, iki güvenlik duvarı kullanarak bir DMZ oluşturur.

Şekil 5. Çift güvenlik duvarı mimarisinin gösterimi

Kaynak: SAP 7

Çift güvenlik duvarı kullanmanın nedenleri: Çift güvenlik duvarları daha güvenli bir sistem sunar. Bazı şirketlerde, iki güvenlik duvarı farklı sağlayıcılar tarafından sunulmaktadır. Dışarıdan bir saldırı ilk güvenlik duvarını aşabilirse, farklı bir üretici tarafından üretilen ikinci güvenlik duvarını aşması daha uzun sürebilir ve bu da aynı güvenlik açıklarına maruz kalma olasılığını azaltır.

Son donanım sürümleri, DMZ güvenlik duvarı dağıtımları için yeni seçenekler sunmuştur; bunlardan biri de Aralık 2025'te piyasaya sürülen WatchGuard'ın Firebox M695 modelidir. Bu modelde Intel Core i7-14701E işlemci bulunur ve büyük ortamlar için çok yüksek verim (45 Gbps ham) sağlar. 8

Küçük ve orta ölçekli işletmeler için tasarlanan WatchGuard Firebox T185 (Ocak 2026'da piyasaya sürüldü), yaklaşık 5,7 Gbps ham güvenlik duvarı verimliliği ve şube ofis ağları için kurumsal sınıf güvenlik özellikleriyle çok gigabitlik performans sunar. 9

Silahsızlandırılmış Bölgenin (DMZ) Faydaları

DMZ'nin temel değeri, halka açık internet kullanıcılarına belirli dışa dönük hizmetlere erişim sağlarken, aynı zamanda kuruluşun iç ağını koruyan bir bariyer görevi görmesinde yatmaktadır.

Bu ek güvenlik katmanı, çeşitli önemli güvenlik avantajları sunmaktadır:

1. Erişim kontrolü sağlar.

DMZ ağı, bir şirketin çevre ağı içinde olmayan ve internet üzerinden erişilebilen hizmetlere erişimi kontrol eder. Ayrıca, ağ bölümlendirmesine bir katman daha ekleyerek, bir kullanıcının şirketin özel ağına kabul edilmeden önce aşması gereken engellerin sayısını artırır.

2. Ağ keşfini önleyin

DMZ, saldırganın ağdaki potansiyel hedefleri değerlendirme yeteneğini sınırlar. DMZ'deki bir makineye saldırı düzenlense bile, iç güvenlik duvarı özel ağı DMZ'den izole ederek korur. Bu yapılandırma, dış ağ saldırılarını daha zor hale getirir.

3. İnternet Protokolü (IP) sahtekarlığını sınırlandırır

IP sahtekarlığı, yetkisiz erişim elde etmek için paketlerin kaynak IP adresini taklit etmeyi içerir. DMZ, özellikle IP gerçekliğini doğrulayan ek güvenlik önlemleriyle birleştirildiğinde, sahte trafiği tespit etmeye ve engellemeye yardımcı olur ve iç ağı taklit saldırılarından daha fazla korur.

Ağ güvenliğinde DMZ'lerin en önemli 5 güvenlik açığı

DMZ (Güvenlik Bölgesi) faydalıdır, ancak zayıf yönleri de vardır. Bu zayıf yönler, saldırganların sorunları bulmasını kolaylaştırabilir.

1. Halka açık kısımlar internetten kolayca görülebilir.

DMZ'deki sunucular, insanların kullanabilmesi için açık olmalıdır. Hackerlar, bu herkese açık sistemleri bulup tarayarak güvenlik açıklarını arayabilirler.

2. Yanlış yapılandırma risk oluşturur

DMZ yapılandırması ve yönetimi karmaşık olabilir. Güvenlik duvarı kuralları veya erişim kontrolleri yanlışsa, saldırganlar içeri girebilir.

3. Karmaşıklık hataları artırır.

DMZ, yönetilmesi gereken daha fazla cihaz, kural ve ayar ekler. Daha fazla karmaşıklık, insan hatası olasılığını da artırır.

4. Yanlış bir güvenlik duygusu

Bazı insanlar DMZ'nin bir ağı tamamen güvenli hale getirdiğini düşünüyor. Bu doğru değil. DMZ riski azaltır, ancak tek başına tüm saldırıları durduramaz.

5. DMZ'ler yeni teknolojilerle başa çıkmakta zorlanabilir.

Geleneksel DMZ tasarımları, bulut hizmetleri veya modern ağ modelleriyle iyi uyum sağlamayabilir ve bu da kullanışlılıklarını sınırlayabilir.

Şubat 2026'da, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Polonya'nın elektrik şebekesine yapılan siber saldırının ardından kritik altyapı operatörleri için yeni bir kılavuz yayınladı. 10 Bu uyarıda, operasyonel teknoloji (OT) ağlarındaki tehditleri kontrol altına almak için sıkı ağ bölümlendirmesi ve diğer kontrollerin önemi vurgulanmaktadır. 11

DMZ'lerin Uygulamaları

1. Bulut hizmetleri

Bazı bulut hizmetleri, şirketin yerel ağı ile mantıksal ağı arasında bir DMZ (Güvenlik Bölgesi) oluşturulduğu hibrit bir güvenlik stratejisi kullanır. Bu strateji, şirketin hizmetlerinin kısmen yerel ağda ve kısmen mantıksal ağ üzerinden çalıştığı durumlarda yaygın olarak kullanılır.

AWS ve Cloud, yerleşik güvenlik duvarı hizmeti çözümleri içerir. Örneğin, AWS, AWS Ağ Güvenlik Duvarı'nı (VPC'ler için yönetilen, durum bilgisi içeren bir güvenlik duvarı hizmeti) sağlar. 12 Google Cloud'un Yeni Nesil Güvenlik Duvarı, alan adı tabanlı trafik kontrolü için bir URL filtreleme hizmeti içerir ve ayrıntılı ağ bölümlendirmesi için hiyerarşik güvenlik duvarı politikalarını destekler. 13 . 14

2. Ev ağları

DMZ, LAN ayarları ve geniş bant yönlendiricileri kullanan ev ağları için de faydalı olabilir. Birçok ev yönlendiricisinde DMZ seçenekleri veya DMZ ana bilgisayar ayarları bulunur. Bu seçenekler, kullanıcıların internete yalnızca bir cihaz bağlamasına olanak tanır.

3. Endüstriyel kontrol sistemleri (ICS)

DMZ'ler, ICS ile ilişkili güvenlik sorunlarına bir çözüm sağlayabilir.

İnternete bağlanan operasyonel teknoloji (OT) ekipmanlarının çoğu, BT cihazları kadar saldırıları önleme konusunda iyi tasarlanmamıştır. DMZ, OT ağ segmentasyonunu geliştirerek kötü amaçlı yazılımların, virüslerin veya diğer ağ tehditlerinin sızmasını daha zor hale getirebilir.

Kuruluşlar, düz ağ sınırlarını, mikro segmentasyon ve ayrıntılı erişim kontrolleri kullanan Sıfır Güven modelleriyle değiştiriyor. 15 Son dönemde yayınlanan küresel OT ağlarına yönelik kılavuzlar (İngiltere'nin NCSC'si öncülüğünde ve CISA işbirliğiyle), açıkta kalan bağlantıların azaltılmasını ve operasyonel sınırlarda sıkı ağ bölümlendirmesinin uygulanmasını vurgulamaktadır. 16 . 17

4. Web ve e-posta barındırma

Web sunucuları gibi halka açık hizmetler, genellikle harici kullanıcılara temel kaynaklara erişim sağlarken iç ağın güvenliğini korumak amacıyla DMZ (Güvenliksiz Bölge) içinde konuşlandırılır.

5. Saldırı tespit ve önleme sistemleri (IDS/IPS)

Bazı güvenlik mimarileri, gelen ve giden trafiği iç ağa ulaşmadan önce kötü amaçlı davranışlar açısından incelemek için DMZ'ye IDS/IPS sensörleri yerleştirir.

6. İş ortağı ve tedarikçi erişimi

Üçüncü taraf ortaklara veya tedarikçilere ağ erişimi sağlayan kuruluşlar, paylaşılan hizmetleri (örneğin, API'lar, SFTP portalları) barındırmak için genellikle bir DMZ kullanırlar. Bu, dış tarafın erişiminin tehlikeye girmesi durumunda iç ağın maruz kaldığı riskleri sınırlar.

7. Uzaktan erişim ağ geçitleri

VPN yoğunlaştırıcıları, uzaktan masaüstü ağ geçitleri veya sanal masaüstü altyapısı (VDI) aracıları, genellikle iç sistemlere internete doğrudan maruz kalmadan güvenli uzaktan erişim sağlamak için DMZ'ye (Güvenlik Bölgesi) yerleştirilir.

Referans Linkleri

1.
https://www.techtarget.com/searchsecurity/definition/DMZ
2.
https://www.cisa.gov/resources-tools/resources/microsegmentation-zero-trust-part-one-introduction-and-planning
3.
ResearchGate - Temporarily Unavailable
4.
Network Warrior
5.
Network Warrior
6.
SAP Help Portal | SAP Online Help
7.
SAP Help Portal | SAP Online Help
8.
WatchGuard Firebox M695 review | IT Pro
IT Pro
9.
WatchGuard Firebox T185 review | IT Pro
IT Pro
10.
https://www.itpro.com/security/cisa-shares-lessons-learned-from-polish-power-grid-hack-and-how-to-prevent-disaster-striking-again
11.
https://www.itpro.com/security/cisa-shares-lessons-learned-from-polish-power-grid-hack-and-how-to-prevent-disaster-striking-again
12.
https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html
13.
https://docs.cloud.google.com/firewall/docs/about-url-filtering
14.
Cloud NGFW overview  |  Cloud Next Generation Firewall  |  Google Cloud Documentation
15.
https://www.cisa.gov/resources-tools/resources/microsegmentation-zero-trust-part-one-introduction-and-planning
16.
NCSC-led global guidance sets out principles for designing secure connectivity into OT networks - Industrial Cyber
Industrial Cyber
17.
NCSC-led global guidance sets out principles for designing secure connectivity into OT networks - Industrial Cyber
Industrial Cyber
Cem Dilmegani
Cem Dilmegani
Baş Analist
Takip Et
Cem, 2017'den beri AIMultiple'da baş analist olarak görev yapmaktadır. AIMultiple, her ay Fortune 500 şirketlerinin %55'i de dahil olmak üzere yüz binlerce işletmeye (benzer Web'e göre) bilgi sağlamaktadır. Cem'in çalışmaları, Business Insider, Forbes, Washington Post gibi önde gelen küresel yayınlar, Deloitte, HPE gibi küresel firmalar, Dünya Ekonomik Forumu gibi STK'lar ve Avrupa Komisyonu gibi uluslararası kuruluşlar tarafından alıntılanmıştır. AIMultiple'ı referans gösteren daha fazla saygın şirket ve kaynağı görebilirsiniz. Kariyeri boyunca Cem, teknoloji danışmanı, teknoloji alıcısı ve teknoloji girişimcisi olarak görev yapmıştır. On yıldan fazla bir süre McKinsey & Company ve Altman Solon'da işletmelere teknoloji kararları konusunda danışmanlık yapmıştır. Ayrıca dijitalleşme üzerine bir McKinsey raporu yayınlamıştır. Bir telekom şirketinin CEO'suna bağlı olarak teknoloji stratejisi ve tedarikini yönetmiştir. Ayrıca, 2 yıl içinde sıfırdan 7 haneli yıllık yinelenen gelire ve 9 haneli değerlemeye ulaşan derin teknoloji şirketi Hypatos'un ticari büyümesini yönetmiştir. Cem'in Hypatos'taki çalışmaları TechCrunch ve Business Insider gibi önde gelen teknoloji yayınlarında yer aldı. Cem düzenli olarak uluslararası teknoloji konferanslarında konuşmacı olarak yer almaktadır. Boğaziçi Üniversitesi'nden bilgisayar mühendisliği diplomasına ve Columbia Business School'dan MBA derecesine sahiptir.
Tam Profili Görüntüle

Yorum yapan ilk kişi olun

E-posta adresiniz yayınlanmayacak. Tüm alanlar gereklidir.

0/450

Sıradaki Okunma

Yapay Zeka YönetişimiOca 28

2026 Yılında En İyi 20 Yapay Zeka Destekli Yönetim, Risk ve Uyumluluk Yazılımı ve Teknolojisi

Hazal Şimşek
Hazal Şimşek
Model Bağlam ProtokolüOca 28

MCP ile Kod Yürütme: Yapay Zeka Ajan Verimliliğine Yeni Bir Yaklaşım

Sena Sezer
Şevval Alper
Sena Sezer
ile
Şevval Alper
LLM'lerNis 24

LCM'ler: LLM Tokenizasyonundan Kavram Düzeyinde Gösterime

Cem Dilmegani
Cem Dilmegani
Ajan Tabanlı Yapay Zeka ÇerçeveleriNis 26

En İyi 10+ Ajan Tabanlı Orkestrasyon Çerçevesi ve Aracı

Hazal Şimşek
Hazal Şimşek
RAGNis 20

En İyi 20+ Agentic RAG Çerçevesi

Cem Dilmegani
Ekrem Sarı
Cem Dilmegani
ile
Ekrem Sarı
Yapay Zeka AjanlarıNis 27

En İyi 50+ Açık Kaynak Yapay Zeka Ajanı Listelendi

Cem Dilmegani
Cem Dilmegani