Hizmetler
Bize Ulaşın

Demilitarize Bölge (DMZ): Örnekler ve Mimari

Cem Dilmegani
Cem Dilmegani
Güncellenme tarihi: 6 Mar 2026

Bir Demilitarize Bölge (DMZ) ağı, bir kuruluşun halka açık hizmetlerini barındıran bir alt ağdır. Genellikle İnternet olan güvensiz bir ağa maruz kalmış bir nokta olarak hizmet eder.

DMZ'ler, ev yönlendiricilerinden kurumsal ağlara kadar çeşitli ortamlarda, halka açık hizmetleri izole etmek ve dahili sistemleri korumak için kullanılır. DMZ'ler (demilitarize bölgeler), halka açık hizmetleri barındırırken bunları bir kuruluşun dahili LAN'ından izole eder.1 Kuruluşlar, DMZ çevrelerini Zero Trust mikrosegmentasyon ve sıkı erişim kontrolleri ile birleştirir.2

Gerçek dünya DMZ örneklerini ve farklı DMZ mimarilerini (tekli vs. çiftli güvenlik duvarı) keşfedin:

DMZ ağ güvenliğinde neden önemlidir?

DMZ'ler, dahili özel ağı savunmak için bir ağ segmentasyonu katmanı ekler. Halka açık internet ile kuruluşun özel ağları arasında bir tampon bölge oluşturur.

Bu alt ağlar, dahili sunuculara ve varlıklara dış erişimi sınırlar, böylece saldırganların dahili ağa sızmasını daha zor hale getirir.

Tipik yapılandırmalarda (yukarıdaki şekle bakın), DMZ alt ağı iki güvenlik duvarı arasında veya birden fazla arayüze sahip tek bir güvenlik duvarının özel bir segmentinde yer alır. Bu şunları sağlar:

  • Yetkisiz erişim dahili ağa, DMZ'de barındırılan bir hizmet tehlikeye girse bile engellenir.
  • Tüm gelen trafik internetten, DMZ sunucularına ulaşmadan önce filtrelenir ve incelenir.
  • Dahili ağ trafiği DMZ'ye ve DMZ'den sıkı bir şekilde kontrol edilir ve izlenir.

DMZ örnekleri

DMZ örneği 1: Tek güvenlik duvarı ile DMZ uygulaması

Şekil 1'de görüldüğü gibi, DMZ ağı güvenlik duvarının içinde de değildir, dışında da değildir. Hem dahili hem de dış ağlar üzerinden erişilebilir.

Bu ağ diyagramının temel avantajlarından biri izolasyondur. Örneğin, e-posta sunucusu hacklenirse, saldırgan dahili ağa erişemeyecektir. Bu senaryoda, saldırgan aynı fiziksel ağı paylaştıkları için DMZ'deki çeşitli sunuculara erişebilir.

Şekil 1. Basit DMZ diyagramı

Kaynak: International Journal of Wireless and Microwave Technologies3

Bu yapılandırmada, DMZ aşağıdaki erişim kontrollerini uygular:

  • Dış ağ: Dış ağ iç ağ ile bağlantı kuramaz, ancak dış ağ DMZ'ye bağlantı başlatabilir.
  • İç ağ: Dahili ağ dış ağlarla bağlantı başlatabilir, ancak ağ iç ağa bağlantı başlatamaz.

DMZ örneği 2: Bir üçüncü taraf cihazına bağlı bir DMZ

Diğer tipik bir DMZ yaklaşımı, bir satıcı gibi bir üçüncü taraf cihazına bağlanmaktır. Şekil 2, bir DMZ'deki bir yönlendiriciye T1 bağlantısı üzerinden bağlı bir satıcısı olan bir ağı göstermektedir.

Bu DMZ örneği, şirketlerin sistemlerini dış bir tarafa dış kaynak olarak kullandığında, bu kurulum üzerinden satıcının sunucusuna doğrudan erişime izin verildiğinde kullanılabilir.

Şekil 2. Bir satıcıya bağlanan DMZ

Kaynak: O'Reilly Media4

DMZ örneği 3: Bir üçüncü taraf cihazına bağlı birden fazla DMZ

Bazen tek bir DMZ, karmaşık ağlarda faaliyet gösteren kuruluşlar için yetersiz kalır. Şekil 3, birden fazla DMZ'ye sahip bir ağı göstermektedir. Tasarım ilk iki örneği birleştirir: İnternet dışarıda, kullanıcılar ise ağın içindedir.

Şekil 3. Birden fazla DMZ

Kaynak: O'Reilly Media5

  • DMZ-1, bir satıcıya erişim noktasıdır.
  • DMZ-2, İnternet sunucularının bulunduğu yerdir.

Güvenlik gereksinimleri önceki örnekle (Örnek 2) tutarlıdır, ancak ek bir dikkate ihtiyaç vardır: DMZ-1'in DMZ-2'ye bağlantı başlatmasına ve bunun tersine izin verilip verilmediği.

Bu iki yönlü erişimi değerlendirmek, karmaşık ağ ortamları içinde ayrıntılı güvenlik kontrollerini uygulamaya yardımcı olur.

DMZ mimarileri

Bir DMZ, tek bir güvenlik duvarından çift veya çoklu güvenlik duvarlarına kadar çeşitli şekillerde yapılandırılabilir. Mevcut DMZ mimarilerinin çoğu, karmaşık ağları desteklemek için ölçeklenebilen ikiz güvenlik duvarlarını içerir.

1. Tek güvenlik duvarı

DMZ içeren bir ağ mimarisi oluşturmak için en az üç ağ arayüzüne sahip tek bir güvenlik duvarı gerekir.

Şekil 4. Tek güvenlik duvarı mimarisinin gösterimi

Kaynak: SAP6

Tek güvenlik duvarı kullanmanın nedeni: Tek bir güvenlik duvarı, trafik kontrolünü, politika uygulamasını ve günlük tutmayı tek bir cihazda birleştirerek ağ mimarisini basitleştirir. Bu, idari karmaşıklığı azaltır ve hem sermaye hem de operasyonel maliyetleri düşürür. Çok katmanlı çevre savunmalarına ihtiyaç duyulmadığı daha küçük ortamlar için en iyisidir.

2. Çift güvenlik duvarı

Bu uygulama, iki güvenlik duvarı kullanarak bir DMZ oluşturur.

Şekil 5. Çift güvenlik duvarı mimarisinin gösterimi

Kaynak: SAP7

Çift güvenlik duvarı kullanmanın nedeni: Çift güvenlik duvarları daha güvenli bir sistem sunar. Bazı şirketlerde, iki güvenlik duvarı ayrı sağlayıcılar tarafından sunulur. Bir dış saldırı ilk güvenlik duvarını aşabilirse, farklı bir üretici tarafından oluşturulmuşsa ikinci güvenlik duvarını aşmak daha uzun sürebilir, bu da aynı güvenlik açıklarının kurbanı olma olasılığını azaltır.

Son donanım sürümleri, WatchGuard'ın Aralık 2025'te piyasaya sürülen Firebox M695'i de dahil olmak üzere DMZ güvenlik duvarı dağıtımları için yeni seçenekler getirdi; bu, büyük ortamlar için çok yüksek throughput (ham 45 Gbps) sağlayan bir Intel Core i7-14701E işlemciye sahiptir.8

Küçük ve orta ölçekli işletme dağıtımları için, Ocak 2026'da piyasaya sürülen WatchGuard Firebox T185, yaklaşık 5,7 Gbps ham güvenlik duvarı throughput'u ile çok gigabit performans sağlar ve şube ofis ağları için kurumsal sınıf güvenlik özellikleri sunar.9

Demilitarize Bölge (DMZ) Faydaları

DMZ'nin temel değeri, halka açık internet kullanıcılarına belirli dışa dönük hizmetlere erişim sağlarken, kuruluşun dahili ağını koruyan koruyucu bir bariyer görevi görmesinde yatar.

Bu ek güvenlik katmanı, birkaç temel güvenlik avantajı sunar:

1. Erişim kontrolleri sağlar

Bir DMZ ağı, bir şirketin çevre ağı içinde olmayan, internet üzerinden erişilebilen hizmetlere erişimi kontrol eder. Ayrıca bir ağ segmentasyonu katmanı ekleyerek, bir kullanıcının bir şirketin özel ağına kabul almadan önce aşması gereken engeller sayısını artırır.

2. Ağ keşfini önler

Bir DMZ, bir saldırganın ağdaki potansiyel hedefleri değerlendirme yeteneğini sınırlar. DMZ'deki bir makine hacklense bile, dahili güvenlik duvarı, özel ağı DMZ'den izole ederek korur. Bu yapılandırma, dış ağ sömürülerini daha zor hale getirir.

3. Internet Protocol (IP) sahteciliğini sınırlar

IP sahteciliği, yetkisiz erişim kazanmak için paketlerin kaynak IP adresini sahtecilik yapmayı içerir. Bir DMZ, sahte trafiği tespit etmeye ve engellemeye yardımcı olur, özellikle IP kimliğini doğrulayan ek güvenlik önlemleriyle birleştirildiğinde, dahili ağı kimlik avı saldırılarından daha da korur.

Kıyaslamalarımızı ve veri odaklı içgörülerimizi kaçırmayın. Düğme Google'ı açar; AIMultiple'ı seçmeniz, Google arama sonuçlarında AIMultiple'ı daha sık görmek istediğinizi onaylar.
GoogleTercih edilen kaynak olarak ekle

Ağ güvenliğinde DMZ'lerin en üst 5 zafiyeti

Bir DMZ yararlıdır, ancak zayıflıkları vardır. Bu zayıflıklar, saldırganların sorunları bulmasını kolaylaştırabilir.

1. Halka açık kısımlar internetten kolayca görülebilir

DMZ'deki sunucular, insanların onları kullanabilmesi için açık olmalıdır. Hackerlar, bu halka açık sistemleri bulabilir ve zayıflıkları aramak için tarayabilir.

2. Yanlış yapılandırma risk oluşturur

DMZ yapılandırması ve yönetimi karmaşık olabilir. Güvenlik duvarı kuralları veya erişim kontrolleri yanlışsa, saldırganlar girebilir.

3. Karmaşıklık hataları artırır

Bir DMZ, yönetilecek daha fazla cihaz, kural ve ayar ekler. Daha fazla karmaşıklık, insan hatası için daha fazla şansa yol açar.

4. Yanlış bir güvenlik duygusu

Bazı insanlar bir DMZ'nin bir ağı tamamen güvenli hale getirdiğini düşünür. Öyle değil. Bir DMZ riski azaltır, ancak tek başına tüm saldırıları durduramaz.

5. DMZ'ler yeni teknolojilerle zorlanabilir

Geleneksel DMZ tasarımları, bulut hizmetleri veya modern ağlama modelleriyle iyi uymayabilir, bu da faydalılıklarını sınırlayabilir.

Şubat 2026'da, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Polonya'nın elektrik şebekesine yönelik bir siber saldırının ardından kritik altyapı operatörleri için yeni yönergeler yayınladı.10 Tavsiye, operasyonel teknoloji (OT) ağlarında tehditleri sınırlamaya yardımcı olmak için sıkı ağ segmentasyonu ve diğer kontrolleri vurgulamaktadır.11

DMZ'lerin Uygulamaları

1. Bulut hizmetleri

Bazı bulut hizmetleri, bir şirketin yerinde ağı ile mantıksal ağı arasında bir DMZ oluşturulan hibrit bir güvenlik stratejisi benimser. Bu strateji, şirketin hizmetlerinin kısmen yerinde ve kısmen de mantıksal bir ağ üzerinde çalıştığı durumlarda yaygın olarak kullanılır.

AWS ve Google Cloud, yerleşik firewall-as-a-service çözümleri sunar. Örneğin, AWS, VPC'ler için yönetilen, durum bilgili bir güvenlik duvarı hizmeti olan AWS Network Firewall'ı sağlar.12 Google Cloud'un Bulut Sonraki Nesil Güvenlik Duvarı, alan tabanlı trafik kontrolü için bir URL filtreleme hizmeti içerir ve ayrıntılı ağ segmentasyonu için hiyerarşik güvenlik duvarı politikalarını destekler 13 .14

2. Ev ağları

Bir DMZ, LAN ayarlarını ve geniş bant yönlendiricilerini kullanan ev ağları için de yararlı olabilir. Birçok ev yönlendiricisi DMZ seçenekleri veya DMZ ana bilgisayar ayarları içerir. Bu seçenekler, kullanıcıların yalnızca bir cihazı internete bağlamasına olanak tanır.

3. Endüstriyel kontrol sistemleri (ICS)

DMZ'ler, ICS ile ilişkili güvenlik sorunlarına bir çözüm sağlayabilir.

İnternete bağlanan operasyonel teknoloji (OT) ekipmanlarının çoğu, BT cihazları kadar saldırıları hafifletmek için tasarlanmamıştır. Bir DMZ, OT ağ segmentasyonunu artırarak, kötü amaçlı yazılım, virüsler veya diğer ağ tehditlerinin sızmasını daha zor hale getirebilir.

Kuruluşlar, düz ağ çevrelerini Zero Trust modelleri ile değiştiriyor; bu modeller mikrosegmentasyon ve ayrıntılı erişim kontrolleri kullanır.15 OT ağları için son küresel yönergeler (İngiltere'nin NCSC'si tarafından CISA ile iş birliği içinde liderlik edilmiştir), maruz kalan bağlantıları azaltmayı ve operasyonel sınırlarda sıkı ağ segmentasyonunu uygulamayı vurgulamaktadır 16 .17

4. Web ve e-posta barındırma

Web sunucuları gibi halka açık hizmetler, dahili ağın güvenliğini korurken dış kullanıcılara temel kaynaklara erişim sağlamak için genellikle bir DMZ içinde dağıtılır.

5. Saldırı tespit ve önleme sistemleri (IDS/IPS)

Bazı güvenlik mimarileri, kötü niyetli davranışı iç ağa ulaşmadan önce incelemek için IDS/IPS sensörlerini DMZ'ye yerleştirir.

6. Ortak ve satıcı erişimi

Üçüncü taraf ortaklara veya satıcılara ağ erişimi sağlayan kuruluşlar, genellikle paylaşılan hizmetleri barındırmak için bir DMZ kullanır (örn. API'ler, SFTP portalları). Bu, dış tarafın erişimi tehlikeye girerse dahili ağın maruz kalmasını sınırlar.

7. Uzaktan erişim ağ geçitleri

VPN konsantratörleri, uzaktan masaüstü ağ geçitleri veya sanal masaüstü altyapısı (VDI) aracıları, dahili sistemlere doğrudan internete maruz kalmadan güvenli uzaktan erişime izin vermek için genellikle bir DMZ'de dağıtılır.

Bu araştırmayı kaynak gösterin

Yayınlayacağınız yere uygun formatı seçin. Bağlantılı sürümü CMS'inize yapıştırmak, geri bağlantıyı korur.

Cem Dilmegani (2026) - "Demilitarize Bölge (DMZ): Örnekler ve Mimari". AIMultiple.com adresinde çevrimiçi yayımlanmıştır. Erişim tarihi: 6 Mart 2026, kaynak: https://aimultiple.com/dmz [Çevrimiçi Kaynak]

Dilmegani, C. (2026, 6 Mart). Demilitarize Bölge (DMZ): Örnekler ve Mimari. AIMultiple. https://aimultiple.com/dmz

@misc{dilmegani2026,
  author = {Dilmegani, Cem},
  title  = {{Demilitarize Bölge (DMZ): Örnekler ve Mimari}},
  year   = {2026},
  month  = mar,
  howpublished    = {\url{https://aimultiple.com/dmz}},
  note   = {AIMultiple. Erişim tarihi: 6 Mart 2026}
}
Cem Dilmegani
Cem Dilmegani
Baş Analist
Cem, 2017'den beri AIMultiple'da baş analist olarak görev yapmaktadır. AIMultiple, her ay Fortune 500 şirketlerinin %55'i de dahil olmak üzere yüz binlerce işletmeye (benzer Web'e göre) bilgi sağlamaktadır. Cem'in çalışmaları, Business Insider, Forbes, Washington Post gibi önde gelen küresel yayınlar, Deloitte, HPE gibi küresel firmalar, Dünya Ekonomik Forumu gibi STK'lar ve Avrupa Komisyonu gibi uluslararası kuruluşlar tarafından alıntılanmıştır. AIMultiple'ı referans gösteren daha fazla saygın şirket ve kaynağı görebilirsiniz. Kariyeri boyunca Cem, teknoloji danışmanı, teknoloji alıcısı ve teknoloji girişimcisi olarak görev yapmıştır. On yıldan fazla bir süre McKinsey & Company ve Altman Solon'da işletmelere teknoloji kararları konusunda danışmanlık yapmıştır. Ayrıca dijitalleşme üzerine bir McKinsey raporu yayınlamıştır. Bir telekom şirketinin CEO'suna bağlı olarak teknoloji stratejisi ve tedarikini yönetmiştir. Ayrıca, 2 yıl içinde sıfırdan 7 haneli yıllık yinelenen gelire ve 9 haneli değerlemeye ulaşan derin teknoloji şirketi Hypatos'un ticari büyümesini yönetmiştir. Cem'in Hypatos'taki çalışmaları TechCrunch ve Business Insider gibi önde gelen teknoloji yayınlarında yer aldı. Cem düzenli olarak uluslararası teknoloji konferanslarında konuşmacı olarak yer almaktadır. Boğaziçi Üniversitesi'nden bilgisayar mühendisliği diplomasına ve Columbia Business School'dan MBA derecesine sahiptir.
Tam Profili Görüntüle

Yorum yapan ilk kişi olun

E-posta adresiniz yayınlanmayacak. Tüm alanlar gereklidir. Yorumlar orijinal dilinde bırakılır.

0/450