หน้าแรก ตรวจหวย เว็บบอร์ด ควิซ Pic Post แชร์ลิ้ง หาเพื่อน Chat หาเพื่อน Line Page อัลบั้ม คำคม Glitter เกมถอดรหัสภาพ คำนวณ การเงิน ราคาทองคำ กินอะไรดี
ข้อตกลงการใช้บริการนโยบายความเป็นส่วนตัวนโยบายเนื้อหานโยบายการสร้างรายได้About Usติดต่อเว็บไซต์แจ้งเนื้อหาไม่เหมาะสม
เว็บบอร์ด บอร์ดต่างๆค้นหาตั้งกระทู้

ทำไมองค์กรใหญ่ต้องมี “DMZ Zone”? เพราะเอา Web Server ไว้ใน LAN ตรงๆ เท่ากับเปิดทางให้โดนเจาะทั้งบริษัท 🌐

เขียนโดย พีรพัฒน์ พีพี

หลายคนที่เริ่มดูแลงาน Network หรือเปิดระบบให้คนภายนอกใช้งาน มักเคยได้ยินคำว่า “DMZ Zone” แต่บางทีก็ยังงงๆ ว่ามันคืออะไรกันแน่ แล้วทำไมองค์กรใหญ่ถึงซีเรียสเรื่องนี้มาก

เอาแบบเข้าใจง่ายที่สุด DMZ คือ “โซนกันชน” ระหว่าง Internet กับระบบภายในองค์กรครับ

หน้าที่ของมันคือ เอาเครื่องที่จำเป็นต้องเปิดให้คนนอกเข้าถึง เช่น

Web Server
Mail Server
VPN Server
Reverse Proxy
DNS Server

ออกมาไว้ในพื้นที่แยกต่างหาก แทนที่จะโยนเข้าไปอยู่รวมกับเครื่องพนักงานหรือ Server สำคัญใน LAN ตรงๆ

เพราะถ้า Server ที่เปิด Internet โดนเจาะขึ้นมาจริงๆ สิ่งที่น่ากลัวไม่ใช่แค่เว็บล่มครับ แต่คือ Hacker อาจใช้เครื่องนั้นเป็นทางผ่านไปต่อในระบบภายในได้เลย

พวก File Server, Database, Domain Controller หรือแม้แต่เครื่องพนักงาน อาจโดนลากไปด้วยทั้งหมดถ้า network ไม่มีการแบ่ง zone เอาไว้

หน้างานจริง ผมเคยเจอหลายที่ที่ “เว็บบริษัท” วางอยู่ VLAN เดียวกับเครื่องใช้งานทั่วไป แบบนี้ถ้าโดน RCE หรือโดน web shell เข้าไปทีเดียว เรื่องจะยาวทันที เพราะ attacker สามารถเริ่ม scan network ภายในต่อได้เลย

DMZ เลยมีไว้เพื่อลด damage ตรงนี้

แนวคิดมันไม่ได้ซับซ้อนครับ

สมมุติ Web Server ใน DMZ ถูกโจมตี อย่างน้อย Firewall ยังช่วยบังคับ direction การวิ่งของ traffic ได้ และกันไม่ให้เครื่องใน DMZ วิ่งเข้าหา LAN ได้อิสระ

พูดง่ายๆ คือ “ยอมให้โดนได้บางส่วน แต่ไม่ยอมให้ลามเข้าบ้านหลัก”

ต่างจากหลายระบบที่เปิด Port Forward ตรงเข้าข้างในแบบไม่มีอะไรคั่น ซึ่งเจอบ่อยมากใน SMB หรือออฟฟิศเล็กๆ

Port Forward มันแค่เปิดประตู

แต่ DMZ คือแยกพื้นที่ + มี policy คุมจริง

อันนี้คนชอบเข้าใจว่าเหมือนกัน ทั้งที่ระดับ security ต่างกันเยอะพอสมควร

อีกเรื่องที่หลายองค์กรพลาดคือเอา Database ไปไว้ใน DMZ ด้วย อันนี้อันตรายมาก เพราะ DB คือของสำคัญที่สุดอย่างหนึ่งในระบบ ถ้าหลุดทีเดียวผลกระทบจะหนักกว่าเว็บล่มหลายเท่า

Best Practice ที่สาย infra ใช้กันจริงๆ ส่วนใหญ่จะประมาณนี้ครับ

เปิดเฉพาะ port ที่จำเป็น
DMZ ห้าม access เข้า LAN มั่วๆ
Patch เครื่องสม่ำเสมอ
ใช้ WAF หรือ IDS/IPS ถ้ามีงบ
แยก Database ไว้ด้านใน
Log และ monitor traffic ตลอด

หลายครั้งปัญหาไม่ได้เกิดจาก hacker เก่งเกินไปนะครับ แต่เกิดจาก architecture มั่วตั้งแต่แรก

บางที่ซื้อ Firewall เป็นแสน แต่สุดท้ายเปิด Any-Any rule ทิ้งไว้หมด เท่ากับล็อกประตูบ้านแต่เปิดหน้าต่างทุกบานทิ้งไว้เหมือนเดิม

สาย System Admin หรือ Network Engineer น่าจะเคยเจอเคสปวดหัวเกี่ยวกับ DMZ กันบ้าง องค์กรของแต่ละคนแบ่ง zone ชัดเจนกันแค่ไหนครับ หรือยังมี service สำคัญบางตัวที่จำเป็นต้องวางใน LAN ตรงๆ อยู่บ้าง?

เนื้อหาโดย: พีรพัฒน์ พีพี
⚠ แจ้งเนื้อหาไม่เหมาะสม 
พีรพัฒน์ พีพี's profile
มีผู้เข้าชมแล้ว 109 ครั้ง
เขียนโดย พีรพัฒน์ พีพี
| พีรพัฒน์ พีพี
| นักเขียนด้านเทคโนโลยี ข่าวสาร และความรู้รอบตัว
| 700+ บทความ | เจาะลึก อ่านง่าย ใช้ได้จริง
เป็นกำลังใจให้เจ้าของกระทู้โดยการ VOTE และ SHARE
5 VOTES (5/5 จาก 1 คน)
VOTED: พีรพัฒน์ พีพี
Hot Topic ที่น่าสนใจอื่นๆ
ถ้าเอาขยะทั้งโลกไปทิ้งบนดวงอาทิตย์ จะเกิดอะไรขึ้น?108 ท่าบนเตียง มีอะไรบ้าง Sex position ท่าเด็ดบนเตียงเปิด 5 อาชีพที่ AI ยังแทนมนุษย์ไม่ได้จังหวัดในประเทศไทย ที่ไม่มีห้างสรรพสินค้าขนาดใหญ่ตั้งอยู่เลยค่าดองสาวลาวปัจจุบัน เรียกกันเท่าไหร่ ต้องเตรียมอะไรบ้างถ้าเห็นคนโดนไฟดูด ควรถีบออกไหม เรื่องสำคัญที่ต้องรู้ก่อนช่วยคนอื่นทำไมบางพื้นที่ในอังกฤษต้องรื้อแอร์? ท่ามกลางคลื่นความร้อนและเป้าหมาย Net Zeroลูกเรือสายการบินไหนรายได้ดีที่สุด? เปิดอันดับ Top 5 ของโลก3 จังหวัด ที่เคยมีเมืองในตำนานจมใต้บาดาลมาก่อนจังหวัดในไทยที่ชวนเข้าใจว่าติดทะเลทำไมเพลงวัยเด็กยังร้องได้ทุกคำ แต่เมนูเมื่อวานกลับนึกไม่ออก? ไขความลับของสมองและความทรงจำไทยครองแชมป์เอเชีย เมืองน่าอยู่หลังเกษียณ 2026
กระทู้อื่นๆในบอร์ด มือถือ Gadget เทคโนโลยี
ส่อง 5 อาชีพ ที่หุ่นยนต์แทนที่ไม่ได้5 มือถือที่ขายดีที่สุดในโลก Nokia ยังครองแชมป์ตลอดกาลทำไม Android ถึงครองตลาดสมาร์ตโฟนโลก ผู้ใช้มากกว่า iOS เพราะอะไรหอดูดาวอวกาศ Swift กำลังเสียระดับ นาซาส่งยานหุ่นยนต์ช่วยก่อนสายเกินไป
ตั้งกระทู้ใหม่