Главная » Работа в сети

Что такое DMZ (демилитаризованная зона)?

Автор На чтение 4 мин Просмотров 14 Опубликовано

Защитите свои публичные ресурсы в демилитаризованной зоне (DMZ)

С сегодняшними постоянными угрозами со всего мира возникает необходимость убедиться, что ваши ценные активы защищены от киберпреступников и других людей, которые хотят причинить вам вред или украсть вашу информацию. Многим людям достаточно сложно обеспечить безопасность своих домашних компьютеров, поэтому представьте, насколько это сложно для крупных компаний с сотнями серверов, рабочих станций, принтеров и другого оборудования.

В брандмауэрах нет ничего нового, мы используем их годами в виде аппаратных устройств или программного обеспечения, установленного на сервере, и они делают довольно хорошую работу по обеспечению безопасности наших внутренних ресурсов. Но что если у вас есть ресурсы, которыми вы хотите поделиться с общественностью, например, веб-сервер или FTP-сервер, но вы все же не хотите, чтобы они были открыты для всех желающих.

Здесь в игру вступает DMZ или демилитаризованная зона (иногда называемая периметром сети), которая представляет собой специальную область в вашей сети, доступную как из внешнего мира, так и изнутри вашей организации. Внутри этой DMZ вы можете разместить свои устройства или ресурсы, к которым вы хотите, чтобы пользователи за пределами вашей организации, например, в интернете, могли получить доступ. Как упоминалось выше, вы можете поместить такие вещи, как веб-сервер в DMZ, чтобы он был доступен в Интернете, но у вас также есть доступ к нему через вашу внутреннюю сеть, чтобы внести изменения в сервер и т.д. Вы также можете использовать DMZ сервер для сервера удаленного доступа, который позволяет домашним пользователям получать доступ к внутренним ресурсам через интернет.

Как вы можете видеть на диаграмме ниже, у нас есть Интернет слева, который подключен к периметральному брандмауэру слева. Или мы должны сказать, что брандмауэр подключен к Интернету. Затем, чтобы периметральный брандмауэр имел соединение с нашими ресурсами в DMZ, такими как веб и FTP серверы. Затем внутренний брандмауэр подключается к этим ресурсам DMZ и соединяет их с нашей внутренней сетью справа. Имейте в виду, что это лишь общая конфигурация, и эти DMZ могут быть гораздо сложнее, а также могут быть созданы логически, а не с помощью физического оборудования. Вы также можете сконфигурировать один брандмауэр с несколькими интерфейсами, которые подключаются к различным областям сети.

Теперь соединение между брандмауэром и ресурсами не одинаково с обеих сторон. Например, соединение через брандмауэр от внутренней сети к серверам DMZ может быть широко открыто, позволяя всем видам служб проходить через брандмауэр, поскольку в большинстве случаев вы не будете так сильно беспокоиться о безопасности при переходе от внутренней сети к DMZ. Но соединения от DMZ сервера к внутренней сети будут заблокированы с минимальным доступом, необходимым для коммуникации, или даже полностью заблокированы. Брандмауэры имеют входящие и исходящие правила, которые определяют, какой трафик может проходить в каком направлении.

Для трафика, поступающего в DMZ из Интернета, он будет ограничен только теми службами и портами, которые необходимы для связи с этими серверами DMZ. Например, службы HTTP и HTTPS должны быть разрешены для веб-сервера, а также порты 80 и 443, чтобы убедиться, что безопасный и небезопасный веб-трафик проходит через периметральный брандмауэр. А для FTP-сервера может быть заблокирована только служба FTP и порт 21, если не нужно открывать другие службы и порты.

Вы можете не использовать DMZ в своей домашней сети, если только вы не запускаете веб-сервер или игровой сервер у себя дома и не имеете статический публичный IP-адрес, чтобы пользователи Интернета могли получить доступ к вашим серверам без необходимости беспокоиться о том, что ваш IP-адрес может измениться. Для корпораций, имеющих публичные ресурсы, это обязательное условие, и оно должно быть правильно настроено, чтобы предотвратить доступ не тех людей к ресурсам в вашей DMZ, которые им не положены, или, что еще хуже, проникновение в вашу внутреннюю сеть. Поэтому убедитесь, что вы сделали домашнее задание, прежде чем пытаться настроить его!

Похожие записи:

  1. SolarWinds IP Address Tracker Free
  2. Что такое DNS?
  3. Четыре совета по предотвращению и решению распространенных проблем с широкополосной связью
  4. Все, что вам нужно знать об облачных вычислениях
  5. 5 лучших советов для успешной сдачи теста CompTIA Network+ N10-007 с помощью экзаменационных дампов от Exam-Labs
  6. 7 причин использовать двухфакторную аутентификацию
  7. Распространенные номера сетевых портов
  8. Как работает базовая сеть
  9. Удаленное управление виртуальной машиной VMware Workstation с помощью VNC
  10. ManageEngine Desktop Central Инструменты для Windows
Оцените статью
Добавить комментарий

© 2024 BiViAs
Этот сайт использует файлы cookie для улучшения удобства пользователей. Продолжая пользоваться сайтом, вы даете согласие на использование файлов cookie.