DMZ (компьютерные сети)

Материал из Seo Wiki - Поисковая Оптимизация и Программирование

Перейти к: навигация, поиск

DMZ (демилитаризованная зона) — технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети или направляющие туда запросы, находятся в особом сегменте сети (который и называется DMZ) и ограничены в доступе к основным сегментам с помощью межсетевого экрана (файрвола). При этом не существует прямых соединений между внутренней сетью и внешней: любые соединения возможны только с серверами в DMZ, которые (возможно) обрабатывают запросы и формируют свои, возвращая ответ получателю уже от своего имени.

Содержание

Конфигурации DMZ

В зависимости от требований к безопасности, DMZ может организовываться одним, двумя или тремя файрволами.

Конфигурация с одним файрволом

Файл:DMZ network diagram 1 firewall.svg
Схема с одним файрволом.

Простейшей (и наиболее распространённой) схемой является схема, в которой DMZ, внутренняя сеть и внешняя сеть подключаются к разным портам маршрутизатора (выступающего в роли файрвола), контролирующего соединения между сетями. Подобная схема проста в реализации, требует всего лишь одного дополнительного порта. Однако в случае взлома (или ошибки конфигурирования) маршрутизатора сеть оказывается уязвима напрямую из внешней сети.

Конфигурация с двумя файрволами

Файл:DMZ network diagram 2 firewall.svg
Схема с двумя файрволами и общим соединением.

В конфигурации с двумя файрволами DMZ подключается к двум маршрутизаторам, один из которых ограничивает соединения из внешней сети в DMZ, а второй контролирует соединения из DMZ во внутреннюю сеть. Подобная схема позволяет минимизировать последствия взлома любого из файрволов или серверов, взаимодействующих с внешней сетью — до тех пор, пока не будет взломан внутренний файрвол, злоумышленник не будет иметь произвольного доступа к внутренней сети, а взлом внутреннего файрвола не возможен без взлома внешнего файрвола.

Схема с двумя файрволами может быть организована как с общим подключением (когда между внешним и внутренним файрволами есть соединение), так и с раздельным (когда сервера имеют два сетевых порта, один из которых связан с внешним файрволом, а второй с внутренним). В последнем случае прямое взаимодействие между внешним и внутренним файрволами отсутствует.

Конфигурация с тремя файрволами

Существует редкая конфигурация с тремя файрволами. В этой конфигурации первый из них принимает на себя запросы из внешней сети, второй контролирует сетевые подключения DMZ, а третий — контролирует соединения внутренней сети. В подобной конфигурации обычно DMZ и внутренняя сеть скрываются за NAT (трансляцией сетевых адресов).

Одной из ключевых особенностей DMZ является не только фильтрация трафика на внутреннем файрволе, но и требование обязательной сильной криптографии при взаимодействии между активным оборудованием внутренней сети и DMZ. В частности, не должно быть ситуаций, в которых возможна обработка запроса от сервера в DMZ без авторизации. В случае, если DMZ используется для обеспечения защиты информации внутри периметра от утечки изнутри, аналогичные требования предъявляются для обработки запросов пользователей из внутренней сети.

DMZ и SOHO

В случае использования домашних (SOHO) маршрутизаторов и точек доступа под DMZ иногда подразумевается возможность «проброса портов» (PAT) — осуществления трансляции пришедшего из внешней сети запроса на какой-либо порт маршрутизатора на указанный узел внутренней сети[1].

Примечания

  1. Цитата из инструкции одного из SOHO-маршрутизаторов: «... настраиваемый пользователем DMZ-порт для поддержки локальных серверов — почтового, веб-сервера и FTP-сервера» (англ. «... user-configurable DMZ port to support local servers such as e-mail, Web, and FTP»).
de:Demilitarized Zone

en:Demilitarized zone (computing) es:Zona desmilitarizada fr:Zone démilitarisée it:Demilitarized zone

Личные инструменты

Served in 0.103 secs.