Наскільки я розумію, за допомогою DMZ ви відкриваєте всі порти хост-комп'ютера в Інтернеті. Для чого це добре?
Наскільки я розумію, за допомогою DMZ ви відкриваєте всі порти хост-комп'ютера в Інтернеті. Для чого це добре?
Відповіді:
DMZ хороший, якщо ви хочете запустити домашній сервер, до якого можна отримати доступ за межами домашньої мережі (тобто веб-сервер, ssh, vnc або інший протокол віддаленого доступу). Зазвичай ви хочете запустити брандмауер на серверній машині, щоб переконатися, що доступ до публічних комп'ютерів має лише порт, який потрібен спеціально.
Альтернативою для використання DMZ є налаштування переадресації портів. За допомогою переадресації портів ви можете дозволити лише маршрутизатори через конкретний порт, а також можете вказати деякі порти для переходу на різні машини, якщо за маршрутизатором працює декілька серверів.
Будь ласка, будь обережним. DMZ у корпоративному / професійному середовищі (із брандмауерами високого класу) не такий, як для домашнього бездротового маршрутизатора (або інших NAT-маршрутизаторів для домашнього використання). Можливо, вам доведеться використовувати другий маршрутизатор NAT, щоб отримати очікувану безпеку (див. Статтю нижче).
У третьому епізоді подкаста Лео Лапорте та гуру безпеки Стіва Гібсона про безпеку зараз обговорювали цю тему. У стенограмі дивіться поруч "дійсно цікаве питання, тому що це так звана" DMZ ", демілітаризована зона, як її називають на маршрутизаторах".
Від Стіва Гібсона, http://www.grc.com/nat/nat.htm :
"Як ви можете собі уявити, машина" DMZ "маршрутизатора і навіть машина" переадресований порт "повинні мати суттєвий захист, інакше він швидко пройде з грибками в Інтернеті. Це велика проблема з точки зору безпеки. Чому? .. NAT-роутер має стандартний Ethernet-перемикач, що з'єднує ВСІ його порти на базі локальної мережі. Немає нічого "окремого" про порт, на якому розміщена спеціальна машина "DMZ". Це у внутрішній локальній мережі! Це означає, що все, що може потрапити в нього через перенаправлений порт маршрутизатора, або через те, що він є хостом DMZ, має доступ до будь-якої іншої машини у внутрішній приватній локальній мережі. (Це дійсно погано.) "
У статті також є вирішення цієї проблеми, що передбачає використання другого NAT-роутера. Існує кілька дійсно хороших діаграм, які ілюструють проблему та рішення.
block all traffic from #4 to #1,#2,#3яке неможливо без комутатора L2.
DMZ або «демілітаризована зона», де ви можете налаштувати сервера або інші пристрої , які повинні бути доступні з поза вашої мережі.
Що там належить? Веб-сервери, проксі-сервери, поштові сервери тощо.
У мережі найбільш вразливими для атаки є хости, які надають послуги користувачам за межами локальної мережі, такі як сервери електронної пошти, веб-та DNS. Оскільки підвищений потенціал цих хостів порушений, вони розміщуються у власній підмережі, щоб захистити решту мережі, якщо зловмисник мав успіх. Хости в DMZ мають обмежене підключення до конкретних хостів у внутрішній мережі, хоча дозволено спілкування з іншими хостами в DMZ та зовнішній мережі. Це дозволяє хостам у DMZ надавати послуги як внутрішній, так і зовнішній мережі, тоді як інтервенційний брандмауер контролює трафік між серверами DMZ та клієнтами внутрішньої мережі.
У комп’ютерних мережах DMZ (демілітаризована зона), також іноді відома як периметрова мережа або екранована підмережа, - це фізична або логічна підмережа, яка відокремлює внутрішню локальну мережу (LAN) від інших ненадійних мереж, як правило, Інтернет. Зовнішні сервери, ресурси та послуги розміщені в DMZ. Так, вони доступні з Інтернету, але решта внутрішньої локальної мережі залишається недосяжною. Це забезпечує додатковий рівень безпеки для локальної мережі, оскільки обмежує можливість хакерів безпосередньо отримувати доступ до внутрішніх серверів і даних через Інтернет.