DMZ

 ДМЗ (демілітаризована зона, DMZ) — технологія забезпечення захисту інформаційного периметра, при якій сервери, відповідають на запити з зовнішньої мережі, перебувають в особливому сегменті мережі (який і називається ДМЗ) і обмежені в доступі до основних сегментах мережі за допомогою міжмережевого екрану (файрвола), з метою мінімізувати збиток, при зломі одного із загальнодоступних сервісів які знаходяться в ДМЗ.

У залежності від вимог до безпеки, ДМЗ може організовуватися одним, двома або трьома фаєрволами.


Конфігурація з одним фаєрволом


Схема с одним файрволом.


Найпростішою (і найпоширенішою) схемою є схема, в якій ДМЗ, внутрішня мережа і зовнішня мережа підключаються до різних портів маршрутизатора (виступає в ролі файрвола), контролюючого з'єднання між мережами. Подібна схема проста в реалізації, вимагає всього лише одного додаткового порту. Однак у випадку злому (або помилки конфігурації) маршрутизатора мережа виявляється вразлива безпосередньо із зовнішньої мережі.


Конфігурація з двома фаєрволами

Схема с двумя файрволами и общим соединением.


У конфігурації з двома файрволом ДМЗ підключається до двох маршрутизаторів, один з яких обмежує з'єднання з зовнішньої мережі в ДМЗ, а другий контролює з'єднання з ДМЗ у внутрішню мережу. Подібна схема дозволяє мінімізувати наслідки злому будь-якого з файрволов або серверів, що взаємодіють із зовнішньою мережею — до тих пір, поки не буде зламаний внутрішній файрвол, зловмисник не буде мати довільного доступу до внутрішньої мережі.


Конфігурація з трьома фаєрволами

Існує рідкісна конфігурація з трьома файрволом. У цій конфігурації перший з них бере на себе запити із зовнішньої мережі, другий контролює мережеві підключення ДМЗ, а третій — контролює з'єднання внутрішньої мережі. У подібній конфігурації зазвичай ДМЗ і внутрішня мережа ховаються за NAT (трансляцією мережних адрес).


Однією з ключових особливостей ДМЗ є не тільки фільтрація трафіку на внутрішньому брандмауера, але і вимога обов'язкової сильної криптографії при взаємодії між активним обладнанням внутрішньої мережі і ДМЗ. Зокрема, не повинно бути ситуацій, в яких можлива обробка запиту від сервера в ДМЗ без авторизації. У випадку, якщо ДМЗ використовується для забезпечення захисту інформації всередині периметра від витоку зсередини, аналогічні вимоги пред'являються для обробки запитів користувачів із внутрішньої мережі.


Comments

Popular posts from this blog

Створення локальної мережі у Cisco packet tracer

Топологія комп'ютерних мереж

Cisco Packet Tracer 7. та його можливості. Розумний дім