21

Насколько я понимаю, используя DMZ, вы выставляете все порты хост-компьютера в Интернет. Для чего это хорошо?

4 ответа4

21

DMZ хороша, если вы хотите запустить домашний сервер, к которому можно получить доступ из-за пределов вашей домашней сети (например, веб-сервер, ssh, vnc или другой протокол удаленного доступа). Как правило, вы хотели бы запустить брандмауэр на компьютере сервера, чтобы убедиться, что только порты, которым конкретно требуется, разрешен доступ с общедоступных компьютеров.

Альтернативой использованию DMZ является настройка переадресации портов. С переадресацией портов вы можете разрешить только определенные порты через ваш маршрутизатор, а также можете указать некоторые порты для перехода на разные машины, если за вашим маршрутизатором работает несколько серверов.

17

Пожалуйста, будь осторожен. DMZ в корпоративной / профессиональной среде (с высокопроизводительными межсетевыми экранами) отличается от домашнего беспроводного маршрутизатора (или других маршрутизаторов NAT для домашнего использования). Возможно, вам придется использовать второй маршрутизатор NAT для получения ожидаемой безопасности (см. Статью ниже).

В 3 -й серии подкаста Security Now Лео Лапорта и гуру безопасности Стива Гибсона эта тема обсуждалась. В расшифровке вы увидите «действительно интересную проблему, потому что это так называемая« демилитаризованная зона », демилитаризованная зона, как ее называют на маршрутизаторах».

Стив Гибсон, http://www.grc.com/nat/nat.htm:

«Как вы можете себе представить, машина" DMZ "маршрутизатора и даже машина" переадресации порта "должны иметь существенную безопасность, иначе она будет быстро заполнена интернет-грибком. Это большая проблема с точки зрения безопасности. Зачем? ... у маршрутизатора NAT есть стандартный коммутатор Ethernet, соединяющий ВСЕ его порты на стороне локальной сети. Нет ничего "отдельного" в том, что касается порта, на котором размещена специальная машина "DMZ". Это во внутренней локальной сети! Это означает, что все, что может проникнуть в него через перенаправленный порт маршрутизатора или из-за того, что он является узлом DMZ, имеет доступ ко всем остальным машинам во внутренней частной локальной сети. (Это действительно плохо.)

В статье также есть решение этой проблемы, которое включает использование второго маршрутизатора NAT. Есть несколько действительно хороших диаграмм, чтобы проиллюстрировать проблему и решение.

10

Демилитаризованная зона или «демилитаризованная зона» - это место, где вы можете настроить серверы или другие устройства, к которым требуется доступ извне вашей сети.

Что там принадлежит? Веб-серверы, прокси-серверы, почтовые серверы и т.д.

В сети наиболее уязвимыми для атаки узлами являются те, которые предоставляют услуги пользователям за пределами локальной сети, таким как электронная почта, веб-серверы и DNS-серверы. Из-за повышенного потенциала скомпрометированных хостов они помещаются в свою собственную подсеть для защиты остальной части сети в случае успеха злоумышленника. Хосты в демилитаризованной зоне имеют ограниченную возможность подключения к конкретным хостам во внутренней сети, хотя связь с другими хостами в демилитаризованной зоне и с внешней сетью разрешена. Это позволяет хостам в DMZ предоставлять услуги как внутренней, так и внешней сети, а промежуточный межсетевой экран контролирует трафик между серверами DMZ и клиентами внутренней сети.

0

В компьютерных сетях DMZ (демилитаризованная зона), также иногда называемая сетью периметра или экранированной подсетью, представляет собой физическую или логическую подсеть, которая отделяет внутреннюю локальную сеть (LAN) от других ненадежных сетей, обычно Интернета. Внешние серверы, ресурсы и сервисы расположены в демилитаризованной зоне. Таким образом, они доступны из Интернета, но остальная часть внутренней локальной сети остается недоступной. Это обеспечивает дополнительный уровень безопасности для локальной сети, поскольку ограничивает возможность хакеров получать прямой доступ к внутренним серверам и данным через Интернет.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .