• Ваш кошик порожній!

Сервісний центр VPSGroup ремонт комп'ютерної техніки, заправка картриджів, ремонт оргтехніки, Київ, Виставковий центр, Васильківська, 55

DMZ і демілітаризована зона.

31/10/2021

26.11.2016

Зміст

  • 1 Конфігурація з одним файрволом
    • 1.1 Схема з одним файрволом
    • 1.2 Конфігурація з двома файрвол
    • 1.3 Конфігурація з трьома файрвол

ДМЗ або демілітаризована зона (DMZ) - це технологія захисту мережі, в якій сервери, які відповідають на запити з зовнішньої мережі, знаходяться в особливому сегменті мережі і обмежені в доступі до основних сегментах мережі за допомогою брандмауера (файрвола), для того, що б, мінімізувати шкоду під час злому одного із сервісів, які перебувають в зоні.

Конфігурація з одним файрволом

Схема з одним файрволом

В цій схемі DMZ внутрішня мережа і зовнішня мережа підключаються до різних портів роутера (виступає в ролі файрволу), контролюючого з'єднання між мережами. Подібна схема проста в реалізації, вимагає всього лише одного додаткового порту. Однак в разі злому (або помилки конфігурації) маршрутизатора мережу виявляється вразлива безпосередньо із зовнішньої мережі.



Схема DMZ з одним файрволом

Конфігурація з двома файрвол

в конфігурації з 2-ма файрвол DMZ підключається до двох маршрутизаторів, один з яких обмежує з'єднання з зовнішньої мережі в DMZ, а другий контролює з'єднання з DMZ у внутрішню мережу.Подібна схема дозволяє мінімізувати наслідки злому будь-якого з файрволов або серверів, що взаємодіють із зовнішньою мережею - до тих пір, поки не буде зламаний внутрішній файрвол, зловмисник не матиме довільного доступу до внутрішньої мережі.



Схема DMZ з двома файрвол

конфігурація з трьома файрвол

Існує рідкісна конфігурація з 3-ма файрвол. У цій конфігурації перший з них приймає на себе запити з зовнішньої мережі, другий контролює мережеві підключення ДМЗ, а третій - контролює з'єднання внутрішньої мережі.У подібній конфігурації зазвичай DMZ і внутрішня мережа ховаються за NAT (трансляцією мережних адрес).

Однією з ключових особливостей DMZ є не тільки фільтрація трафіку на внутрішньому брандмауера, а й вимога обов'язкової сильної криптографії при взаємодії між активним обладнанням внутрішньої мережі і DMZ. Зокрема, не повинно бути ситуацій, в яких можлива обробка запиту від сервера в DMZ без авторизації. У разі, якщо ДМЗ використовується для забезпечення захисту інформації всередині периметра від витоку зсередини, аналогічні вимоги пред'являються для обробки запитів користувачів з внутрішньої мережі..