WikiSort.ru - Не сортированное

ПОИСК ПО САЙТУ | о проекте

DMZ (англ. Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных^[1]. В качестве общедоступного может выступать, например, веб-сервис: обеспечивающий его сервер, который физически размещён в локальной сети (Интранет), должен отвечать на любые запросы из внешней сети (Интернет), при этом другие локальные ресурсы (например, файловые серверы, рабочие станции) необходимо изолировать от внешнего доступа.

Цель ДМЗ — добавить дополнительный уровень безопасности в локальной сети, позволяющий минимизировать ущерб в случае атаки на один из общедоступных сервисов: внешний злоумышленник имеет прямой доступ только к оборудованию в ДМЗ^[2].

Терминология и концепция

Название происходит от военного термина «демилитаризованная зона» — территория между враждующими государствами, на которой не допускаются военные операции. Иными словами, доступ в ДМЗ открыт для обеих сторон при условии, что посетитель не имеет злого умысла. По аналогии, концепция ДМЗ (например, при построении шлюза в публичный Интернет) состоит в том, что в локальной сети выделяется область, которая не безопасна как оставшаяся часть сети (внутренняя) и не опасна как публичная (внешняя)^[3]^[4]^[5].

Системы, открытые для прямого доступа из внешних сетей, как правило, являются главными целями злоумышленников и потенциально подвержены проявлению угроз. Как следствие, эти системы не могут пользоваться полным доверием. Поэтому необходимо ограничить доступ этих систем к компьютерам, расположенным внутри сети^[6].

Предоставляя защиту от внешних атак, ДМЗ, как правило, не имеет никакого отношения к атакам внутренним, таким как перехват трафика^[5]^[7].

Архитектура и реализация

Разделение сегментов и контроль трафика между ними, как правило, реализуются специализированными устройствами — межсетевыми экранами. Основными задачами такого устройства являются^[8]:

контроль доступа из внешней сети в ДМЗ;
контроль доступа из внутренней сети в ДМЗ;
разрешение (или контроль) доступа из внутренней сети во внешнюю;
запрет доступа из внешней сети во внутреннюю.

В некоторых случаях для организации ДМЗ достаточно средств маршрутизатора или даже прокси-сервера^[2].

Серверы в ДМЗ при необходимости могут иметь ограниченную возможность соединиться с отдельными узлами во внутренней сети^{[К 1]}. Связь в ДМЗ между серверами и с внешней сетью также ограничивается, чтобы сделать ДМЗ более безопасной для размещения определённых сервисов, чем Интернет. На серверах в ДМЗ должны выполняться лишь необходимые программы, ненужные отключаются или вообще удаляются^[8].

Существует множество различных вариантов архитектуры сети с DMZ. Два основных — с одним межсетевым экраном и с двумя межсетевыми экранами^[2]^[9]. На базе этих методов можно создавать как упрощенные, так и очень сложные конфигурации, соответствующие возможностям используемого оборудования и требованиям к безопасности в конкретной сети^[5].

Конфигурация с одним межсетевым экраном

Для создания сети с ДМЗ может быть использован один межсетевой экран, имеющий минимум три сетевых интерфейса: один — для соединения с провайдером (WAN), второй — с внутренней сетью (LAN), третий — с ДМЗ. Подобная схема проста в реализации, однако предъявляет повышенные требования к оборудованию и администрированию: межсетевой экран должен обрабатывать весь трафик, идущий как в ДМЗ, так и во внутреннюю сеть. При этом он становится единой точкой отказа, а в случае его взлома (или ошибки в настройках) внутренняя сеть окажется уязвимой напрямую из внешней^[3].

Конфигурация с двумя межсетевыми экранами

Более безопасным является подход, когда для создания ДМЗ используются два межсетевых экрана: один из них контролирует соединения из внешней сети в ДМЗ, второй — из ДМЗ во внутреннюю сеть. В таком случае для успешной атаки на внутренние ресурсы должны быть скомпрометированы два устройства^[2]. Кроме того, на внешнем экране можно настроить более медленные правила фильтрации на уровне приложений, обеспечив усиленную защиту локальной сети без негативного влияния на производительность внутреннего сегмента^[3].

Ещё более высокий уровень защиты можно обеспечить, используя два межсетевых экрана двух разных производителей и (желательно) различной архитектуры — это уменьшает вероятность того, что оба устройства будут иметь одинаковую уязвимость^[10]. Например, случайная ошибка в настройках с меньшей вероятностью появится в конфигурации интерфейсов двух разных производителей; дыра в безопасности, найденная в системе одного производителя, с меньшей вероятностью окажется в системе другого. Недостатком этой архитектуры является более высокая стоимость^[11].

ДМЗ-хост

Некоторые маршрутизаторы SOHO-класса имеют функцию предоставления доступа из внешней сети к внутренним серверам (режим DMZ host или exposed host). В таком режиме они представляют собой хост, у которого открыты (не защищены) все порты, кроме тех, которые транслируются иным способом. Это не вполне соответствует определению истинной ДМЗ, так как сервер с открытыми портами не отделяется от внутренней сети. То есть ДМЗ-хост может свободно подключиться к ресурсам во внутренней сети, в то время как соединения с внутренней сетью из настоящей ДМЗ блокируются разделяющим их межсетевым экраном, если нет специального разрешающего правила^{[К 1]}. ДМЗ-хост не предоставляет в плане безопасности ни одного из преимуществ, которые даёт использование подсетей, и часто используется как простой метод трансляции всех портов на другой межсетевой экран или устройство^[5]^[11].

Примечания

↑ Сергеев А. Настройка сетей Microsoft дома и в офисе. Учебный курс. — СПб.: ИД «Питер», 2006. — С. 312. — ISBN 5-469-01114-3.
1 2 3 4 Смит, 2006.
1 2 3 Shinder, D. SolutionBase: Strengthen network defenses by using a DMZ (англ.). TechRepublic (29 June 2005).
↑ Shinder, T. ISA Server DMZ Scenarios (англ.). ISAserver.org (27 June 2001).
1 2 3 4 DMZ (DeMilitarized Zone) (англ.). Tech-FAQ.com.
↑ Киселев Е. Безопасность IBM Lotus Notes/Domino R7. — М.: «ИнтерТраст», 2007. — ISBN 5-7419-0084-4.
↑ Perimeter Firewall Design (англ.). Microsoft TechNet.
1 2 Гергель, 2007.
↑ Importance of DMZ in Network Security (англ.) (недоступная ссылка). NTSecurity.com (31.10.2012). Проверено 4 июня 2014. Архивировано 6 июня 2014 года.
↑ Смирнов А. А., Житнюк П. П. Киберугрозы реальные и выдуманные // «Россия в глобальной политике». — 2010. — № 2.
1 2 Johannes Endres. DMZ selbst gebaut (нем.). Heise Netze (4.10.2006).

Литература

Смит Р. Ф. Демилитаризованная зона ISA // «Windows IT Pro/RE». — М.: «Открытые системы», 2006. — № 3.
Гергель А. В. Компьютерные сети и сетевые технологии. — Нижний Новгород: ННГУ, 2007. — С. 18. — 107 с.
Robert Shimonski, Will Schmied. Building DMZs For Enterprise Networks. — Syngress Publishing, 2003. — P. 304. — 744 p. — ISBN 1-931836-88-4.

Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".

Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.

Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .

Текст в блоке "Читать" взят с сайта "Википедия" и доступен по лицензии Creative Commons Attribution-ShareAlike; в отдельных случаях могут действовать дополнительные условия.

Другой контент может иметь иную лицензию. Перед использованием материалов сайта WikiSort.ru внимательно изучите правила лицензирования конкретных элементов наполнения сайта.

2019-2024
WikiSort.ru - проект по пересортировке и дополнению контента Википедии

[pit-1] Сергеев А. Настройка сетей Microsoft дома и в офисе. Учебный курс. — СПб.: ИД «Питер», 2006. — С. 312. — ISBN 5-469-01114-3.

[_9631fc3b4baae1f1-2] 1 2 3 4 Смит, 2006.

[techrep-3] 1 2 3 Shinder, D. SolutionBase: Strengthen network defenses by using a DMZ (англ.). TechRepublic (29 June 2005).

[isa-4] Shinder, T. ISA Server DMZ Scenarios (англ.). ISAserver.org (27 June 2001).

[faq-5] 1 2 3 4 DMZ (DeMilitarized Zone) (англ.). Tech-FAQ.com.

[edu-6] Киселев Е. Безопасность IBM Lotus Notes/Domino R7. — М.: «ИнтерТраст», 2007. — ISBN 5-7419-0084-4.

[tms-7] Perimeter Firewall Design (англ.). Microsoft TechNet.

[_a23a9e9af49befa5-8] 1 2 Гергель, 2007.

[nts-10] Importance of DMZ in Network Security (англ.) (недоступная ссылка). NTSecurity.com (31.10.2012). Проверено 4 июня 2014. Архивировано 6 июня 2014 года.

[glo-11] Смирнов А. А., Житнюк П. П. Киберугрозы реальные и выдуманные // «Россия в глобальной политике». — 2010. — № 2.

[hei-12] 1 2 Johannes Endres. DMZ selbst gebaut (нем.). Heise Netze (4.10.2006).

[П-9] 1 2 Межсетевой экран разрешает соединение хоста во внутренней сети с хостом в ДМЗ, если это соединение инициировал (запросил первым) хост во внутренней сети.