schemele de implementare a zonei demilitarizate (dmz)
Salut colegii. Există o rețea mică constând din mai multe subrețele - o subrețea de server, o subrețea de utilizator și o subrețea a subrețelei de serviciu - pentru interfețe de management, ilo, etc. Trebuie să veniți cu o rețea de zone demilitarizate, pentru a lua parte la serverele web. Există vreo schemă clasică pentru implementarea DMZ în rețea? Am auzit că poți organiza un DMZ fizic și unul logic cu vlan. Vreau să înțeleg ce metodă este mai bună și de ce, ce plusuri și minusuri Dacă cineva îmi spune unde puteți citi informațiile despre planificarea DMZ, voi fi recunoscător. Rețeaua este construită pe hardware-ul cisco.
Arhitectura și implementarea
Separarea segmentelor și controlul traficului între ele, de regulă, sunt realizate de dispozitive specializate - firewall-uri. Principalele sarcini ale unui astfel de dispozitiv sunt:
-controlul accesului de la o rețea externă la DMZ;
-controlul accesului din rețeaua internă la DMZ;
-permisiunea (sau controlul) accesului din rețeaua internă către rețeaua externă;
-interzicerea accesului din rețeaua externă la rețeaua internă.
În unele cazuri, pentru organizarea DMZ, există mijloace suficiente pentru un router sau chiar un server proxy.
Serverele din DMZ, dacă este necesar, pot avea o capacitate limitată de conectare la nodurile individuale din rețeaua internă. Comunicarea în DMZ între servere și rețeaua externă este de asemenea limitată pentru a face DMZ mai sigur pentru a găzdui anumite servicii decât Internetul. Pe serverele din DMZ, trebuie executate numai programele necesare, întrerupte inutil sau șterse complet.
Există multe opțiuni diferite pentru arhitectura de rețea cu DMZ. Cele două principale sunt cu un firewall și două firewall-uri. Pe baza acestor metode, puteți crea atât configurații simplificate, cât și foarte complexe, care să corespundă capabilităților echipamentului utilizat și cerințelor de securitate pentru o anumită rețea.
Configurarea cu un singur paravan de protecție
Schema cu un singur paravan de protecție
Pentru a crea o rețea cu un DMZ, poate fi folosit un paravan de protecție care are cel puțin trei interfețe de rețea: unul pentru conectarea la un furnizor (WAN), al doilea cu o rețea internă (LAN), al treilea cu un DMZ. O astfel de schemă este ușor de implementat, dar plasează cerințe mari asupra hardware-ului și administrării: firewall-ul trebuie să se ocupe de tot traficul care merge atât la DMZ, cât și la rețeaua internă. În același timp, devine un singur punct de eșec, iar în caz de hacking (sau o eroare în setări), rețeaua internă va fi vulnerabilă direct de la cea externă.
Configurarea cu două fire de protecție
Schema cu două fire de protecție
O abordare mai sigură este folosirea a două firewall-uri pentru a crea un DMZ: unul dintre ele monitorizează conexiunile de la rețeaua externă la DMZ, al doilea de la DMZ la rețeaua internă. În acest caz, două dispozitive trebuie să fie compromise pentru un atac reușit asupra resurselor interne. În plus, pe ecranul extern, puteți configura reguli de filtrare mai lente la nivel de aplicație, oferind protecție LAN îmbunătățită fără a afecta performanța segmentului intern.
Un nivel de protecție chiar mai ridicat poate fi asigurat prin utilizarea a două fire de protecție de doi producători diferiți și (de preferință) diferite arhitecturi - aceasta reduce probabilitatea ca ambele dispozitive să aibă aceeași vulnerabilitate. De exemplu, o eroare aleatorie a setărilor este mai puțin probabil să apară în configurația interfețelor a doi producători diferiți; O gaură de securitate găsită într-un sistem cu un singur producător este mai puțin probabil să se afle în sistemul altui producător. Dezavantajul acestei arhitecturi este costul mai mare.
Aici este și mai interesant despre topologia zonei demilitarizate, despre serviciile din spate și front-end, pe scurt vă recomand să vă familiarizați cu cei interesați.
Articole similare
Trimiteți-le prietenilor: