Что такое DMZ и как ее настроить в своей сети?

Дядя Влад

Что означает «DMZ»? DMZ означает демилитаризованную зону, но на самом деле это означает разные вещи в разных сферах.

В реальном мире демаркационная зона – это полоса земли, которая служит точкой разграничения между Северной и Южной Кореей. Но когда дело доходит до технологий, DMZ представляет собой логически разделенную подсеть, которая обычно содержит внешние сервисы сети, доступные в Интернете. Так какова же цель DMZ? Как он тебя защищает? А вы можете настроить его на своем роутере?

Какова цель DMZ?

DMZ действует как щит между ненадежным Интернетом и вашей внутренней сетью.

Изолируя наиболее уязвимые, доступные пользователю сервисы, такие как электронная почта, веб-серверы и DNS-серверы, внутри их собственной логической подсети, остальная часть внутренней сети или локальной сети (LAN) может быть защищена в случае взлома.

Хосты внутри DMZ имеют ограниченное подключение к основной внутренней сети, поскольку они размещены за промежуточным межсетевым экраном, который контролирует поток трафика между двумя точками сети. Однако некоторая связь разрешена, поэтому узлы DMZ могут предлагать услуги как внутренней, так и внешней сети.

Связанный: В чем разница между LAN и WAN?

Основная предпосылка DMZ – сохранить доступ к ней из Интернета, оставив при этом остальную внутреннюю локальную сеть нетронутой и недоступной для внешнего мира. Этот дополнительный уровень безопасности предотвращает прямое проникновение злоумышленников в вашу сеть.

Какие службы добавляются в демилитаризованную зону?

Самый простой способ понять конфигурацию DMZ – это подумать о маршрутизаторе. Маршрутизаторы обычно имеют два интерфейса:

  1. Внутренний интерфейс: это ваш не выходящий в Интернет интерфейс, в котором есть ваши частные хосты.
  2. Внешний интерфейс: это интерфейс с выходом в Интернет, который имеет ваш канал связи и взаимодействие с внешним миром.

Чтобы реализовать сеть DMZ, вы просто добавляете третий интерфейс, известный как DMZ. Любые хосты, доступные напрямую из Интернета или требующие регулярной связи с внешним миром, затем подключаются через интерфейс DMZ.

Стандартные службы, которые могут быть размещены внутри DMZ, включают почтовые серверы, FTP-серверы, веб-серверы, VOIP-серверы и т. Д.

Следует внимательно изучить общую политику компьютерной безопасности вашей организации и провести анализ ресурсов перед переносом служб в демилитаризованную зону.

Можно ли реализовать DMZ в домашней или беспроводной сети?

Вы могли заметить, что большинство домашних маршрутизаторов упоминают DMZ Host. В прямом смысле слова это не настоящая DMZ. Причина в том, что DMZ в домашней сети – это просто хост во внутренней сети, у которого есть все порты, кроме тех, которые не перенаправляются.

Большинство сетевых экспертов предостерегают от настройки узла DMZ для домашней сети. Это связано с тем, что узел DMZ – это точка между внутренней и внешней сетями, которой не предоставлены те же привилегии межсетевого экрана, которыми пользуются другие устройства во внутренней сети.

Кроме того, домашний узел DMZ по-прежнему поддерживает возможность подключения ко всем узлам внутренней сети, что не относится к коммерческим конфигурациям DMZ, где эти подключения выполняются через разделенные межсетевые экраны.

Хост DMZ во внутренней сети может создавать ложное ощущение безопасности, хотя на самом деле он просто используется как метод прямой переадресации портов на другой брандмауэр или устройство NAT.

Настройка DMZ для домашней сети необходима только в том случае, если для определенных приложений требуется постоянный доступ в Интернет. Хотя это может быть достигнуто путем перенаправления портов или создания виртуальных серверов, иногда решение большого количества номеров портов делает это непрактичным. В таких случаях логическим решением является установка хоста DMZ.

Модель DMZ с одним и двумя межсетевыми экранами

Настроить DMZ можно по-разному. Два наиболее часто используемых метода известны как трехсторонняя сеть (с одним брандмауэром) и сеть с двумя брандмауэрами.

В зависимости от ваших требований вы можете выбрать любую из этих архитектур.

Трехсторонний или одинарный межсетевой экран

Эта модель имеет три интерфейса. Первый интерфейс – это внешняя сеть от интернет-провайдера к брандмауэру, второй – ваша внутренняя сеть, и, наконец, третий интерфейс – это сеть DMZ, которая содержит различные серверы.

Недостатком такой настройки является то, что использование одного-единственного брандмауэра является единственной точкой отказа для всей сети. Если брандмауэр будет скомпрометирован, вся DMZ также выйдет из строя. Кроме того, межсетевой экран должен иметь возможность обрабатывать весь входящий и исходящий трафик как для DMZ, так и для внутренней сети.

Метод двойного брандмауэра

Как следует из названия, для построения этой настройки используются два брандмауэра, что делает его более безопасным из двух методов. Настроен интерфейсный брандмауэр, который позволяет трафику проходить только в DMZ и из нее. Второй или внутренний брандмауэр настроен для передачи трафика из DMZ во внутреннюю сеть.

Наличие дополнительного брандмауэра снижает вероятность воздействия на всю сеть в случае компрометации.

Это, естественно, имеет более высокую цену, но обеспечивает избыточность на случай отказа активного межсетевого экрана. Некоторые организации также гарантируют, что оба брандмауэра изготовлены разными поставщиками, чтобы создать больше препятствий для злоумышленников, пытающихся взломать сеть.

Как настроить DMZ на домашнем маршрутизаторе

Самый простой и быстрый способ настроить домашнюю сеть DMZ – использовать трехногую модель. Каждый интерфейс будет назначен как внутренняя сеть, сеть DMZ и внешняя сеть. Наконец, эту настройку завершит четырехпортовая карта Ethernet в брандмауэре.

Следующие шаги описывают, как настроить DMZ на домашнем маршрутизаторе. Обратите внимание, что эти шаги будут аналогичны для большинства основных маршрутизаторов, таких как Linksys, Netgear, Belkin и D-Link:

  1. Подключите компьютер к маршрутизатору с помощью кабеля Ethernet.
  2. Зайдите в веб-браузер вашего компьютера и введите IP-адрес вашего маршрутизатора на адресной панели инструментов. Обычно адрес маршрутизатора 192.168.1.1. Нажмите "Enter" или клавишу возврата.
  3. Вы увидите запрос на ввод пароля администратора. Введите свой пароль, который вы создали при настройке роутера. Пароль по умолчанию на многих маршрутизаторах – «admin».
  4. Выберите вкладку «Безопасность», расположенную в верхнем верхнем углу веб-интерфейса вашего маршрутизатора.
  5. Прокрутите вниз и выберите раскрывающийся список с надписью «DMZ». Теперь выберите опцию меню включения .
  6. Введите IP-адрес хоста конечного компьютера. Это может быть что угодно, например, удаленный настольный компьютер, веб-сервер или любое устройство, которому требуется доступ в Интернет. Примечание. IP-адрес, на который вы перенаправляете сетевой трафик, должен быть статическим, так как динамически назначаемый IP-адрес будет меняться каждый раз при перезапуске вашего компьютера.
  7. Выберите « Сохранить настройки» и закройте консоль маршрутизатора.

Связанный: Как найти IP-адрес вашего маршрутизатора

Защитите свои данные и настройте DMZ

Умные потребители всегда защищают свои маршрутизаторы и сети от злоумышленников перед доступом к внешним сетям. DMZ может обеспечить дополнительный уровень безопасности между вашими ценными данными и потенциальными хакерами.

По крайней мере, использование DMZ и простых советов по защите ваших маршрутизаторов может значительно затруднить проникновение злоумышленников в вашу сеть. И чем сложнее злоумышленникам получить доступ к вашим данным, тем лучше для вас!