Fórum az informatikai szakemberek
áramkör megvalósítása demilitarizovanoy zóna (DMZ)
Üdvözöljük kollégák. Van egy kis hálózat, amely több alhálózatot - szerver alhálózat alhálózati felhasználó és alhálózati teljesítmény - menedzsment interfészek, az ILO, stb Be kell, hogy jöjjön létre egy hálózatot demilitarizált zóna, ami azt tenné része a web szerver is. Vannak olyan klasszikus rendszerről a hálózat DMZ? Hallottam, hogy meg lehet szervezni a fizikai és logikai DMZ - a VLAN-t. Akarjuk érteni, hogy melyik módszer a jobb, és miért, mi az előnye és minusy.Esli valaki mondja meg, ahol elolvashatja a tervezési adatok DMZ hálás lesz. A hálózat épül a Cisco eszközök.
A tervezése és kivitelezése
Szétválasztása irányítás szegmensek és a forgalom között általában végre speciális eszközök - tűzfalak. Fő feladata az ilyen eszköz:
-ellenőrizze a külső hálózati hozzáférést a DMZ;
-Felügyeletet gyakorol a belső hálózati hozzáférés és a DMZ;
-Felbontás (vagy kontroll) a belső hálózaton a külső hozzáférést;
-a külső hálózati hozzáférés a belső tilalmat.
Egyes esetekben a DMZ router elég pénz, vagy proxy szerver.
Szerverek a DMZ adott esetben csak korlátozottan képesek kapcsolódni az egyes csomópontok a belső hálózat. Kommunikáció a DMZ a kiszolgálók között, és a külső hálózat is korlátozott, hogy a DMZ biztonságosabb forgalomba egyes szolgáltatások, mint az internet. A szerver a DMZ kell végezni csak a szükséges programokat, felesleges fogyatékos vagy akár megszüntetni.
Sok különböző lehetőség hálózati DMZ. Két fő - egy tűzfalat, és két tűzfal. Alapján ezek a módszerek, akkor létrehozhat egy egyszerűsített és nagyon összetett konfigurációk megfelelő képességek a felhasznált berendezés és a biztonsági követelmények az adott hálózatban.
Configuration egy tűzfal
Vezetés egy tűzfal
Ahhoz, hogy hozzon létre egy DMZ hálózati tűzfal, amelynek legalább három hálózati interfészek lehet használni - az egyik a kapcsolatot az ISP (WAN), a második - a belső hálózat (LAN), egy harmadik - egy DMZ. Egy ilyen rendszer könnyen bevezethető, de magas követelményeket támaszt a hardver és adminisztráció közelében tűzfal kezelni az összes forgalom az DMZ és a belső hálózathoz. Így válik egy ponton a kudarc, és ha a törés (vagy hiba a beállításokat), a belső hálózat lenne sérülékeny közvetlenül a külső.
A konfiguráció két tűzfal
Reakcióvázlat két tűzfalak
A biztonságosabb megközelítés az, hogy létre, ha a DMZ két tűzfal: egy ellenőrzi a kapcsolatot a külső hálózat a DMZ, a második - a DMZ a belső hálózathoz. Ebben az esetben a sikeres támadás a belső erőforrások rontják a két eszközt. Ezen túlmenően, a külső képernyőn, akkor beállíthatja a lassabb szűrő szabályok az alkalmazás szintjén, fokozott védelmet biztosító LAN nélkül negatív hatással van a teljesítményére a belső szegmensben.
Több magasabb szintű védelmet érhetünk el két tűzfal két különböző gyártók, és (lehetőleg) a különböző építészeti - csökkenti annak esélyét, hogy mindkét eszköz ugyanaz lesz a biztonsági rést. Például a véletlen hiba a beállítások kevésbé valószínű, hogy jelenik meg a konfigurációs felület két különböző gyártók; biztonsági rést találtak a rendszerben az egyik gyártó, kevésbé valószínű, hogy egy másik rendszerben. A hátránya ennek az építészet a magasabb költség.
Itt van még érdekesebb festett a topológia a demilitarizált zóna, a hátsó és elülső szolgáltatások, rövidebb Javasoljuk, hogy megismertessék érdekel.