Для чего используется DMZ в домашнем беспроводном маршрутизаторе?
Насколько я понимаю, при помощи демилитаризованной зоны, Вы выставляете все порты главного компьютера к Интернету. Для чего это хорошо?
3 ответа
Демилитаризованная зона хороша, если Вы хотите выполнить домашний сервер, от которого можно получить доступ за пределами Вашей домашней сети (т.е. веб-сервер, ssh, vnc или другой протокол удаленного доступа). Обычно Вы хотели бы выполнить брандмауэр на машине сервера для проверки только портов, которые конкретно требуются, предоставляются доступ от общедоступных компьютеров.
Альтернатива использованию демилитаризованной зоны должна установить перенаправление портов. С перенаправлением портов можно позволить только определенные порты через маршрутизатор, и можно также указать некоторые порты для движения в различные машины, если у Вас есть несколько серверов, работающих позади Вашего маршрутизатора.
Будьте осторожны. Демилитаризованная зона в корпоративной/профессиональной среде (с высокопроизводительными брандмауэрами) не является тем же что касается домашнего беспроводного маршрутизатора (или другие маршрутизаторы NAT для домашнего использования). Вам, вероятно, придется использовать второй маршрутизатор NAT для получения ожидаемой безопасности (см. статью ниже).
В эпизоде 3 безопасности Теперь подкаст Leo Laporte и гуру безопасности Steve Gibson об этом предмете говорили. В расшифровке стенограммы видят близкую "действительно интересную проблему, потому что это - так называемая "демилитаризованная зона", Демилитаризованная зона, поскольку она обратилась к маршрутизаторам"..
От Steve Gibson, http://www.grc.com/nat/nat.htm:
"Как Вы могли бы предположить, машина "демилитаризованной зоны" маршрутизатора и даже "порт, переданная" машина должна иметь существенную безопасность или это будет сканирования с интернет-грибом в мгновение ока. Это - БОЛЬШАЯ проблема с точки зрения безопасности. Почему?... маршрутизатор NAT имеет стандартный Ethernet-коммутатор, взаимосвязывающий ВСЕ его порты стороны локальной сети. Нет ничего "отдельного" о порте, размещающем специальную машину "демилитаризованной зоны". Это находится на внутренней LAN! Это означает, что что-либо, что могло бы проверить в него через переданный порт маршрутизатора, или из-за того, что это было хостом демилитаризованной зоны, имеет доступ к любой машине на внутренней частной LAN. (Это действительно плохо.)"
В статье существует также решение этой проблемы, которая включает использование второго маршрутизатора NAT. Существуют некоторые действительно хорошие схемы для иллюстрирования проблемы и решения.
Демилитаризованная зона или "демилитаризованная зона" - то, где можно настроить серверы или другие устройства, к которым нужно получить доступ снаружи сети.
Что принадлежит там? Веб-серверы, прокси-серверы, почтовые серверы и т.д.
В сети хосты, самые уязвимые для нападения, являются теми, которые предоставляют услуги пользователям за пределами LAN, таким как электронная почта, сеть и серверы DNS. Из-за увеличенного потенциала этих поставленных под угрозу хостов они размещаются в их собственную подсеть для защиты остальной части сети, если злоумышленник должен был успешно выполниться. Хосты в демилитаризованной зоне ограничили возможность соединения определенными хостами во внутренней сети, хотя связь с другими хостами в демилитаризованной зоне и к внешней сети позволяется. Это позволяет хостам в демилитаризованной зоне предоставлять услуги и внутренней и внешней сети, в то время как прошедший брандмауэр управляет трафиком между серверами демилитаризованной зоны и клиентами внутренней сети.