15. Что такое DMZ и схемы построения.

15. Что такое DMZ и схемы построения.
ДМЗ (демилитаризованная зона, DMZ) технология обеспечения защиты информационного периметра, при которой [ Cкачайте файл, чтобы посмотреть ссылку ], отвечающие на запросы из внешней сети, находятся в особом сегменте сети (который и называется ДМЗ) и ограничены в доступе к основным сегментам сети с помощью [ Cкачайте файл, чтобы посмотреть ссылку ], с целью минимизировать ущерб, при взломе одного из общедоступных сервисов находящихся в ДМЗ.
[[ Cкачайте файл, чтобы посмотреть ссылку ]]Конфигурация с одним файрволом
[ Cкачайте файл, чтобы посмотреть ссылку ]
Схема с одним файрволом.
Простейшей (и наиболее распространённой) схемой является схема, в которой ДМЗ, внутренняя сеть и внешняя сеть подключаются к разным портам [ Cкачайте файл, чтобы посмотреть ссылку ] (выступающего в роли файрвола), контролирующего соединения между сетями. Подобная схема проста в реализации, требует всего лишь одного дополнительного порта. Однако в случае взлома (или ошибки конфигурирования) маршрутизатора сеть оказывается уязвима напрямую из внешней сети.
[[ Cкачайте файл, чтобы посмотреть ссылку ]]Конфигурация с двумя файрволами
[ Cкачайте файл, чтобы посмотреть ссылку ]

·Схема с двумя файрволами и общим соединением.
В конфигурации с двумя файрволами ДМЗ подключается к двум маршрутизаторам, один из которых ограничивает соединения из внешней сети в ДМЗ, а второй контролирует соединения из ДМЗ во внутреннюю сеть. Подобная схема позволяет минимизировать последствия взлома любого из файрволов или серверов, взаимодействующих с внешней сетью до тех пор, пока не будет взломан внутренний файрвол, злоумышленник не будет иметь произвольного доступа к внутренней сети.
[[ Cкачайте файл, чтобы посмотреть ссылку ]]Конфигурация с тремя файрволами
Существует редкая конфигурация с тремя файрволами. В этой конфигурации первый из них принимает на себя запросы из внешней сети, второй контролирует сетевые подключения ДМЗ, а третий контролирует соединения внутренней сети. В подобной конфигурации обычно ДМЗ и внутренняя сеть скрываются за [ Cкачайте файл, чтобы посмотреть ссылку ] (трансляцией сетевых адресов).
Одной из ключевых особенностей ДМЗ является не только [ Cкачайте файл, чтобы посмотреть ссылку ] на внутреннем файрволе, но и требование обязательной сильной криптографии при взаимодействии между активным оборудованием внутренней сети и ДМЗ. В частности, не должно быть ситуаций, в которых возможна обработка запроса от сервера в ДМЗ без авторизации. В случае, если ДМЗ используется для обеспечения защиты информации внутри периметра от утечки изнутри, аналогичные требования предъявляются для обработки запросов пользователей из внутренней сети.

Рисунок 129Jђ Заголовок 315

Приложенные файлы

  • doc 14233828
    Размер файла: 66 kB Загрузок: 0

Добавить комментарий