Демілітаризована зона


Демілітаризована зона (ДМЗ, DMZ) — технологія забезпечення захисту інформаційного периметра, при котрій сервери, що відповідають на запити з внутрішньої мережі, знаходяться в особливому сегменті мережі (який і називається ДМЗ) та обмежені в доступі до основних сегментів мережі за допомогою файєрвола, з метою додати додатковий рівень безпеки в локальній мережі, що дозволяє мінімізувати збиток в разі атаки на один із загальнодоступних сервісів: зовнішній зловмисник має прямий доступ тільки до обладнання в ДМЗ.

Поділ сегментів і контроль трафіку між ними, як правило, реалізуються спеціалізованими пристроями - міжмережевими екранами(файєрволами).

Основними завданнями такого пристрою є:
  • контроль доступу з зовнішньої мережі в ДМЗ; 
  • контроль доступу з внутрішньої мережі в ДМЗ; 
  • дозвіл (або контроль) доступу з внутрішньої мережі в зовнішню; 
  • заборона доступу з зовнішньої мережі у внутрішню. 
У деяких випадках для організації ДМЗ достатньо засобів маршрутизатора або навіть проксі-сервера.

Залежно від вимог до безпеки, ДМЗ може бути з одним, двома або трьома файєрволами.


Конфігурація з одним файєрволом

В цій схемі ДМЗ внутрішня мережа та зовнішня мережа підключаються до різних портів маршрутизатора (що має роль файєрвола), який контролює з’єднання між мережами. Така схема проста в реалізації, вона вимагає лише одного додаткового порта. Однак у випадку злому (або помилки конфігурування) маршрутизатора мережа лишається вразливою просто з зовнішньої мережі.



Конфігурація з двома файєрволами

В конфігурації з двома файєрволами ДМЗ підключається до двох маршрутизаторів, один з котрих обмежує з’єднання з зовнішньої мережі в ДМЗ, а другий контролює з’єднання з ДМЗ до внутрішньої мережі. Така схема дозволяє мінімізувати наслідки злому будь-якого з файєрволов або серверів, що взаємодіють з зовнішньою мережею — до тих пір, поки не буде зламаний внутрішній файєрвол, зловмисник не буде мати довільного доступу до внутрішньої мережі.




Конфігурація з трьома файєрволами

Існує рідкісна конфігурація з трьома файєрволами. В цій конфігурації перший з них приймає на себе запити з зовнішньої мережі, другий контролює мережеві підключення ДМЗ, а третій — контролює з’єднання внутрішньої мережі. В такій конфігурації зазвичай ДМЗ і внутрішня мережа є приховані за NAT (трансляцією мережевих адрес).

Однією з ключових особливостей ДМЗ є не тільки фільтрація трафіку на внутрішньому файєрволі, але і обов’язкова сильна криптографія при взаємодії між активним обладнанням внутрішньої мережі і ДМЗ. Зокрема, не повинно бути ситуацій, в яких можлива обробка запиту від сервера в ДМЗ без авторизації. У випадку, якщо ДМЗ використовується для забезпечення захисту інформації всередині периметру від витоку назовні, аналогічні вимоги надаються для обробки запитів користувачів із внутрішної мережі.

Коментарі

Дописати коментар

Популярні дописи з цього блогу

Топології комп'ютерних мереж

Зображення
                      1. Основні топології                          1.1 Топологія "Шина"           Шина - топологія комп'ютерної мережі , у як ій використовується один кабель, що називається  магістраллю , до якого підключені всі  комп'ютери  мережі. Дана топологія є найбільш простою і поширеною реалізацією мережі. Топологія « шина » самою своєю структурою припускає ідентичність мережного устаткування комп'ютерів, а також рівноправність всіх абонентів по доступу до мережі. Комп'ютери в шині можуть передавати інформацію тільки по черзі, тому що лінія зв'язку в цьому випадку єдина. Якщо кілька комп'ютерів будуть передавати інформацію одночасно, вона спотвориться в результаті накладення (конфлікту, колізії). У шині завжди реалізується режим напівдуплексного обміну ( в одному напрямку – лише на прийом або на передачу ). ...
Докладніше

Принципи мережевої взаємодії

Зображення
Семирівнева модель OSI Модель OSI (ЕМВВС) (базова еталонна модель взаємодії відкритих систем, англ. Open Systems Interconnection Basic Reference Model, 1978 р.) — абстрактна мережева модель для комунікацій і розробки мережевих протоколів. Представляє рівневий підхід до мережі. Кожен рівень обслуговує свою частину процесу взаємодії. Завдяки такій структурі спільна робота мережевого обладнання й програмного забезпечення стає набагато простішою, прозорішою й зрозумілішою. В 1978 році Міжнародний комітет зі стандартизації (ISO) розробив стандарт архітектури ISO 7498 для об'єднання різних мереж. У розробці брало участь 7 комітетів, кожному з них був відведений свій рівень. В 1980 році IEEE опублікував специфікацію 802, що детально описала механізми взаємодії фізичних пристроїв на канальному й фізичному рівнях моделі OSI. В 1984 році специфікацію моделі OSI переглянули й прийняли як міжнародний стандарт для мережних комунікацій. Модель складається з 7-ми рівнів, розташованих вертика...
Докладніше

Мережева безпека

Зображення
Безпека мережі (Network security) — заходи, які захищають інформаційну мережу від несанкціонованого доступу, випадкового або навмисного втручання в роботу мережі або спроб руйнування її компонентів. Безпека інформаційної мережі включає захист обладнання, програмного забезпечення, даних і персоналу. Мережева безпека складається з положень і політики, прийнятої адміністратором мережі, щоб запобігти і контролювати несанкціонований доступ, неправильне використання, зміни або відмови в комп'ютерній мережі та мережі доступних ресурсів. Мережева безпека включає в себе дозвіл на доступ до даних в мережі, який надається адміністратором мережі. Користувачі вибирають або їм призначаються ID і пароль або інші перевірки автентичності інформації, що дозволяє їм здійснити доступ до інформації і програм у рамках своїх повноважень. Мережева безпека охоплює різні комп'ютерні мережі, як державні, так і приватні, які використовуються в повсякденних робочих місцях для здійснення угод і зв...
Докладніше