Сетевые брандмауэры: защита данных с помощью DMZ

Эдвард Тец

Для компьютерных сетей демилитаризованная зона (DMZ) - это область, в которой вы разместили серверы, к которым нужен доступ широкой публике или, по крайней мере, людям за пределами вашей сети. В мире, не относящемся к компьютерам, демилитаризованная зона - это зона, которую две противостоящие вооруженные силы объявили буферной зоной между собой. Обе стороны соглашаются, что они не будут находиться в этой зоне.

Серверы DMZ размещаются за пределами вашей сети и могут иметь возможность общаться с вашим внутренним сервером. Хотя серверы размещены за пределами вашей сети, они не являются полностью незащищенными; они все еще находятся за брандмауэром в конфигурации, аналогичной одному из вариантов, показанных на рисунке.



Сегмент DMZ может быть установлен рядом с вашим текущим межсетевым экраном или может быть реальной зоной между вашей сетью и общедоступной сетью. Любой из этих вариантов является допустимым вариантом DMZ, каждый из которых предлагает компромисс между простотой настройки и безопасностью.

image0.jpg

Так же, как и при создании DMZ, некоторые компании изолировали свои серверы в отдельном сегменте сети, и этот сегмент защищен межсетевым экраном.

В этом сценарии у них есть DMZ, защищающая их общедоступные серверы, их пользователей за DMZ с защитой от другого брандмауэра, а затем их серверы, защищенные от своих пользователей за еще одним брандмауэром.

Этот сценарий означает, что если атака или вирус получит доступ к пользовательской сети, он также не получит немедленного доступа к серверам. Хотя такая установка может показаться немного параноидной, она является очень безопасно.