Демилитаризованная зона – это сегмент сети, отделенный от других сетей. Многие организации используют их для отделения своих локальных сетей (LAN) от Интернета. Это создает дополнительную безопасность между их корпоративной сетью и общедоступным Интернетом. Она также может использоваться для отделения одной конкретной машины от остальной сети, перемещая её за пределы защиты брандмауэра.
Общие элементы, размещенные в демилитаризованной зоне, являются общедоступными серверами. Например, если организация поддерживает свой веб-сайт на сервере, этот веб-сервер может быть размещен в компьютерной “демилитаризованной зоне”. Таким образом, если вредоносная атака когда-либо компрометирует машину, остальная часть сети компании остается в безопасности. Кто-то также может поместить компьютер в демилитаризованную зону вне сети, чтобы проверить наличие проблем с подключением, создаваемых брандмауэром, защищающим остальную часть системы.
Настройка и функциональность маршрутизатора
При подключении локальной сети к интернету маршрутизатор обеспечивает физическое подключение к общедоступному Интернету, а программное обеспечение брандмауэра предлагает шлюз для предотвращения проникновения вредоносных данных в сеть. Один порт на брандмауэре часто подключается к сети с помощью внутреннего адреса, позволяя трафику, отправляемому отдельными лицами, достигать Интернета. Другой порт обычно настраивается с публичным адресом, который позволяет интернет-трафику достигать системы. Эти два порта позволяют передавать входящие и исходящие данные между сетью и интернетом.
Назначение демилитаризованной зоны
При создании демилитаризованной зоны организация добавляет ещё один сегмент сети или подсеть, которая все еще является частью системы, но не подключена непосредственно к сети. Добавление DMZ использует третий интерфейсный порт в брандмауэре. Эта конфигурация позволяет брандмауэру обмениваться данными как с общей сетью, так и с изолированной машиной с помощью преобразования сетевых адресов (NAT). Брандмауэр обычно не защищает изолированную систему, позволяя ей подключаться непосредственно к Интернету.
Функциональность NAT
Преобразование сетевых адресов позволяет маршрутизировать данные, полученные на определенном порту или интерфейсе, в заданную сеть. Например, когда кто-то посещает веб-сайт организации, браузер отправляется на сервер, на котором размещен сайт. Если эта организация держит свой веб-сервер в DMZ, брандмауэр знает, что весь трафик, отправляемый на адрес, связанный с их веб-сайтом, должен передаваться на сервер, находящийся в DMZ, а не непосредственно во внутреннюю сеть организации.
Недостатки и другие методы
Поскольку компьютер DMZ находится вне защиты брандмауэра, он может быть уязвим для атак вредоносных программ или хакеров. Компании и частные лица не должны хранить конфиденциальные данные в системах такого типа и знать, что такая машина потенциально может быть повреждена и “атаковать” остальную часть сети. Многие сетевые специалисты рекомендуют “переадресацию портов” для людей, испытывающих проблемы с сетью или подключением. Это обеспечивает конкретный, целевой доступ к определенным сетевым портам, не открывая систему полностью.