DMZ-nätverket måste finnas på DMZ-nätverket. Fyra bästa metoder för att skapa en DMZ (demilitariserad zon)

DMZ eller demilitariserad zon (DMZ)är en nätverkssäkerhetsteknik där servrar som svarar på förfrågningar från ett externt nätverk är placerade i ett speciellt nätverkssegment och har begränsad åtkomst till huvudnätverkssegmenten med brandvägg (brandvägg), för att minimera skador under hackning av en av tjänsterna som finns i zonen.

Konfiguration av en brandvägg

Schema med en brandvägg

I detta schema DMZ det interna nätverket och det externa nätverket är anslutna till olika portar på routern (fungerar som en brandvägg) som styr anslutningar mellan nätverk. Ett sådant schema är lätt att implementera och kräver endast en extra port. Men om routern är hackad (eller felkonfigurerad) exponeras nätverket direkt från det externa nätverket.

Dubbel brandväggskonfiguration

I konfiguration med 2 DMZ-brandväggar ansluter till två routrar, varav en begränsar anslutningar från det externa nätverket till DMZ, och den andra styr anslutningar från DMZ till det interna nätverket. Ett sådant schema låter dig minimera konsekvenserna av att hacka någon av de brandväggar eller servrar som interagerar med det externa nätverket - tills den interna brandväggen hackas kommer angriparen inte ha slumpmässig tillgång till det interna nätverket.

Tre brandväggar konfiguration

Det finns en sällsynt konfiguration med 3 brandväggar. I den här konfigurationen hanterar den första förfrågningar från det externa nätverket, den andra styr DMZ-nätverksanslutningarna och den tredje styr de interna nätverksanslutningarna. I en sådan konfiguration, vanligtvis DMZ och det interna nätverket är gömt bakom NAT (nätverksadressöversättning).

En av nyckelfunktionerna DMZ filtrerar inte bara trafik på den interna brandväggen, utan också kravet på obligatorisk stark kryptografi i interaktionen mellan den aktiva utrustningen i det interna nätverket och DMZ. I synnerhet bör det inte finnas några situationer där det är möjligt att behandla en begäran från servern i DMZ utan tillstånd. I händelse av att en DMZ används för att skydda information inuti perimetern från läckage från insidan, gäller liknande krav för att behandla användarförfrågningar från det interna nätverket.

Beskrivning

En demilitariserad zon eller DMZ är ett vitlistat nätverkssegment separerat av en brandvägg från Internet och organisationens lokala nätverk. DMZ innehåller vanligtvis servrar som måste vara tillgängliga från Internet, till exempel en e-post- eller webbserver. Eftersom servrarna i DMZ-nätverket är separerade från det lokala nätverket av en brandvägg, om de hackas, kommer en angripare inte att kunna komma åt resurserna i det lokala nätverket.

Miljö

Den demilitariserade zonen skapas i modulen "leverantörer och nätverk". När du skapar den måste du ange IP-adressen för Internet Control Server och DMZ-nätverksmasken, samt välja nätverksgränssnitt för DMZ. Av säkerhetsskäl används vanligtvis ett separat nätverksgränssnitt för DMZ.

Som standard har servrar som finns i DMZ inte tillgång till Internet och det lokala nätverket, så åtkomst för dem måste konfigureras av brandväggsregler.

Kryssrutan "NAT från lokala nätverk" låter dig kontrollera översättningen av lokala adresser till DMZ-nätverket. Den är inaktiverad som standard, dvs. NAT-tjänsten för DMZ-nätverksgränssnittet fungerar inte, adresserna översätts utan ändringar.

Viktigt: Egentligen är NAT för DMZ-nätverket på de externa gränssnitten för ICS inaktiverat, så "vita" ip-adresser måste användas för att adressera det. Det är vettigt att sätta upp ett DMZ-nätverk om du behöver styra åtkomst utifrån till en server på det lokala nätverket som har "vita" ip-adresser. I alla andra fall är ett vanligt lokalt nätverk konfigurerat.

Att förstå vad DMZ-teknik är i förhållande till routrar är ganska enkelt. Om ett paket kommer från det "externa" nätverket till IP-adressen för routern, det vill säga den "externa" IP:n, överförs det oförändrat till adressen för den lokala maskinen. Och - vice versa: alla paket du skickar, "utanför" ses som om det skickades från routerns IP. I det här fallet ändras värdet på adressen (det är korrekt att säga: "översatt") och värdet på porten (i IP-adressen: portpar) ändras inte. Det här är DMZ. Det är svårare att förstå varför DMZ finns på routern (det vill säga när det är nödvändigt att aktivera det, när det inte är det).

Egentligen behövs DMZ-tjänster av sådana program som ICQ, Skype och u-Torrent. Om datorn är ansluten "direkt" till leverantören (det vill säga utan router) behövs inte DMZ. Men om det finns en router behöver du bara ställa in allt (som det kommer att diskuteras), och det blir inga problem. DMZ-tekniken är väldigt enkel. Men för detta - du måste betala. En dator kan arbeta med den, den har bara en "statisk" IP-adress. Först och främst, låt oss ställa in det.

Datorinställningar

Gå till mappen "Nätverksanslutningar". Här letar vi efter "anslutning" med routern ("lokal nätverksanslutning", "trådlös anslutning"). Högerklicka, du öppnar "Egenskaper".

I "Egenskaper" för TCP / IP-protokollet (v4) måste du konfigurera det enligt följande:

Det vill säga, du vet adressen till webbgränssnittet - ange den sedan som en gateway, för en dator - kom upp med ett nummer (från 2 till 49), och lämna masken med den sista "0". I vårt exempel var routerns IP 192.168.0.1 (och vi kom fram till en IP för datorn: 192.168.0.13).

Klicka på "OK", detta slutför datorinstallationen för DMZ.

Lyrisk utvikning

Varje router har en DHCP-server. Den "distribuerar" till alla datorer deras IP-adresser (som 192.168.0.xx, i exemplet för en router med IP 192.168.0.1). Adressintervallet som utfärdas av DHCP kan ändras (standard är 100-200 eller 50-200). Allt som behövdes sägas har redan sagts. Det vill säga, det är möjligt att komma med en "statisk" port för en dator, men utan att ryckas med av stora värden. Och upp till "50" - kommer att räcka.

Inställningen görs på varje PC, det spelar ingen roll om den är ansluten till routern "via wi-fi" eller "via tråd". Detta görs på de datorer som kräver DMZ (resten kan lämnas på "auto"). Vid varje given tidpunkt, via DMZ, kan bara en dator på din "lokala" fungera (och vilken exakt är inställd i routerinställningarna).

Konfigurera en router

Vi går till fliken som ansvarar för DMZ. I olika routrar - namnet är olika, "Avancerat" -> "DMZ" eller "Avancerat" -> "Brandvägg-DMZ":

Poängen är att aktivera den här tjänsten (det vill säga, välj "Aktiverad" på "DMZ"). Och - ställ in IP-adressen för datorn som fungerar på DMZ. I vårt exempel: 192.168.0.13 (som vi kom på tidigare). Efter att ha tryckt på knappen "Apply" eller "Spara" med en omstart, fungerar DMZ-tjänsten.

Och vad nu?

Alla program som använder en anslutning till ett "externt" nätverk kommer att tro att det körs på en dator med en "extern" IP (utfärdad av din ISP). Vad - samma som om du anslutit ett PC-nätverkskort till "sladden" hos leverantören (utan några routrar).

Program som uTorrent och ICQ "gillar" det. Allt som fungerade tidigare (utan router) kommer att fungera. Samtidigt kommer DMZ-tjänsten att ge fler möjligheter för attacker från nätverket. Det är därför, på själva datorn, måste det finnas en brandvägg (brandvägg eller brandvägg). Men detta är en rekommendation.

Faktum är att DMZ inte är den mest bekväma tjänsten. Samma "funktionalitet" får du till exempel om du aktiverar UPNP-tjänsten. De flesta moderna program (ICQ version 6, ny u-Torrent) kan fungera via UPNP (innebörden är densamma), men PC-nätverkskort behöver inte konfigureras. Vad som är bättre, DMZ eller UPNP är upp till användaren att bestämma.

Ägare av Wi-Fi-routrar för hemmet kan ibland upptäcka att vissa program eller spel fungerar med begränsningar. I vissa fall rekommenderas det att använda vidarebefordran i routern. Det finns flera sätt att omdirigera, vart och ett med vissa fördelar och nackdelar. En av dessa är DMZ. I de flesta modeller av nätverksenheter finns det här objektet i parametrarna, men inte alla vet vad det är och vad de ska använda det till. Om du inte heller vet är den här informationen för dig.

De flesta vanliga användare har inte ens hört talas om DMZ-teknik

Vad är DMZ

Det är en fysisk eller virtuell server som fungerar som en buffert mellan det lokala nätverket och Internet. Den används för att förse användare av ett lokalt nätverk med e-posttjänster, fjärrservrar, webbapplikationer och andra program som kräver åtkomst till World Wide Web. För att komma åt interna resurser utifrån måste du gå igenom auktoriseringsproceduren, ett försök att logga in för obehöriga användare kommer inte att lyckas. I de flesta fall är detta en routerinställning.

Namnet kommer från den engelska förkortningen för den demilitariserade zonen som en barriär mellan krigförande territorier. Denna teknik används när du skapar en hemmaserver som måste nås från vilken dator som helst som är ansluten till Internet. En äkta DMZ används i stora företagsnätverk med en hög nivå av internt skydd. Hemmodeller av routrar öppnar helt datorn för att komma åt Internet.

När används DMZ?

Med tanke på datorns öppenhet anses metoden vara ganska farlig, så det är värt att använda den när andra omdirigeringsmetoder inte ger det önskade resultatet.

1. För applikationer som kräver öppning av alla tillgängliga portar. Det finns få av dem, men de förekommer.
2. Hosting för hemmaserver. Ibland behöver du vara värd för en offentlig resurs hemma, så den här inställningen kommer att vara oumbärlig för att separera servern från det lokala nätverket.
3. Användning av spelkonsoler I de flesta fall låter den automatiska inställningen av vidarebefordran av router dig använda konsoler för att spela online utan ytterligare manipulationer. Men i vissa fall kommer endast DMZ att ge önskad effekt.

Ställer in DMZ i routern

För att DMZ ska fungera framgångsrikt i ditt nätverk måste routerkonfigurationen göras korrekt. Det är absolut inte svårt. Logga in på inställningarna via webbgränssnittet. Vanligtvis anges IP-adressen, inloggnings- och inloggningslösenordet på själva routern eller i dess instruktioner. Beroende på tillverkare kan detta avsnitt finnas antingen på fliken "Internetinställningar" eller "Vidarebefordran".

1. Först och främst, i inställningarna för DHCP-servern, måste du tilldela en statisk, på vilken servern kommer att organiseras;
2. Efter det, på DMZ-fliken, aktivera "Aktivera" -objektet och lägg till den tilldelade IP-adressen, spara och starta om enheten;
3. Se till att alla enheter i nätverket har de senaste säkerhetsuppdateringarna, eftersom det är praktiskt att de är föremål för ytterligare risker.

Slutsats

Nu vet du vad en DMZ är och hur den är konfigurerad. Vanligtvis hemma är det praktiskt taget inte nödvändigt att använda det.

Använder du denna teknik på din router? Till vilken nytta? Vi inbjuder dig att lämna kommentarer.