Kysymys:
Mikä on DMZ: n todellinen toiminta ja käyttö verkossa?
Naftuli Kay
2011-05-08 23:53:22 UTC
view on stackexchange narkive permalink

Luin Wikipedian artikkelin, jossa kuvataan, mikä DMZ (demilitarisoitu vyöhyke) on verkossa, mutta en edelleenkään ymmärrä, miten se on määritetty (ts. onko se pääverkossa) tai erotettu?) ja mitkä ovat sen edut ja käyttötarkoitukset. Voisiko kukaan selittää minulle, miksi haluaisin käyttää DMZ: tä verkossani seuraavalla asetuksella:

  1. Minulla on verkossa noin 10 asiakastietokoneita, joista osa isännöi SSH: ta.
  2. Minulla on yksi palvelin, joka isännöi SSH: ta, HTTP: tä ja muutamia muita julkisesti saatavilla olevia palveluita.

Kuinka liitän tämän tietyn käyttötapauksen DMZ, ja mitä hyötyä siitä olisi?

Useat DMZ: t voisivat erottaa käyttäjät erillisistä porteista ?? Tai on parempi käyttää VLAN-verkkoja? Kumpi käyttää, jos joku haluaa erottaa lähiverkon tietokoneet toisistaan, mutta silti antaa pääsyn Internetiin (erillisten porttien asiakkaille)?
Kolme vastused:
#1
+64
john
2011-05-09 05:58:06 UTC
view on stackexchange narkive permalink

Syyt miksi haluat DMZ: n ja sen tarjoamat edut. Yleinen ajatus on, että laitat julkiset palvelimesi "DMZ-verkkoon", jotta voit erottaa ne yksityisistä, luotetuista Käyttötapaus on, että koska palvelimellasi on julkiset kasvot, se voidaan juurttaa etänä. Jos näin tapahtuu, ja haitallinen osapuoli saa pääsyn palvelimellesi, hänen tulee olla eristetty DMZ-verkossa eikä hänellä saa olla suoraa pääsyä yksityisiin isäntiin (tai esimerkiksi tietokantapalvelimeen, joka olisi sisällä yksityisessä verkossa eikä DMZ: ssä).

Kuinka se tehdään: On olemassa useita tapoja, mutta 'kirjan esimerkki' on käyttämällä kahta palomuuria (tietysti voit saavuttaa saman tuloksen yhdellä palomuurilla ja älykäs kokoonpano, vaikka laitteiston eristäminen on mukavampaa). Pääpalomuuri on Internetin ja palvelimen välillä ja toinen palomuuri palvelimen ja yksityisen verkon välillä. Tässä toisessa palomuurissa kaikki pääsy palvelimelta yksityisverkkoon olisi mieluiten kielletty (tietysti se olisi tilava palomuuri, joten jos aloitat yhteyden yksityisestä verkosta palvelimeen, se toimisi).

Joten, tämä on melko korkean tason yleiskatsaus DMZ: stä. Jos haluat lisätietoja teknisistä tiedoista, muokkaa kysymystäsi vastaavasti.

Nopea kysymys! Voisiko DMZ-virtuaalikone olla teknisesti olemassa ilman JULKISTA IP-osoitetta? vai onko tällä kysymyksellä mitään järkeä (esim. jos siitä ei tule DMZ-konetta, ellei sillä ole julkista IP-osoitetta jne.)
Ehdottomasti järkevää ja erittäin yleistä. Esimerkiksi Web-palvelimesi DMZ: ssä olisi tietokanta julkisesti saatavilla olevassa DMZ: ssä. Mutta tämä tietokanta olisi suojattu julkisilta etäyhteyksiltä, ​​ja vain luotetun yksityisen verkon ihmiset pääsivät tietokantaan.
#2
+21
George
2011-05-09 13:01:37 UTC
view on stackexchange narkive permalink

Voin tietysti vain lisätä Johnin vastaukseen ja tässä se on:

Erotat DMZ: n muusta verkosta sekä IP-reitityksen että suojauskäytännön kannalta.

  1. Tunnistat verkkoalueesi. Sisäinen: kriittiset järjestelmät; DMZ: järjestelmät, joihin sinulla on varaa olla "alttiina", järjestelmät, jotka haluat isännöidä palveluita ulkomaailmaan, esim. SSH-isäntänne; Ulkoinen: muu maailma.

  2. Määrität nämä erilliset alueet verkkoarkkitehtuuriin.

  3. Palomuurisi / reitittimesi on määritetty sallimaan suorat yhteydet. ulkomaailmasta vain DMZ: ään. Vastaavasti sisäisten järjestelmiesi tulisi voida muodostaa yhteys vain DMZ: ään ja käyttää ulkomaailmaa HTTP: n, sovellusten välityspalvelinten, postireleiden jne. Kautta. Palomuurisääntöjen tulisi heijastaa näitä päätöksiä estämällä vastaavat liikennesuunnat / IP: t / portit: esim. sisäänpäin sallia vain DMZ: ssä jne. toimivien palvelujen portit.

  4. Ihannetapauksessa sinun on määritettävä, että kaikki verkkoalueiden (sisäinen, DMZ, ulkoinen) välinen tiedonvaihto aloitetaan eniten suojattu verkkosegmentti vähemmän turvallisiin alueisiin, esim Jos sinun on siirrettävä tiedostoja "sisäisiin" isäntiin, sisäiset järjestelmät aloittavat siirron (niillä on asiakasrooli eikä palvelinrooli).

#3
+1
user49828
2017-08-23 11:42:10 UTC
view on stackexchange narkive permalink

PC-verkoissa vyöhyke (demilitarisoitu vyöhyke) voi olla fyysinen tai looginen aliverkko, joka erottaa sisäisen natiivin avaruusverkon (LAN) erilaisista epäluotettavista verkoista, joskus verkosta. Ulkopuoliset palvelimet, resurssit ja palvelut sijoitetaan vyöhykkeelle siten, että niihin pääsee verkosta, mutta loput sisäisestä tietokoneverkosta ovat saavuttamatta. Tämä tarjoaa ylimääräisen suojaustason tietokoneverkolle, koska se rajoittaa hakkereiden valtaa käyttää sisäisiä palvelimia ja tietoja suoraan verkon kautta.

Tämä ei lisää mitään olemassa oleviin vastauksiin.


Tämä Q & A käännettiin automaattisesti englanniksi.Alkuperäinen sisältö on saatavilla stackexchange-palvelussa, jota kiitämme cc by-sa 3.0-lisenssistä, jolla sitä jaetaan.
Loading...