Межсетевой экран FireWall-1

Нужно ли планировать демилитаризованную зону сети (DMZ)?


DMZ (De-Militarized Zone) - это специальная защищенная часть сети, подключенная непосредственно к устройству разграничения доступа. Обычно это сеть, связанная с дополнительным сетевым интерфейсом на компьютере, - шлюзе с запушенным на нем приложением безопасности. Использование такого решения обеспечивает прохождение любого трафика DMZ через устройство разграничения доступа и контроля, что позволяет реализовать необходимые методы защиты, направленные против атак взломщиков.

Без DMZ, располагая серверы публичного доступа в защищаемой сети, мы подвергаем всю сеть потенциальной опасности: взломщики могут воспользоваться особенностями программного обеспечения сервера, получить доступ к нему, а затем и ко всей сети.

Заметим, что доступ взломщика к ресурсам внутренней сети не будут детектироваться firewall, так как доступ осуществляется в пределах защищенной сети.

При расположении же серверов публичного доступа в DMZ такие случаи будут детектироваться и пресекаться потому, что доступ из DMZ во внутреннюю сеть контролируется firewall. Таким образом, такой подход позволяет создавать наиболее безопасные конфигурации.

© ООО , 1998



Содержание раздела