Kas ir DMZ un kā to konfigurēt savā tīklā?

Ko nozīmē "DMZ"? DMZ nozīmē demilitarizēto zonu, bet tas faktiski nozīmē dažādas lietas dažādās sfērās.

Reālajā pasaulē DMZ ir zemes josla, kas kalpo kā demarkācijas punkts starp Ziemeļkoreju un Dienvidkoreju. Bet, kas attiecas uz tehnoloģijām, DMZ ir loģiski nošķirts apakštīkls, kas parasti satur tīkla ārēji mitinātus, ar internetu vērstus pakalpojumus. Kāds tad īsti ir DMZ mērķis? Kā tas tevi aizsargā? Un vai jūs varat to iestatīt savā maršrutētājā?

Kāds ir DMZ mērķis?

DMZ darbojas kā vairogs starp neuzticamo internetu un jūsu iekšējo tīklu.

Izolējot visneaizsargātākos, uz lietotājiem vērstos pakalpojumus, piemēram, e-pastu, tīmekli un DNS serverus viņu iekšienē loģiskā apakštīkla gadījumā pārējo iekšējo tīklu vai lokālo tīklu (LAN) var aizsargāt a kompromiss.

Saimniekiem DMZ iekšienē ir ierobežota savienojamība ar galveno iekšējo tīklu, jo tie atrodas aiz iejaukšanās ugunsmūra, kas kontrolē satiksmes plūsmu starp abiem tīkla punktiem. Tomēr daži sakari ir atļauti, lai DMZ mitinātāji varētu piedāvāt pakalpojumus gan iekšējam, gan ārējam tīklam.

Saistīts: Kāda ir atšķirība starp LAN un WAN?

DMZ galvenais priekšnoteikums ir uzturēt to pieejamu no interneta, vienlaikus atstājot pārējo iekšējo LAN neskartu un nepieejamu ārpasaulei. Šis papildu drošības slānis neļauj draudu dalībniekiem tieši iefiltrēties jūsu tīklā.

Kādi pakalpojumi tiek pievienoti DMZ?

Vienkāršākais veids, kā saprast DMZ konfigurāciju, ir domāt par maršrutētāju. Maršrutētājiem parasti ir divas saskarnes:

1. Iekšējā saskarne: Šis ir jūsu interfeiss, kas nav vērsts uz internetu, un tajā ir jūsu privātie mitinātāji.
2. Ārējā saskarne: Šī ir saskarne, kas vērsta uz internetu, kurai ir jūsu augšējā saite un mijiedarbība ar ārpasauli.

Lai ieviestu DMZ tīklu, jums vienkārši jāpievieno trešais interfeiss, kas pazīstams kā DMZ. Pēc tam DMZ saskarnē tiek savienoti visi resursdatori, kuriem var piekļūt tieši no interneta vai kuriem nepieciešama regulāra saziņa ar ārpasauli.

Standarta pakalpojumi, kurus var ievietot DMZ, ietver e-pasta serverus, FTP serverus, tīmekļa serverus un VOIP serverus utt.

Pirms pakalpojumu migrēšanas uz DMZ ir rūpīgi jāapsver jūsu organizācijas vispārējā datora drošības politika un jāveic resursu analīze.

Vai DMZ var ieviest mājas vai bezvadu tīklā?

Jūs, iespējams, pamanījāt, ka lielākā daļa mājas maršrutētāju piemin DMZ resursdatoru. Šī vārda patiesajā nozīmē tas nav īsts DMZ. Iemesls ir tāds, ka mājas tīklā esošais DMZ ir vienkārši iekšējā tīkla resursdators, kurā ir redzami visi porti, izņemot tos, kas netiek pārsūtīti.

Lielākā daļa tīkla ekspertu piesardzīgi izvēlas konfigurēt DMZ resursdatoru mājas tīklam. Tas ir tāpēc, ka DMZ resursdators ir tas punkts starp iekšējo un ārējo tīklu, kuram netiek piešķirtas tādas pašas ugunsmūra privilēģijas, kādas ir citām iekšējā tīkla ierīcēm.

Arī mājas DMZ resursdators joprojām saglabā iespēju izveidot savienojumu ar visiem iekšējā tīkla saimniekiem, kuri tas neattiecas uz komerciālām DMZ konfigurācijām, kur šie savienojumi tiek veikti, izmantojot atdalīšanu ugunsmūri.

Iekšējā tīkla DMZ resursdators var nodrošināt nepatiesu drošības sajūtu, ja patiesībā to vienkārši izmanto kā metodi, kā ostas tieši pārsūtīt uz citu ugunsmūri vai NAT ierīci.

DMZ konfigurēšana mājas tīklam ir nepieciešama tikai tad, ja noteiktām lietojumprogrammām nepieciešama pastāvīga piekļuve internetam. Lai gan to var panākt, pārsūtot ostas vai izveidojot virtuālus serverus, dažkārt, ja tiek risināts liels ostu numuru daudzums, tas kļūst nepraktiski. Šādos gadījumos DMZ resursdatora iestatīšana ir loģisks risinājums.

DMZ vienotā un dubultā ugunsmūra modelis

DMZ iestatījumus var veikt dažādos veidos. Divas visbiežāk izmantotās metodes ir pazīstamas kā trīs kāju (viena ugunsmūra) tīkls un tīkls ar diviem ugunsmūriem.

Atkarībā no jūsu prasībām varat izvēlēties kādu no šīm arhitektūrām.

Trīs kāju vai viena ugunsmūra metode

Šim modelim ir trīs saskarnes. Pirmais interfeiss ir ārējais tīkls no ISP līdz ugunsmūrim, otrais ir jūsu iekšējais tīkls, un, visbeidzot, trešais interfeiss ir DMZ tīkls, kas satur dažādus serverus.

Šīs iestatīšanas trūkums ir tāds, ka viena un vienīgā ugunsmūra izmantošana ir vienots kļūmes punkts visā tīklā. Ja ugunsmūris tiks apdraudēts, samazināsies arī viss DMZ. Arī ugunsmūrim jāspēj apstrādāt visu ienākošo un izejošo trafiku gan DMZ, gan iekšējā tīklā.

Divkāršā ugunsmūra metode

Kā norāda nosaukums, šī iestatījuma izveidošanai tiek izmantoti divi ugunsmūri, padarot to drošāku no abām metodēm. Konfigurēts priekšgala ugunsmūris, kas ļauj satiksmei pāriet tikai uz un no DMZ. Otrais vai aizmugures ugunsmūris ir konfigurēts, lai pēc tam nodotu trafiku no DMZ uz iekšējo tīklu.

Papildu ugunsmūra izmantošana samazina iespēju, ka kompromisa gadījumā viss tīkls var tikt ietekmēts.

Tas, protams, nāk ar augstāku cenu, taču nodrošina atlaišanu gadījumā, ja aktīvā ugunsmūris neizdodas. Dažas organizācijas arī nodrošina, ka abus ugunsmūrus izgatavo dažādi pārdevēji, lai radītu vairāk šķēršļu uzbrucējiem, kuri vēlas uzlauzt tīklu.

Kā iestatīt DMZ mājas maršrutētājā

Vienkāršākais un ātrākais veids, kā izveidot mājas DMZ tīklu, ir trīs kāju modelis. Katra saskarne tiks piešķirta kā iekšējais tīkls, DMZ tīkls un ārējais tīkls. Visbeidzot, četru ostu Ethernet karte ugunsmūrī pabeigs šo iestatīšanu.

Šajās darbībās būs aprakstīts, kā iestatīt DMZ mājas maršrutētājā. Ņemiet vērā, ka šīs darbības būs līdzīgas lielākajai daļai galveno maršrutētāju, piemēram, Linksys, Netgear, Belkin un D-Link:

1. Pievienojiet datoru maršrutētājam, izmantojot Ethernet kabeli.
2. Dodieties uz sava datora tīmekļa pārlūkprogrammu un adreses rīkjoslā ierakstiet maršrutētāja IP adresi. Parasti maršrutētāja adrese ir 192.168.1.1. Nospiediet taustiņu "Enter" vai atgriezties.
3. Tiks parādīts pieprasījums ievadīt administratora paroli. Ievadiet savu paroli, kuru izveidojāt maršrutētāja iestatīšanas laikā. Noklusējuma parole daudziem maršrutētājiem ir “admin”.
4. Atlasiet cilni "Drošība", kas atrodas maršrutētāja tīmekļa saskarnes augšējā augšējā stūrī.
5. Ritiniet līdz apakšai un atlasiet nolaižamo lodziņu, kas apzīmēts kā “DMZ”. Tagad izvēlieties iespējot izvēlnes opcija.
6. Ievadiet mērķa datora resursdatora IP adresi. Tas var būt kaut kas līdzīgs attālajam galddatoram, tīmekļa serverim vai jebkurai ierīcei, kurai nepieciešams piekļūt internetam. Piezīme: IP adresei, kurā pārsūtāt tīkla trafiku, jābūt statiskai, jo dinamiski piešķirta IP adrese mainīsies katru reizi, kad restartēsit datoru.
7. Atlasiet Saglabāt iestatījumus un aizveriet maršrutētāja konsoli.

Saistīts: Kā atrast maršrutētāja IP adresi

Aizsargājiet savus datus un konfigurējiet DMZ

Gudri patērētāji pirms piekļuves ārējiem tīkliem vienmēr aizsargā savus maršrutētājus un tīklus no iebrucējiem. DMZ var nodrošināt papildu drošības līmeni starp jūsu dārgajiem datiem un potenciālajiem hakeriem.

Vismaz, izmantojot DMZ un izmantojot vienkāršus padomus maršrutētāju drošībai, draudu dalībniekiem var būt ļoti grūti iekļūt jūsu tīklā. Un jo grūtāk uzbrucējiem ir sasniegt jūsu datus, jo labāk tas ir jums!

7 vienkārši padomi maršrutētāja un Wi-Fi tīkla drošībai minūtēs

Izpildiet šos padomus, lai aizsargātu mājas maršrutētāju un novērstu cilvēku iebrukumu jūsu tīklā.

Par autoru