Sự khác biệt giữa extranet và DMZ [đã đóng]

Bây giờ tôi đã đọc về mạng nội bộ, extranet, DMZ và VPN và tôi cần một số giải thích liên quan đến extranet và DMZ. Tôi hiểu rằng chúng là các loại khái niệm khác nhau - extranet cho phép truy cập hạn chế vào một số tài nguyên mạng nội bộ, trong khi DMZ là mạng con nằm giữa internet và mạng nội bộ và lưu trữ các dịch vụ phải đối mặt bên ngoài. Tuy nhiên, tôi muốn biết sự khác biệt của chúng trong thực tế trong một thiết lập thông thường là gì? Các bài viết Wikipedia trên Extranet nói rằng Extranet cũng tương tự như DMZs vì chúng được sử dụng với mục đích tương tự (cung cấp quyền truy cập vào một số dịch vụ / nguồn lực mà không lộ toàn bộ mạng nội bộ). Bài báo cũng nói rằng extranet là một phần của VPN và bài viết này của TechNetcũng nói rằng việc truy cập extranet thường được thực hiện tương tự như truy cập mạng nội bộ từ xa, ví dụ như với VPN. Bài báo của TechNet cũng nói rằng thường thì extranet được lưu trữ bên trong DMZ. Bài báo Pearson này nói rằng "Mặc dù [DMZ] được đặt kỹ thuật trong mạng nội bộ, [nó] cũng có thể đóng vai trò là extranet". Điều này hơi khó hiểu.

Hãy xem xét kịch bản này: Một công ty có một trang web B2C được lưu trữ trong DMZ. Trang web có thể được truy cập từ bất cứ đâu, nhưng yêu cầu xác thực người dùng. Ứng dụng web bên dưới có cơ sở dữ liệu bên trong mạng nội bộ và cũng tương tác với một số dịch vụ web được lưu trữ bên trong mạng nội bộ (tức là nó truy cập tài nguyên mạng nội bộ). Theo cách tôi thấy, trang web thực sự cung cấp quyền truy cập hạn chế vào mạng nội bộ. Nhưng nó có thể được coi là một extranet? Nếu chúng ta hiểu định nghĩa Wikipedia về một extranet theo nghĩa đen - "extranet là một mạng máy tính cho phép truy cập có kiểm soát từ bên ngoài mạng nội bộ của tổ chức" - tôi nghĩ nó có thể.

Hãy nói rằng những điều trên không thể được coi là một extranet. Điều gì sẽ xảy ra nếu chúng ta thay đổi kịch bản một chút và nói rằng đó là trang web B2B, trong đó quyền truy cập bị hạn chế đối với các kết nối đến từ một đối tác kinh doanh cụ thể (ví dụ: bằng cách sử dụng VPN tại chỗ). Trong trường hợp này, nó chắc chắn là một extranet, phải không? Nếu đây là trường hợp, thì sự khác biệt giữa các dịch vụ extranet và bất kỳ dịch vụ nào khác được lưu trữ trong DMZ chỉ đơn giản là hạn chế truy cập?

Đây là sự phân biệt học thuật. Trong thế giới thực, bạn sẽ tìm thấy một số kết hợp của tất cả các khái niệm đi theo các thuật ngữ khác nhau.

Trong một số tổ chức, DMZ có kết nối mạng ISP riêng và không có quyền truy cập vào tài nguyên nội bộ. Trong các tổ chức khác, có các máy tham gia miền trong DMZ có thể giao tiếp với một bộ máy nội bộ bị hạn chế. Đôi khi nội bộ và DMZ có tường lửa riêng. Đôi khi chúng có giao diện riêng trên cùng một tường lửa.

Điều quan trọng là phải biết tại sao ai đó nên sử dụng extranet hoặc DMZ, bởi vì đó là những khái niệm bảo mật quan trọng. Từ đó, bạn có thể đưa ra lựa chọn về cách cho phép truy cập vào một số tài nguyên nhất định. Những gì nó thực sự được gọi là không quan trọng. Trong một số trường hợp, nó là chia tóc.

Tôi không nghĩ rằng gần đây tôi đã nghe nói về một extranet bên ngoài sách giáo khoa và phòng học.

Một DMZ là một topo mạng chung với một phân đoạn mạng được tách biệt bởi tường lửa từ mạng nội bộ và bên ngoài không tin cậy mạng (hay còn gọi là internet ).

Ngược lại, Extranet , nếu nó thực sự được bao gồm trong thiết kế mạng, ngụ ý phần nào rằng nó được kết nối với VPN hoặc các mạng riêng thực tế thay vì toàn bộ internet lớn hơn.

Nhiều công ty có nhiều mạng DMZ và sẽ xem xét một mạng có cổng / bộ định tuyến VPN hoặc kết nối riêng chỉ là một DMZ khác.

Thông thường, một extranet là / không phải là một cấu trúc liên kết mạng nhiều hơn nhưng ngụ ý là một dịch vụ tách biệt với mạng nội bộ được cung cấp cho một tập hợp hạn chế của người dùng, công ty và mạng được xác thực, được biết đến và / hoặc xác thực.

Từ góc độ mạng, máy chủ web của bạn sẽ nằm trong mạng DMZ. Thực tế là trang web của bạn cho phép các đại lý của bạn đăng nhập, duyệt qua danh mục của bạn, xem cổ phiếu và đặt hàng, có nghĩa là trang web của bạn sẽ được các bộ phận tiếp thị gọi là extranet . Chi phí phát triển sẽ đi từ $$ đến $$$$.

Đối với tôi, tôi thực hiện điều này với chính sách bảo mật. Chúng tôi có chính sách bằng văn bản rằng không có hệ thống có thể truy cập công khai nào sẽ có quyền truy cập vào mạng nội bộ trừ khi được phép ngoại lệ cụ thể. Chúng tôi cũng có một chính sách rằng DMZ sẽ không có quyền truy cập vào mạng nội bộ của chúng tôi và extranet của chúng tôi cũng vậy. Ví dụ: chúng tôi có một máy chủ web với cơ sở dữ liệu phụ trợ phải đồng bộ hóa dữ liệu với cơ sở dữ liệu dựa trên mạng nội bộ. Chúng tôi đặt máy chủ web trên DMZ, cơ sở dữ liệu phụ trợ trên Extranet và nó đồng bộ với cơ sở dữ liệu mạng nội bộ sản xuất. Vì vậy, đối với xếp hạng tin cậy, mạng công cộng sẽ là 0, DMZ sẽ là 1, Extranet sẽ là 2 và mạng nội bộ sẽ là 3.