Theo tôi hiểu, bằng cách sử dụng DMZ, bạn hiển thị tất cả các cổng của máy tính chủ với Internet. Cái đó tốt cho cái gì?
Theo tôi hiểu, bằng cách sử dụng DMZ, bạn hiển thị tất cả các cổng của máy tính chủ với Internet. Cái đó tốt cho cái gì?
Câu trả lời:
DMZ là tốt nếu bạn muốn chạy một máy chủ gia đình có thể được truy cập từ bên ngoài mạng gia đình của bạn (ví dụ: máy chủ web, ssh, vnc hoặc giao thức truy cập từ xa khác). Thông thường, bạn sẽ muốn chạy tường lửa trên máy chủ để đảm bảo chỉ các cổng được mong muốn cụ thể mới được phép truy cập từ các máy tính công cộng.
Một cách khác để sử dụng DMZ là thiết lập chuyển tiếp cổng. Với chuyển tiếp cổng, bạn chỉ có thể cho phép các cổng cụ thể thông qua bộ định tuyến của mình và bạn cũng có thể chỉ định một số cổng đi đến các máy khác nhau nếu bạn có nhiều máy chủ chạy phía sau bộ định tuyến.
Hãy cẩn thận. DMZ trong môi trường doanh nghiệp / chuyên nghiệp (với tường lửa cao cấp) không giống với bộ định tuyến không dây gia đình (hoặc bộ định tuyến NAT khác để sử dụng tại nhà). Bạn có thể phải sử dụng bộ định tuyến NAT thứ hai để có được bảo mật dự kiến (xem bài viết bên dưới).
Trong tập 3 của podcast Security Now của Leo Laporte và chuyên gia bảo mật Steve Gibson, chủ đề này đã được nói đến. Trong bảng điểm, hãy xem gần "vấn đề thực sự thú vị bởi vì đó được gọi là" DMZ ", Khu phi quân sự, như được gọi trên các bộ định tuyến."
Từ Steve Gibson, http://www.grc.com/nat/nat.htm :
"Như bạn có thể tưởng tượng, máy" DMZ "của bộ định tuyến và thậm chí cả máy" chuyển tiếp cổng "cần phải có bảo mật đáng kể hoặc nó sẽ được thu thập bằng nấm Internet ngay lập tức. Đó là vấn đề LỚN từ quan điểm bảo mật. Tại sao ?. .. bộ định tuyến NAT có bộ chuyển mạch Ethernet tiêu chuẩn kết nối TẤT CẢ các cổng phía LAN của nó. Không có gì "riêng biệt" về cổng lưu trữ máy "DMZ" đặc biệt. Nó nằm trên mạng LAN bên trong! Điều này có nghĩa là mọi thứ có thể bò vào nó thông qua một cổng bộ định tuyến được chuyển tiếp, hoặc do nó là máy chủ DMZ, có quyền truy cập vào mọi máy khác trên mạng LAN riêng bên trong. (Điều đó thực sự tồi tệ.) "
Trong bài viết cũng có một giải pháp cho vấn đề này liên quan đến việc sử dụng bộ định tuyến NAT thứ hai. Có một số sơ đồ thực sự tốt để minh họa vấn đề và giải pháp.
block all traffic from #4 to #1,#2,#3không thể chuyển đổi với công tắc L2.
Một DMZ hoặc "vùng de-quân sự hóa" là nơi bạn có thể thiết lập máy chủ hoặc các thiết bị khác mà cần phải được truy cập từ bên ngoài mạng của bạn.
Những gì thuộc về? Máy chủ web, máy chủ proxy, máy chủ thư, v.v.
Trong một mạng, các máy chủ dễ bị tấn công nhất là các máy chủ cung cấp dịch vụ cho người dùng bên ngoài mạng LAN, chẳng hạn như e-mail, web và máy chủ DNS. Do tiềm năng gia tăng của các máy chủ này bị xâm phạm, chúng được đặt vào mạng con riêng của chúng để bảo vệ phần còn lại của mạng nếu kẻ xâm nhập thành công. Các máy chủ trong DMZ có kết nối hạn chế với các máy chủ cụ thể trong mạng nội bộ, mặc dù giao tiếp với các máy chủ khác trong DMZ và với mạng bên ngoài được cho phép. Điều này cho phép các máy chủ trong DMZ cung cấp dịch vụ cho cả mạng bên trong và bên ngoài, trong khi tường lửa can thiệp sẽ kiểm soát lưu lượng giữa các máy chủ DMZ và máy khách mạng bên trong.
Trong các mạng máy tính, DMZ (vùng phi quân sự), đôi khi còn được gọi là mạng chu vi hoặc mạng con được sàng lọc, là mạng con vật lý hoặc logic tách biệt mạng cục bộ nội bộ (LAN) khỏi các mạng không tin cậy khác, thường là internet. Các máy chủ, tài nguyên và dịch vụ đối diện bên ngoài được đặt trong DMZ. Vì vậy, chúng có thể truy cập từ internet, nhưng phần còn lại của mạng LAN nội bộ vẫn không thể truy cập được. Điều này cung cấp một lớp bảo mật bổ sung cho mạng LAN vì nó hạn chế khả năng tin tặc truy cập trực tiếp vào máy chủ và dữ liệu nội bộ qua internet.