Từ quan điểm bảo mật, những lợi ích của việc sử dụng toàn bộ việc thiết lập DMZ tại nhà là gì nếu bạn có kế hoạch điều hành một trang web có lưu lượng truy cập thấp (không phổ biến) từ đó?
Có một số máy tính trong nhà trên cùng một mạng Windows, nhưng tất cả lưu lượng HTTP & SSL được chuyển hướng đến một máy cụ thể trên mạng đó. Có cần phải thiết lập máy này trong một số loại DMZ để tăng cường bảo mật không?
Câu trả lời:
Đúng. Bất kỳ lưu lượng truy cập đến từ internet không phải là phản hồi cho yêu cầu từ một trong các máy tính của bạn đều bị nghi ngờ. Có nhiều kịch bản mà trang web của bạn có thể bị xâm phạm và điều đó có thể dẫn đến việc ai đó có quyền truy cập vào mạng nội bộ.
Bây giờ, một thực tế đáng tiếc là hầu hết các bộ định tuyến gia đình thương mại không có khả năng thiết lập DMZ phù hợp. Chúng có thể cho phép bạn đặt IP DMZ mà tất cả lưu lượng truy cập bên ngoài được định tuyến đến. Điều này không cho phép phân tách mà DMZ nên cung cấp. Để có DMZ chức năng, Các máy tính trong DMZ cần phải ở một dải IP hoặc mạng con khác với mạng chính và nằm trên một cổng khác trên bộ định tuyến chỉ hỗ trợ Dải IP DMZ. Kết quả cuối cùng của DMZ được cấu hình đúng là các hệ thống trong DMZ không thể truy cập trực tiếp IP trên mạng chính.
Ngoài ra, hãy đảm bảo rằng bộ định tuyến của bạn không coi DMZ là nội bộ cho mục đích quản trị. Vì vậy, nó không nên tin tưởng lưu lượng truy cập từ DMZ hơn là nó tin tưởng lưu lượng truy cập từ internet và bạn không thể truy cập vào giao diện quản trị cho bộ định tuyến từ bất kỳ hệ thống nào trên DMZ. Đây thường là vấn đề với các giải pháp "hai bộ định tuyến" được đề xuất bởi những người khác. Bộ định tuyến bên ngoài vẫn coi các hệ thống trong DMZ là nội bộ và đáng tin cậy. Bộ định tuyến bên ngoài này có thể bị xâm phạm và tất cả lưu lượng truy cập nội bộ vẫn cần phải đi qua nó để truy cập internet.
Nếu bạn đã chuyển tiếp các dịch vụ cụ thể (HTTP & SSL) mà bạn muốn cung cấp, việc sử dụng duy nhất cho DMZ sẽ là hạn chế thiệt hại nếu máy đó bị xâm phạm (giả sử, thông qua một cgi được viết kém ). Quyết định khô héo để làm điều này nên dựa trên mức độ thiệt hại sẽ gây ra - nếu không có máy nào khác trên mạng, thì đó không phải là vấn đề lớn, nhưng nếu có một NAS nội bộ không bảo đảm với tất cả hồ sơ tài chính cá nhân của bạn trên đó, bạn có thể muốn có một lớp bảo mật nội bộ bổ sung, vâng.
Tôi vẫn sẽ làm vì nó tương đối dễ làm như vậy. Nếu bạn có hai bộ định tuyến băng thông rộng, bạn có thể thiết lập chúng thẳng hàng với các không gian địa chỉ IP riêng khác nhau (chẳng hạn như 192.168.100.1-254 và 192.168.200.1-254). Treo máy chủ web ra khỏi máy chủ đầu tiên, được kết nối trực tiếp với Internet. Sử dụng chuyển tiếp cổng để trực tiếp đến máy chủ web của bạn. Đặt tất cả các hệ thống của bạn sẽ nằm trong mạng riêng của bạn đằng sau bộ định tuyến băng thông rộng thứ hai. Theo cách đó, nếu máy chủ web bị xâm phạm vì một số lý do, họ sẽ phải thông qua bộ định tuyến băng thông rộng thứ hai đó để vào các hệ thống khác của bạn.
Hầu hết các mạng gia đình không có đủ không gian địa chỉ IP công cộng để thiết lập DMZ hiệu quả. Quan điểm của DMZ thường là đặt lớp trình bày ở đó giống như máy chủ web và sau đó giữ máy chủ cơ sở dữ liệu phía sau tường lửa chỉ cho phép máy trong DMZ nói chuyện với máy chủ cơ sở dữ liệu qua cổng và giao thức được chỉ định. Nó không tăng tính bảo mật nhưng đối với thiết lập tại nhà trừ khi bạn phục vụ các ứng dụng N-tier cho vay với DMZ, điều đó không có ý nghĩa gì nhiều.