Какво представлява DMZ и как да конфигурирате такъв във вашата мрежа?

Какво означава "DMZ"? DMZ означава Демилитаризирана зона, но това всъщност означава различни неща в различни сфери.

В реалния свят DMZ е ивица земя, която служи като точка за разграничаване между Северна и Южна Корея. Но що се отнася до технологиите, DMZ е логически разделена подмрежа, която обикновено съдържа външно хоствани услуги, насочени към интернет. И така, каква точно е целта на DMZ? Как ви защитава? И можете ли да настроите такъв на вашия рутер?

Каква е целта на DMZ?

DMZ действа като щит между ненадеждния интернет и вашата вътрешна мрежа.

Чрез изолиране на най-уязвимите, ориентирани към потребителя услуги като имейл, уеб и DNS сървъри в техните собствени логическа подмрежа, останалата част от вътрешната мрежа или локалната мрежа (LAN) могат да бъдат защитени в случай на компромис.

Хостовете в DMZ имат ограничена свързаност с основната вътрешна мрежа, тъй като са поставени зад междинна защитна стена, която контролира потока на трафика между двете мрежови точки. Въпреки това е разрешена известна комуникация, така че DMZ хостовете могат да предлагат услуги както на вътрешната, така и на външната мрежа.

Свързани: Каква е разликата между LAN и WAN?

Основната предпоставка зад DMZ е да го поддържате достъпен от интернет, като същевременно оставяте останалата част от вътрешната LAN непокътната и недостъпна за външния свят. Този добавен слой на защита предотвратява директното проникване на участниците в заплахата във вашата мрежа.

Какви услуги се добавят в DMZ?

Най-лесният начин да разберете DMZ конфигурацията е да помислите за рутер. Рутерите обикновено имат два интерфейса:

1. Вътрешен интерфейс: Това е вашият интерфейс, който не е насочен към интернет и има вашите частни хостове.
2. Външен интерфейс: Това е интерфейсът към интернет, който има връзката нагоре и взаимодействието с външния свят.

За да внедрите DMZ мрежа, просто добавяте трети интерфейс, известен като DMZ. Всички хостове, които са достъпни директно от интернет или изискват редовна комуникация с външния свят, след това се свързват чрез интерфейса DMZ.

Стандартните услуги, които могат да бъдат поставени в DMZ, включват имейл сървъри, FTP сървъри, уеб сървъри и VOIP сървъри и т.н.

Трябва да се обмисли внимателно общата политика за компютърна сигурност на вашата организация и да се извърши анализ на ресурсите преди мигриране на услуги към DMZ.

Може ли DMZ да се внедри в домашна или безжична мрежа?

Може би сте забелязали, че повечето домашни рутери споменават DMZ Host. В истинския смисъл на думата това не е истински DMZ. Причината е, че DMZ в домашна мрежа е просто хост във вътрешната мрежа, който има изложени всички портове освен тези, които не са препратени.

Повечето мрежови експерти предпазват от конфигуриране на DMZ хост за домашна мрежа. Това е така, защото DMZ хостът е точката между вътрешната и външната мрежа, на която не се предоставят същите привилегии на защитната стена, на която се ползват други устройства във вътрешната мрежа.

Също така домакин DMZ хост все още поддържа способността да се свързва с всички хостове във вътрешната мрежа, която не е случаят с търговските DMZ конфигурации, при които тези връзки се осъществяват чрез разделяне защитни стени.

DMZ хост във вътрешна мрежа може да осигури фалшиво чувство за сигурност, когато в действителност той просто се използва като метод за директно пренасочване на портове към друга защитна стена или NAT устройство.

Конфигурирането на DMZ за домашна мрежа е необходимо само ако определени приложения изискват постоянен достъп до интернет. Въпреки че това може да се постигне чрез препращане на портове или създаване на виртуални сървъри, понякога справянето с голямото количество номера на портове го прави непрактично. В такива случаи настройването на DMZ хост е логично решение.

Моделът за единична и двойна защитна стена на DMZ

DMZ настройките могат да се правят по различни начини. Двата най-често използвани метода са известни като мрежата с три крака (единична защитна стена) и мрежа с двойни защитни стени.

В зависимост от вашите изисквания можете да изберете някоя от тези архитектури.

Метод с три крака или единична защитна стена

Този модел носи три интерфейса. Първият интерфейс е външната мрежа от ISP към защитната стена, вторият е вашата вътрешна мрежа и накрая, третият интерфейс е мрежата DMZ, която съдържа различни сървъри.

Недостатъкът на тази настройка е, че използването на една единствена защитна стена е единствената точка на отказ за цялата мрежа. Ако защитната стена бъде компрометирана, целият DMZ също ще падне. Освен това защитната стена трябва да може да обработва целия входящ и изходящ трафик както за DMZ, така и за вътрешната мрежа.

Метод с двойна защитна стена

Както подсказва името, за създаване на тази настройка се използват две защитни стени, което я прави по-сигурна от двата метода. Конфигурирана е предна защитна стена, която позволява трафикът да преминава само към и от DMZ. Втората или задната защитна стена е конфигурирана да предава след това трафика от DMZ към вътрешната мрежа.

Наличието на допълнителна защитна стена намалява шансовете цялата мрежа да бъде засегната в случай на компромис.

Това естествено идва с по-висока цена, но осигурява излишък, в случай че активната защитна стена откаже. Някои организации също така гарантират, че и двете защитни стени са направени от различни доставчици, за да създадат повече препятствия за нападателите, които искат да хакнат мрежа.

Как да настроите DMZ на вашия домашен рутер

Най-лесният и бърз начин за създаване на домашна DMZ мрежа е чрез използването на трикракия модел. Всеки интерфейс ще бъде зададен като вътрешна мрежа, DMZ мрежа и външна мрежа. И накрая, с четири порта Ethernet карта в защитната стена ще завърши тази настройка.

Следващите стъпки ще опишат как да настроите DMZ на домашен рутер. Имайте предвид, че тези стъпки ще бъдат подобни на повечето основни рутери като Linksys, Netgear, Belkin и D-Link:

1. Свържете компютъра си с рутера чрез Ethernet кабела.
2. Отидете в уеб браузъра на вашия компютър и въведете IP адреса на вашия рутер в адресната лента с инструменти. Обикновено адресът на рутера е 192.168.1.1. Натиснете клавиша "Enter" или връщане.
3. Ще видите заявка за въвеждане на администраторска парола. Въведете паролата си, която сте създали по време на настройката на рутера. Паролата по подразбиране за много рутери е "администратор".
4. Изберете раздела „Сигурност“, разположен в горния горен ъгъл на уеб интерфейса на вашия рутер.
5. Превъртете до дъното и изберете падащото поле с надпис "DMZ". Сега изберете активиране опция от менюто.
6. Въведете IP адреса на целевия компютър хост. Това може да бъде нещо като отдалечен настолен компютър, уеб сървър или друго устройство, което трябва да има достъп до интернет. Забележка: IP адресът, към който препращате мрежовия трафик, трябва да бъде статичен, тъй като динамично присвоен IP адрес ще се променя всеки път, когато компютърът ви се рестартира.
7. Изберете Запазване на настройките и затворете конзолата на рутера.

Свързани: Как да намерите IP адреса на вашия рутер

Защитете данните си и конфигурирайте DMZ

Интелигентните потребители винаги защитават своите рутери и мрежи от натрапници, преди да получат достъп до външни мрежи. DMZ може да донесе допълнителен слой сигурност между вашите ценни данни и потенциални хакери.

Най-малкото използването на DMZ и използването на прости съвети за осигуряване на вашите маршрутизатори може много да затрудни проникването на действащите лица в мрежата ви. И колкото по-трудно е за нападателите да достигнат до вашите данни, толкова по-добре е за вас!

7 лесни съвета за защита на вашия рутер и Wi-Fi мрежа за минути

Следвайте тези съвети, за да защитите домашния си рутер и да предотвратите натрапване на хора във вашата мрежа.

За автора