Co to jest strefa zdemilitaryzowana i jak ją skonfigurować w sieci?

Co oznacza „DMZ”? DMZ oznacza strefę zdemilitaryzowaną, ale w rzeczywistości oznacza to różne rzeczy w różnych wymiarach.

W prawdziwym świecie strefa zdemilitaryzowana to pas ziemi, który służy jako punkt rozgraniczający Koreę Północną i Południową. Ale jeśli chodzi o technologię, DMZ jest logicznie oddzieloną podsiecią, która zazwyczaj zawiera zewnętrzne usługi sieciowe, które są dostępne w Internecie. Więc jaki dokładnie jest cel DMZ? Jak cię to chroni? Czy możesz skonfigurować je na swoim routerze?

Jaki jest cel strefy DMZ?

DMZ działa jak osłona między zawodnym Internetem a siecią wewnętrzną.

Izolując najbardziej narażone usługi dla użytkowników, takie jak poczta e-mail, serwery WWW i serwery DNS, w ich własnych logicznej podsieci, reszta sieci wewnętrznej lub sieć lokalna (LAN) może być chroniona w przypadku kompromis.

Hosty w strefie DMZ mają ograniczoną łączność z główną siecią wewnętrzną, ponieważ są umieszczone za pośredniczącą zaporą ogniową, która kontroluje przepływ ruchu między dwoma punktami sieci. Jednak część komunikacji jest dozwolona, ​​więc hosty DMZ mogą oferować usługi zarówno dla sieci wewnętrznej, jak i zewnętrznej.

Związane z: Jaka jest różnica między siecią LAN a WAN?

Głównym założeniem DMZ jest zapewnienie dostępu do niej z Internetu, pozostawiając resztę wewnętrznej sieci LAN nienaruszoną i niedostępną dla świata zewnętrznego. Ta dodatkowa warstwa zabezpieczeń zapobiega bezpośredniej infiltracji Twojej sieci przez hakerzy.

Jakie usługi są dodawane w strefie DMZ?

Najłatwiejszym sposobem zrozumienia konfiguracji DMZ jest myślenie o routerze. Routery mają zazwyczaj dwa interfejsy:

1. Interfejs wewnętrzny: To jest twój interfejs niepołączony z Internetem, który ma twoje prywatne hosty.
2. Interfejs zewnętrzny: Jest to interfejs internetowy, który zapewnia łącze uplink i interakcję ze światem zewnętrznym.

Aby zaimplementować sieć DMZ, wystarczy dodać trzeci interfejs znany jako DMZ. Wszystkie hosty, które są dostępne bezpośrednio z Internetu lub wymagają regularnej komunikacji ze światem zewnętrznym, są następnie łączone przez interfejs DMZ.

Standardowe usługi, które można umieścić w strefie DMZ, obejmują serwery poczty e-mail, serwery FTP, serwery WWW i serwery VOIP itp.

Należy dokładnie rozważyć ogólną politykę bezpieczeństwa komputera w organizacji i przeprowadzić analizę zasobów przed migracją usług do DMZ.

Czy DMZ można wdrożyć w sieci domowej lub bezprzewodowej?

Być może zauważyłeś, że większość routerów domowych wspomina o hoście DMZ. W prawdziwym znaczeniu tego słowa, to nie jest prawdziwa strefa zdemilitaryzowana. Powodem jest to, że strefa DMZ w sieci domowej to po prostu host w sieci wewnętrznej, który ma wszystkie porty widoczne poza tymi, które nie są przekierowywane.

Większość ekspertów sieciowych ostrzega przed konfigurowaniem hosta DMZ dla sieci domowej. Dzieje się tak, ponieważ host DMZ jest punktem między sieciami wewnętrznymi i zewnętrznymi, któremu nie przyznano takich samych uprawnień zapory, jak inne urządzenia w sieci wewnętrznej.

Ponadto domowy host DMZ nadal zachowuje możliwość łączenia się ze wszystkimi hostami w sieci wewnętrznej, która nie dotyczy komercyjnych konfiguracji DMZ, w których te połączenia są wykonywane poprzez separację zapory ogniowe.

Host DMZ w sieci wewnętrznej może zapewniać fałszywe poczucie bezpieczeństwa, gdy w rzeczywistości jest używany jako metoda bezpośredniego przekazywania portów do innej zapory lub urządzenia NAT.

Konfiguracja DMZ dla sieci domowej jest konieczna tylko wtedy, gdy niektóre aplikacje wymagają stałego dostępu do Internetu. Chociaż można to osiągnąć poprzez przekierowanie portów lub tworzenie serwerów wirtualnych, czasami radzenie sobie z dużą liczbą portów sprawia, że ​​jest to niepraktyczne. W takich przypadkach skonfigurowanie hosta DMZ jest logicznym rozwiązaniem.

Model pojedynczej i podwójnej zapory sieciowej DMZ

Konfiguracje DMZ można wykonać na różne sposoby. Dwie najczęściej używane metody to sieć trójnożna (z pojedynczą zaporą) oraz sieć z podwójnymi zaporami.

W zależności od wymagań możesz wybrać jedną z tych architektur.

Metoda trójnożna lub pojedyncza zapora ogniowa

Ten model ma trzy interfejsy. Pierwszy interfejs to zewnętrzna sieć łącząca dostawcę usług internetowych z zaporą, drugi to Twoja sieć wewnętrzna, a trzeci interfejs to sieć DMZ zawierająca różne serwery.

Wadą tej konfiguracji jest to, że używanie jednej i jedynej zapory jest pojedynczym punktem awarii całej sieci. Jeśli zapora sieciowa zostanie naruszona, cała strefa DMZ również ulegnie awarii. Ponadto zapora powinna być w stanie obsłużyć cały ruch przychodzący i wychodzący zarówno dla strefy DMZ, jak i sieci wewnętrznej.

Metoda podwójnej zapory

Jak sama nazwa wskazuje, do zaprojektowania tej konfiguracji używane są dwie zapory, dzięki czemu jest ona bezpieczniejsza z dwóch metod. Skonfigurowano zaporę frontonu, która zezwala na ruch tylko do iz strefy DMZ. Druga lub wewnętrzna zapora ogniowa jest skonfigurowana do przekazywania ruchu z DMZ do sieci wewnętrznej.

Posiadanie dodatkowej zapory ogniowej zmniejsza ryzyko naruszenia całej sieci w przypadku włamania.

To oczywiście wiąże się z wyższą ceną, ale zapewnia nadmiarowość w przypadku awarii aktywnej zapory. Niektóre organizacje zapewniają również, że obie zapory ogniowe są tworzone przez różnych dostawców, aby tworzyć więcej przeszkód dla atakujących, którzy chcą włamać się do sieci.

Jak skonfigurować DMZ na routerze domowym

Najłatwiejszym i najszybszym sposobem skonfigurowania domowej sieci DMZ jest użycie modelu trójnożnego. Każdy interfejs zostanie przypisany jako sieć wewnętrzna, sieć DMZ i sieć zewnętrzna. Wreszcie czteroportowa karta Ethernet w zaporze zakończy tę konfigurację.

Poniższe kroki opisują, jak skonfigurować DMZ na routerze domowym. Zwróć uwagę, że te kroki będą podobne dla większości głównych routerów, takich jak Linksys, Netgear, Belkin i D-Link:

1. Podłącz komputer do routera za pomocą kabla Ethernet.
2. Przejdź do przeglądarki internetowej swojego komputera i wpisz adres IP routera na pasku narzędzi adresu. Zwykle adres routera to 192.168.1.1. Naciśnij klawisz „Enter” lub klawisz powrotu.
3. Pojawi się prośba o wprowadzenie hasła administratora. Wprowadź hasło utworzone podczas konfigurowania routera. Domyślne hasło na wielu routerach to „admin”.
4. Wybierz kartę „Bezpieczeństwo” znajdującą się w górnym górnym rogu interfejsu sieciowego routera.
5. Przewiń w dół i wybierz rozwijane pole z etykietą „DMZ”. Teraz wybierz włączyć opcja menu.
6. Wprowadź adres IP hosta komputera docelowego. Może to być na przykład komputer zdalny, serwer WWW lub dowolne urządzenie, które musi mieć dostęp do Internetu. Uwaga: adres IP, na który przekierowujesz ruch sieciowy, powinien być statyczny, ponieważ dynamicznie przypisywany adres IP będzie się zmieniał po każdym ponownym uruchomieniu komputera.
7. Wybierz Zapisz ustawienia i zamknij konsolę routera.

Związane z: Jak znaleźć adres IP routera

Zabezpiecz swoje dane i skonfiguruj strefę DMZ

Inteligentni konsumenci zawsze zabezpieczają swoje routery i sieci przed intruzami przed uzyskaniem dostępu do sieci zewnętrznych. DMZ może zapewnić dodatkową warstwę bezpieczeństwa między cennymi danymi a potencjalnymi hakerami.

Przynajmniej używanie strefy DMZ i korzystanie z prostych wskazówek w celu zabezpieczenia routerów może bardzo utrudnić cyberprzestępcom penetrację sieci. Im trudniej jest atakującym uzyskać dostęp do Twoich danych, tym lepiej dla Ciebie!

7 prostych wskazówek, jak zabezpieczyć router i sieć Wi-Fi w kilka minut

Postępuj zgodnie z tymi wskazówkami, aby zabezpieczyć router domowy i zapobiec włamywaniu się ludzi do sieci.

O autorze