Этот вопрос когда-то интересовал и меня самого. Когда я только начинал разбираться с сетевыми технологиями я часто слышал от специалистов буквосочетание DMZ. В литературе это понятие описано очень расплывчато ибо нету какого-то формального объяснения что это такое. В этой статейке я коротко постараюсь восполнить этот пробел. Первое, что хочу сказать о DMZ, так это то, что это буквосочетание или аббревиатура походит от словосочетания «демилитаризованная зона». Но эта расшифровка не дает объяснения тому что это такое и зачем оно нужно.
Так вот, эта «зона» находится между локальной сетью какой-нибудь конторы и публичной сетью Интернет. Она размещается в специальном сетевом пространстве межсетевого экрана (файрвола, брандмауэра). Назначение этой зоны следующее. В ней размещаются сервера, которые смотрят напрямую в Интернет и к которым есть доступ из Интернета. Но, с этих серверов нельзя обратиться к локальной сети за файрволом. Зачем это делается? Во-первых, если ресурсы должны быть видны в Интернете, то в локальной сети со всеми пользователями такие сервера размещать нельзя, так как с них есть доступ к пользовательским машинам. Во-вторых, в Интернете их тоже размещать нельзя, потому что к ним нужно ограничить доступ только по определенных протоколах. Например, если это веб-сервер, то к нему надо разрешить только http(s) запросы.
Поэтому, такие сервера размещаются в DMZ. Это решение убивает сразу двух зайцев — доступ осуществляется из сети Интернет только на определенные ресурсы, что реализуется конфигурированием сетевого экрана; при взломе сервера нельзя проникнуть в локальную сеть с пользователями и сугубо внутренними ресурсами, что тоже достигается настройками списков доступа на файрволе.
Рассмотрим маленькие примеры сетей с DMZ.
Пример сети с DMZ с одним файрволом
Рис.1. Пример сети с DMZ с одним файрволом
Пример сети с DMZ с двумя файрволами
Рис.2. Пример сети с DMZ с двумя файрволами
Первый рисунок показывает как организовывается сеть с одним сетевым экраном. Это экономичный способ, но для него необходим третий физический интерфейс на сетевом экране. Конечно, можно сконфигурировать сабинтерфейсы, но обычно в файрволах есть больше двух физических интерфейсов. Эта топология чаще всего используется в корпоративных сетях.
Второй способ построения DMZ более дорогостоящий, но и более безопасный, так как при взломе одного сетевого экрана и доступе к серверам все равно закрыт доступ в локальную сеть пользователей.
Иногда строят иные схемы подключения и с большим числом сетевых экранов, но такие топологии используются редко.
CIMR
Апрель 5, 2013 at 23:03
Благодарю за информацию ! Всё понятно !
руслан
Декабрь 12, 2013 at 08:05
Пожалуйста помогите решить одну не маленькую проблемку!Если конечно есть время и силы но это очень важно.Во-общем по порядку у меня сервак он раздает интернет по лакалке через юзергейт. Шеф сегодня купил маршрутизатор или роутер d-link 860E и сказал чтобы я разобрался, но у меня не хватает мозгов если быть честным, куда его подключать ,как его настраивать, пожалуйста люди добрые помогите!!!
руслан
Декабрь 12, 2013 at 08:09
вот моя схема нынешняя модем/сервак/свитч 24/пользователи…….на серваке так же установлен юзергейт
Александр Бойченко
Декабрь 12, 2013 at 09:46
Модем какой? ADSL? usergate как прокси стоит?
Александр Бойченко
Декабрь 12, 2013 at 10:06
Помочь настроить фаервол шефовский тебе вряд ли кто поможет. Но, если ти суть понимаешь, то с любым фаерволом разберешся.
А суть такая, что твой фаервол должен быть включен в модем, если Интернет через ADLS или сразу в канал Ethernet вашего провайдера. В первом случае он просто будет фильтровать трафик, во втором — натить твой прокси или пользователей в Интернет + фильтровать трафик (модем не нужен).
Если юзергейт настроен просто как фаервол, то сервак можешь убрать, если он еще и как прокси, то его включишь в фаервол и будешь натить ее на фаерволе + списки контроля доступа для нее настроишь на фаерволе.
Покси можеш поставить в ДМЗ (при желании). На фаерволе выделишь подсеть, которая будет тебе как ДМЗ.В нее и включишь свой прокси.
Еще два интерфейса — для Интернета и для локалки тоже сделаешь (Эти — обязательно).
Создашь списки контроля доступа и повесишь на все интерфейсы, так чтобы локалку пускать в Интернет, но не наоборот. Запретишь коннект с Интернета на проксю и в локалку.
Коммутатор включаешь в фаервол в интерфейс, который ты настроил для локалки.