Co znamená „DMZ“? DMZ znamená demilitarizovaná zóna, ale to ve skutečnosti znamená různé věci v různých sférách.
V reálném světě je DMZ pás země, který slouží jako demarkační bod mezi Severní a Jižní Koreou. Pokud však jde o technologii, DMZ je logicky oddělená podsíť, která obvykle obsahuje externě hostované síťové služby orientované na internet. Jaký je tedy účel DMZ? Jak vás chrání? A můžete nastavit jeden na vašem routeru?
Jaký je účel DMZ?
DMZ funguje jako štít mezi nespolehlivým internetem a vaší vnitřní sítí.
Izolací nejzranitelnějších služeb zaměřených na uživatele, jako jsou e-mailové, webové a DNS servery, uvnitř svých vlastních logická podsíť, zbytek interní sítě nebo místní sítě (LAN) lze chránit v případě a kompromis.
Hostitelé uvnitř DMZ mají omezené připojení k hlavní interní síti, protože jsou umístěni za zasahující bránu firewall, která řídí tok provozu mezi dvěma body sítě. Určitá komunikace je však povolena, takže hostitelé DMZ mohou nabízet služby do interní i externí sítě.
Příbuzný: Jaký je rozdíl mezi LAN a WAN?
Hlavním předpokladem DMZ je zajistit, aby byl přístupný z internetu, zatímco zbytek interní LAN zůstane neporušený a nepřístupný vnějšímu světu. Tato přidaná vrstva zabezpečení zabraňuje aktérům hrozeb přímo proniknout do vaší sítě.
Jaké služby jsou přidány uvnitř DMZ?
Nejjednodušší způsob, jak porozumět konfiguraci DMZ, je myslet na směrovač. Směrovače mají obecně dvě rozhraní:
- Interní rozhraní: Toto je vaše rozhraní, které není orientované na internet a má vaše soukromé hostitele.
- Externí rozhraní: Toto je internetové rozhraní, které má vaše uplink a interakci s vnějším světem.
Chcete-li implementovat síť DMZ, jednoduše přidáte třetí rozhraní známé jako DMZ. Všichni hostitelé, kteří jsou přístupní přímo z internetu nebo vyžadují pravidelnou komunikaci s vnějším světem, jsou poté připojeni prostřednictvím rozhraní DMZ.
Standardní služby, které lze umístit do DMZ, zahrnují e-mailové servery, servery FTP, webové servery a servery VOIP atd.
Je třeba pečlivě zvážit obecnou politiku zabezpečení počítače ve vaší organizaci a před migrací služeb do DMZ je třeba provést analýzu zdrojů.
Lze DMZ implementovat v domácí nebo bezdrátové síti?
Možná jste si všimli, že většina domácích routerů zmiňuje DMZ Host. Ve skutečném smyslu slova nejde o skutečný DMZ. Důvodem je, že DMZ v domácí síti je jednoduše hostitelem v interní síti, který má vystaveny všechny porty kromě těch, které nejsou předávány.
Většina síťových odborníků varuje před konfigurací hostitele DMZ pro domácí síť. Důvodem je, že hostitel DMZ je bod mezi interní a externí sítí, kterému nejsou udělena stejná oprávnění brány firewall, jaké mají ostatní zařízení v interní síti.
Domácí hostitel DMZ si také stále udržuje možnost připojení ke všem hostitelům v interní síti, které to neplatí pro komerční konfigurace DMZ, kde jsou tato připojení prováděna oddělením firewally.
Hostitel DMZ v interní síti může poskytnout falešný pocit bezpečí, když se ve skutečnosti právě používá jako metoda přímého předávání portů jinému firewallu nebo zařízení NAT.
Konfigurace DMZ pro domácí síť je nutná, pouze pokud určité aplikace vyžadují trvalý přístup k internetu. I když toho lze dosáhnout přesměrováním portů nebo vytvořením virtuálních serverů, někdy je řešení velkého počtu portů nepraktické. V takových případech je nastavení hostitele DMZ logickým řešením.
Jediný a duální model brány firewall DMZ
Nastavení DMZ lze provést různými způsoby. Dvě nejčastěji používané metody jsou známé jako síť se třemi nohami (jeden firewall) a síť se dvěma branami firewall.
V závislosti na vašich požadavcích se můžete rozhodnout pro některou z těchto architektur.
Metoda se třemi nohami nebo jednou bránou firewall
Tento model nese tři rozhraní. První rozhraní je externí síť od ISP do brány firewall, druhé je vaše interní síť a nakonec třetí rozhraní je síť DMZ, která obsahuje různé servery.
Nevýhodou tohoto nastavení je, že použití jediného firewallu je jediným bodem selhání pro celou síť. Pokud dojde k ohrožení brány firewall, dojde také k poklesu celé DMZ. Firewall by měl být schopen zpracovat veškerý příchozí i odchozí provoz jak pro DMZ, tak pro interní síť.
Metoda duálního firewallu
Jak název napovídá, k sestavení tohoto nastavení se používají dva firewally, což z nich činí bezpečnější ze dvou metod. Je nakonfigurován front-end firewall, který umožňuje přenos dat pouze do az DMZ. Druhý nebo back-endový firewall je nakonfigurován tak, aby poté předával provoz z DMZ do vnitřní sítě.
Díky dalšímu firewallu se sníží šance na ovlivnění celé sítě v případě kompromisu.
To přirozeně přichází s vyšší cenou, ale poskytuje redundanci v případě selhání aktivního firewallu. Některé organizace také zajišťují, že obě brány firewall vyrábějí různí prodejci, aby vytvořili více překážek pro útočníky, kteří chtějí hacknout síť.
Jak nastavit DMZ na domácím routeru
Nejjednodušší a nejrychlejší způsob nastavení domácí sítě DMZ je použití trojnohého modelu. Každé rozhraní bude přiřazeno jako interní síť, síť DMZ a externí síť. Nakonec toto nastavení dokončí čtyřportová ethernetová karta v bráně firewall.
Následující kroky popisují, jak nastavit DMZ na domácím routeru. Tyto kroky budou podobné pro většinu hlavních směrovačů, jako jsou Linksys, Netgear, Belkin a D-Link:
- Připojte počítač k routeru pomocí ethernetového kabelu.
- Přejděte do webového prohlížeče počítače a na panelu nástrojů adresy zadejte adresu IP routeru. Adresa routeru je obvykle 192.168.1.1. Stiskněte klávesu „Enter“ nebo návrat.
- Zobrazí se žádost o zadání hesla správce. Zadejte heslo, které jste vytvořili v době nastavení routeru. Výchozí heslo pro mnoho směrovačů je „admin“.
- Vyberte kartu Zabezpečení umístěnou v horním horním rohu webového rozhraní routeru.
- Přejděte dolů a vyberte rozevírací pole s názvem „DMZ“. Nyní vyberte umožnit možnost nabídky.
- Zadejte adresu IP hostitele cílového počítače. Může to být cokoli jako vzdálený stolní počítač, webový server nebo jakékoli zařízení, které potřebuje přístup k internetu. Poznámka: Adresa IP, na kterou předáváte síťový provoz, by měla být statická, protože dynamicky přidělená adresa IP se změní při každém restartu počítače.
- Vybrat Uložit nastavení a zavřete konzolu routeru.
Příbuzný: Jak zjistit IP adresu vašeho routeru
Chraňte svá data a nakonfigurujte DMZ
Inteligentní zákazníci vždy zabezpečují své směrovače a sítě před vetřelci před přístupem k externím sítím. DMZ může přinést další vrstvu zabezpečení mezi vašimi vzácnými daty a potenciálními hackery.
Přinejmenším použití DMZ a využití jednoduchých tipů k zabezpečení vašich routerů může velmi ztěžovat pronikání aktérů do vaší sítě. A čím těžší je pro útočníky dostat se k vašim datům, tím lépe pro vás!
Postupujte podle těchto tipů, abyste zabezpečili svůj domácí router a zabránili lidem v narušení vaší sítě.
- Vysvětlená technologie
- Bezpečnostní
- Router
- Zabezpečení online
Kinza je technologický nadšenec, technický spisovatel a samozvaný geek, který žije v severní Virginii se svým manželem a dvěma dětmi. S BS v počítačových sítích a četnými IT certifikacemi měla za sebou práci v telekomunikačním průmyslu, než se pustila do technického psaní. Se zaměřením na kybernetickou bezpečnost a cloudová témata ráda pomáhá klientům plnit jejich rozmanité technické požadavky na psaní po celém světě. Ve svém volném čase ráda čte beletrii, blogy o technologiích, vytváří vtipné příběhy pro děti a vaří pro svou rodinu.
Přihlaste se k odběru našeho zpravodaje
Připojte se k našemu zpravodaji s technickými tipy, recenzemi, bezplatnými elektronickými knihami a exkluzivními nabídkami!
Ještě jeden krok…!
V e-mailu, který jsme vám právě poslali, potvrďte svou e-mailovou adresu.