Организации, как правило, имеют ограниченные локальные сети (LAN) для обеспечения безопасности всех подключенных устройств. Это может вызвать проблемы при подключении к другим местам, особенно через Интернет. Именно здесь различные сетевые функции и протоколы могут предоставлять доступ клиентам без ущерба для безопасности. Сеть DMZ является одним из таких вариантов. Я объясню, что означает DMZ и почему вы можете захотеть использовать ее в своей корпоративной сети.
Что такое демилитаризованная зона?
Демилитаризованная зона (DMZ) в сетевом мире не имеет отношения к войне. DMZ — это периметральная сеть, которая добавляет безопасности локальной сети от нежелательного трафика. DMZ, настроенная в локальной сети, направлена на то, чтобы предоставить клиентам доступ к внешним местоположениям, таким как Интернет, без ущерба для общей безопасности. Это может быть особенно полезно для электронной почты, передачи файлов, веб-серверов и других решений, ориентированных на внешние сети, где их основное внимание уделяется ненадежному трафику.
Любой сервер или устройство в DMZ получают ограниченный доступ к локальной сети, выступая в качестве брандмауэра, чтобы не допустить нежелательного трафика к внутренней сети, не затрудняя при этом доступ к сервису. DMZ обычно рассматривается как более безопасное решение, затрудняющее проникновение злоумышленников в локальную сеть. DMZ будет фильтровать трафик между локальной сетью и Интернетом, разрешая только авторизованный доступ. Думайте об этом как о сети внутри сети или как о сети, которая отделена от локальной сети и работает рядом с ней.
Такие пользовательские сервисы, как веб-сайты, электронная почта и DNS-серверы, открыты для внешнего мира и по своей сути открыты. Это не соответствует протоколам безопасности частной сети. Фильтруя трафик между WAN и LAN, DMZ может действовать как маршрутизатор для разделения внешних и внутренних интерфейсов, сохраняя их раздельными. Клиенты в LAN могут подключаться к Интернету, и может быть разрешен внешний доступ к LAN. DMZ отделена от LAN и может обрабатывать внешний трафик.
Стоит ли использовать DMZ дома?
Есть большая вероятность, что вам не нужна DMZ дома. Даже работающие устройства, такие как NAS с внешним доступом, скорее всего, не требуют развертывания DMZ. Если у вас есть несколько устройств, которые сталкиваются с внешним трафиком, переадресацию портов можно настроить через маршрутизатор. VPN также можно настроить для каждого устройства. DMZ имеет смысл только в том случае, если у вас есть несколько устройств и служб с постоянными внешними подключениями.
Если вы хотите настроить DMZ в своей сети, я рекомендую использовать два брандмауэра. Первый пропускает трафик между DMZ и Интернетом. Затем появляется второй брандмауэр для пересылки трафика из DMZ во внутреннюю сеть. Это потребует использования нескольких устройств и увеличит стоимость по сравнению с настройкой простой DMZ через маршрутизатор потребительского уровня, предоставленный поставщиком услуг. Но цена не должна быть проблемой, если вы серьезно относитесь к безопасности.
