Kas yra DMZ ir kaip jį sukonfigūruoti savo tinkle?

Ką reiškia „DMZ“? DMZ reiškia demilitarizuotą zoną, tačiau tai iš tikrųjų reiškia skirtingus dalykus skirtingose ​​srityse.

Realiame pasaulyje DMZ yra žemės juosta, kuri yra taškas tarp Šiaurės ir Pietų Korėjos. Tačiau kalbant apie technologijas, DMZ yra logiškai atskirtas potinklis, kuriame paprastai yra tinklo išorinio priglobtos interneto paslaugos. Taigi, koks tiksliai yra DMZ tikslas? Kaip tai jus apsaugo? Ar galite jį nustatyti savo maršrutizatoriuje?

Koks yra DMZ tikslas?

DMZ veikia kaip skydas tarp nepatikimo interneto ir jūsų vidinio tinklo.

Savo viduje išskiriant pažeidžiamiausias vartotojui skirtas paslaugas, tokias kaip el. Paštas, žiniatinklis ir DNS serveriai loginis potinklis, likusį vidinį tinklą arba vietinį tinklą (LAN) galima apsaugoti, jei kompromisas.

Šeimininkai DMZ viduje turi ribotą ryšį su pagrindiniu vidiniu tinklu, nes jie dedami už įsikišusios užkardos, kuri valdo srauto srautą tarp dviejų tinklo taškų. Tačiau tam tikras ryšys yra leidžiamas, todėl DMZ kompiuteriai gali pasiūlyti paslaugas tiek vidiniam, tiek išoriniam tinklui.

Susijęs: Koks skirtumas tarp LAN ir WAN?

Pagrindinė DMZ prielaida yra išlaikyti ją prieinamą iš interneto, likusį vidinį LAN palikdama nepažeistą ir nepasiekiamą išoriniam pasauliui. Šis papildomas saugumo sluoksnis neleidžia grėsmės dalyviams tiesiogiai įsiskverbti į jūsų tinklą.

Kokios paslaugos pridedamos DMZ viduje?

Paprasčiausias būdas suprasti DMZ konfigūraciją yra galvoti apie maršrutizatorių. Maršrutizatoriai paprastai turi dvi sąsajas:

1. Vidinė sąsaja: Tai jūsų sąsaja, skirta ne internetui, kurioje yra jūsų privatūs kompiuteriai.
2. Išorinė sąsaja: Tai yra į internetą nukreipta sąsaja, turinti jūsų sąsają ir sąveiką su išoriniu pasauliu.

Norėdami įdiegti DMZ tinklą, tiesiog pridėkite trečią sąsają, vadinamą DMZ. Tada visi kompiuteriai, prieinami tiesiogiai iš interneto arba reikalaujantys reguliaraus bendravimo su išoriniu pasauliu, prijungiami per DMZ sąsają.

Standartinės paslaugos, kurias galima įdėti į DMZ, yra el. Pašto serveriai, FTP serveriai, žiniatinklio serveriai ir VOIP serveriai ir kt.

Prieš perkeliant paslaugas į DMZ, reikia atidžiai apsvarstyti bendrą organizacijos kompiuterio saugumo politiką ir atlikti išteklių analizę.

Ar galima DMZ įdiegti namų ar belaidžio ryšio tinkle?

Galbūt pastebėjote, kad dauguma namų maršrutizatorių mini „DMZ Host“. Tikrąja šio žodžio prasme tai nėra tikras DMZ. Priežastis yra ta, kad namų tinklo DMZ yra tiesiog vidinio tinklo kompiuteris, kuriame yra visi prievadai, be persiunčiamų.

Daugelis tinklo ekspertų atsargiai nekonfigūruoja DMZ pagrindinio kompiuterio namų tinklui. Taip yra todėl, kad DMZ pagrindinis kompiuteris yra tas taškas tarp vidinio ir išorinio tinklo, kuriam nėra suteikiamos tos pačios užkardos privilegijos, kuriomis naudojasi kiti vidinio tinklo įrenginiai.

Be to, namuose esantis DMZ kompiuteris vis dar išlaiko galimybę prisijungti prie visų vidinio tinklo kompiuterių, kurie tai netaikoma komercinėms DMZ konfigūracijoms, kai tie sujungimai atliekami atskiriant ugniasienės.

Vidiniame tinkle esantis DMZ kompiuteris gali suteikti klaidingą saugumo jausmą, nors iš tikrųjų jis tiesiog naudojamas kaip būdas tiesiogiai nukreipti uostus į kitą užkardą ar NAT įrenginį.

DMZ konfigūruoti namų tinklui reikia tik tuo atveju, jei tam tikroms programoms reikia nuolatinės prieigos prie interneto. Nors tai galima pasiekti persiunčiant uostą arba kuriant virtualius serverius, kartais dėl didelio uosto numerių kiekio tai padaryti nėra praktiška. Tokiais atvejais DMZ pagrindinio kompiuterio nustatymas yra logiškas sprendimas.

Vieno ir dvigubo DMZ ugniasienės modelis

DMZ sąrankos gali būti atliekamos įvairiai. Du dažniausiai naudojami metodai yra žinomi kaip trijų kojų (vienos užkardos) tinklas ir tinklas su dvigubomis užkardomis.

Atsižvelgdami į jūsų reikalavimus, galite pasirinkti bet kurią iš šių architektūrų.

Trijų kojų arba vienos ugniasienės metodas

Šis modelis turi tris sąsajas. Pirmoji sąsaja yra išorinis tinklas nuo IPT iki ugniasienės, antrasis - jūsų vidinis tinklas, galiausiai, trečioji sąsaja yra DMZ tinklas, kuriame yra įvairių serverių.

Šios sąrankos trūkumas yra tas, kad vienos ir vienos ugniasienės naudojimas yra vienintelis viso tinklo gedimo taškas. Jei užkarda bus pažeista, sumažės ir visas DMZ. Be to, užkarda turėtų sugebėti valdyti visą įeinantį ir išeinantį srautą tiek DMZ, tiek vidiniame tinkle.

Dvigubos ugniasienės metodas

Kaip rodo pavadinimas, šiai sąrangai sukurti naudojamos dvi užkardos, todėl tai yra saugesnė iš dviejų metodų. Sukonfigūruota priekinė ugniasienė, leidžianti srautui pereiti tik į DMZ ir iš jos. Antroji arba išorinė ugniasienė sukonfigūruota perduoti srautą iš DMZ į vidinį tinklą.

Papildomos ugniasienės turėjimas sumažina tikimybę, kad kompromiso atveju bus paveiktas visas tinklas.

Tai, žinoma, yra su didesne kaina, tačiau suteikia perteklių tuo atveju, jei neveikia aktyvi užkarda. Kai kurios organizacijos taip pat užtikrina, kad abi užkardas sukurtų skirtingi pardavėjai, kad sukurtų daugiau kliūčių užpuolikams, norintiems nulaužti tinklą.

Kaip nustatyti namų maršrutizatoriuje DMZ

Paprasčiausias ir greičiausias būdas sukurti namų DMZ tinklą yra naudojant trijų kojų modelį. Kiekviena sąsaja bus priskirta kaip vidinis tinklas, DMZ tinklas ir išorinis tinklas. Galiausiai, keturių uostų „Ethernet“ kortelė užkardoje užbaigs šią sąranką.

Šie veiksmai apibūdins, kaip namų maršrutizatoriuje nustatyti DMZ. Atminkite, kad šie veiksmai bus panašūs daugumai pagrindinių maršrutizatorių, pvz., „Linksys“, „Netgear“, „Belkin“ ir „D-Link“:

1. Prijunkite kompiuterį prie maršrutizatoriaus naudodami Ethernet kabelį.
2. Eikite į kompiuterio žiniatinklio naršyklę ir adreso įrankių juostoje įveskite maršrutizatoriaus IP adresą. Paprastai maršrutizatoriaus adresas yra 192.168.1.1. Paspauskite „Enter“ arba grįžimo klavišą.
3. Pamatysite užklausą įvesti administratoriaus slaptažodį. Įveskite slaptažodį, kurį sukūrėte nustatydami maršrutizatorių. Numatytasis slaptažodis daugelyje maršrutizatorių yra „admin“.
4. Pasirinkite skirtuką „Sauga“, esantį viršutiniame viršutiniame maršrutizatoriaus žiniatinklio sąsajos kampe.
5. Slinkite į apačią ir pasirinkite išskleidžiamąjį laukelį, pažymėtą „DMZ“. Dabar pasirinkite įgalinti meniu parinktį.
6. Įveskite paskirties kompiuterio pagrindinio kompiuterio IP adresą. Tai gali būti bet kas panašus į nuotolinį stalinį kompiuterį, interneto serverį ar bet kurį įrenginį, kuriam reikia prisijungti prie interneto. Pastaba: IP adresas, kuriuo persiunčiate tinklo srautą, turėtų būti statinis, nes dinamiškai priskirtas IP adresas pasikeis kiekvieną kartą paleidus kompiuterį.
7. Pasirinkite Išsaugoti nustatymus ir uždarykite maršrutizatoriaus pultą.

Susijęs: Kaip rasti maršrutizatoriaus IP adresą

Apsaugokite savo duomenis ir sukonfigūruokite DMZ

Protingi vartotojai prieš prisijungdami prie išorinių tinklų visada apsaugo savo maršrutizatorius ir tinklus nuo įsibrovėlių. DMZ gali suteikti papildomą saugumo lygį tarp jūsų brangių duomenų ir potencialių įsilaužėlių.

Bent jau naudojant DMZ ir naudojant paprastus patarimus, kaip apsaugoti maršrutizatorius, grėsmės dalyviams gali būti labai sunku įsiskverbti į jūsų tinklą. Užpuolikams sunkiau pasiekti jūsų duomenis, tuo geriau tai jums!

7 paprasti patarimai, kaip apsaugoti maršrutizatorių ir „Wi-Fi“ tinklą per kelias minutes

Vadovaukitės šiais patarimais, kad apsaugotumėte namų maršrutizatorių ir išvengtumėte žmonių įsikišimo į jūsų tinklą.

Apie autorių