Каждая компания, эксплуатирующая почтовый сервер или размещающая собственный сайт компании, сталкивается с одной и той же проблемой: компьютеры, предоставляющие веб- или почтовые услуги, должны быть доступны через Интернет. В то же время сотрудникам из локальной сети (LAN) необходим быстрый доступ к этим ресурсам. Работа в рамках одной сети не является решением проблемы, поскольку это очень рискованно. DNS, веб-, почтовые или прокси-серверы, требующие доступа к публичным сетям, дают хакерам широкие возможности для проведения атаки. Если любой из этих «узлов-бастионов» напрямую связан с локальной сетью, то существует риск, что поврежденный сервер может нанести ущерб всему серверу компании. Демилитаризованная зона (DMZ), также иногда называемая периметральной сетью, предлагает решение этой дилеммы за счет аутсорсинга уязвимых серверов.
Что такое демилитаризованная зона?
Оснащенная собственной областью IP-адресов, демилитаризованная зона относится к компьютерной сети, которая действует как буферная зона между двумя различными сетями. Эти сети отделены друг от друга строгими правилами доступа. И хотя DMZ физически расположены в пределах одной компании, они не связаны напрямую ни с одним из устройств локальной сети. Наивысшей функцией защиты системы является разделение, которое она предлагает между локальной сетью и Интернетом; отдельные брандмауэры защищают граничащие сети друг от друга. Более доступным вариантом является установка, при которой все сети подключены к одному брандмауэру с тремя различными соединениями; такая модель известна как защищенная DMZ.
DMZ с двумя брандмауэрами
Для надежной защиты сетей компании от атак из публичных сетей (WAN) обычно предпочитают концепции DMZ с двумя брандмауэрами. В такой конфигурации могут использоваться как отдельные аппаратные компоненты, так и программное обеспечение брандмауэра, установленное на маршрутизаторе. Внешний брандмауэр защищает демилитаризованную зону от публичных сетей, в то время как внутренний брандмауэр разделяет DMZ и сеть компании.
Такая двухуровневая структура безопасности позволяет настроить статические маршрутизаторы для регулирования трафика данных между сетями следующим образом:
|
Пользователь расположен |
Доступ к DMZ |
Доступ к локальной сети |
Доступ к интернету |
|
доступ в интернет (WAN) |
разрешено |
запрещено |
— |
|
…в локальной сети |
разрешено |
— |
разрешено |
|
… в DMZ |
— |
запрещено |
запрещено |
В то время как пользователи из локальной сети могут получить доступ к публичным сетям, а также к серверам, расположенным в DMZ, пользователям Интернета разрешен доступ только в демилитаризованную зону. Трафик данных, поступающий из DMZ, блокируется обоими брандмауэрами.
Также рекомендуется использовать брандмауэры разных производителей. В противном случае для взлома обоих брандмауэров потребуется всего одна брешь в защите. Чтобы предотвратить распространение атак со взломанных серверов на другие устройства в DMZ, между этими сетевыми компонентами устанавливаются дополнительные брандмауэры. В качестве альтернативы для разделения используется сегментация в виртуальных локальных сетях (VLAN).
DMZ с одним брандмауэром
Более доступным решением является создание DMZ с помощью одного высокопроизводительного брандмауэра (или маршрутизатора с брандмауэром) с тремя отдельными сетевыми подключениями: одно для Интернета, второе для локальной сети и третье для демилитаризованной зоны. В этой модели все сетевые соединения контролируются независимо одним и тем же брандмауэром, что делает этот брандмауэр единой точкой отказа сети. Кроме того, брандмауэры, построенные таким образом, должны быть способны обрабатывать входящий трафик из Интернета, а также запросы на доступ из локальной сети.
Раскрытый узел
Многие маршрутизаторы из нижнего ценового диапазона рекламируют тот факт, что они поддерживают DMZ. Но часто это означает, что есть только возможность настроить компьютеры в локальных сетях как открытые хосты. Восходящий маршрутизатор пересылает все онлайн-запросы, которые не принадлежат существующим соединениям. Это означает, что компьютеры, «защищенные» таким образом, доступны для онлайн-пользователей. В результате этого открытый хост не обеспечивает защиту настоящей DMZ, поскольку он не отделен от локальной сети.