ev > iOS > dmz portlarının qurulması nümunəsi. DMZ nədir və onu marşrutlaşdırıcıda necə konfiqurasiya etmək olar. Routerdə DMZ Host-un qurulması haqqında video


dmz portlarının qurulması nümunəsi. DMZ nədir və onu marşrutlaşdırıcıda necə konfiqurasiya etmək olar. Routerdə DMZ Host-un qurulması haqqında video





Kivshenko Aleksey, 1880

Bu məqalədə icmal var beşİnternetdən korporativ şəbəkə xidmətlərinə çıxışın təşkili probleminin həlli variantları. İcmal həm təcrübəsiz, həm də daha təcrübəli mütəxəssislərə məsələnin mahiyyətini anlamağa, biliklərini yeniləməyə və sistemləşdirməyə kömək edəcək təhlükəsizlik və texniki-iqtisadi imkanların təhlilini təqdim edir. Məqalədəki materiallar dizayn qərarlarınızı əsaslandırmaq üçün istifadə edilə bilər.

Seçimləri nəzərdən keçirərkən, nümunə olaraq dərc etmək istədiyiniz şəbəkəni götürək:

  1. Korporativ poçt serveri (Veb-poçt).
  2. Enterprise terminal server (RDP).
  3. Qarşı tərəflər üçün ekstranet xidməti (Web-API).

Seçim 1: Düz şəbəkə

Bu seçimdə korporativ şəbəkənin bütün qovşaqları hamı üçün ümumi olan bir şəbəkədə (“Daxili Şəbəkə”) yer alır, onların arasında rabitə məhdud deyil. Şəbəkə İnternetə sərhəd marşrutlaşdırıcısı/firewall (bundan sonra IFW).

Hostlar NAT vasitəsilə İnternetə, Port yönləndirmə vasitəsilə isə İnternetdən xidmətlərə çıxış əldə edirlər.

Seçimlərin üstünlükləri:

  1. Minimum funksional tələblər IFW(demək olar ki, hər hansı bir marşrutlaşdırıcıda, hətta ev marşrutlaşdırıcısında edilə bilər).
  2. Seçimi həyata keçirən mütəxəssis üçün minimum bilik tələbləri.
Seçimlərin mənfi cəhətləri:
  1. Minimum təhlükəsizlik səviyyəsi. Təcavüzkarın İnternetdə dərc edilmiş serverlərdən birinə nəzarəti ələ keçirməsi halında, korporativ şəbəkənin bütün digər qovşaqları və kommunikasiya kanalları sonrakı hücumlar üçün onun üçün əlçatan olur.
Real həyata analogiya
Belə bir şəbəkəni işçilərin və müştərilərin bir ümumi otaqda (açıq məkan) yerləşdiyi şirkətlə müqayisə etmək olar.


hrmaximum.ru

Seçim 2. DMZ

Əvvəllər qeyd olunan çatışmazlığı aradan qaldırmaq üçün İnternetdən əldə edilə bilən şəbəkə qovşaqları xüsusi təyin olunmuş seqmentdə - silahsızlaşdırılmış zonada (DMZ) yerləşdirilir. DMZ onu İnternetdən ayıran firewalllardan istifadə etməklə təşkil edilir ( IFW) və daxili şəbəkədən ( DFW).


Bu halda, firewall filtrləmə qaydaları belə görünür:
  1. Daxili şəbəkədən DMZ və WAN (Geniş Sahə Şəbəkəsi) ilə əlaqə qura bilərsiniz.
  2. DMZ-dən WAN-a qoşulmalara başlaya bilərsiniz.
  3. WAN-dan siz DMZ ilə əlaqə qura bilərsiniz.
  4. WAN və DMZ-dən daxili şəbəkəyə qoşulmalara başlamaq qadağandır.


Seçimlərin üstünlükləri:
  1. Fərdi xidmətlərin sındırılmasına qarşı artan şəbəkə təhlükəsizliyi. Serverlərdən biri sındırılsa belə, İntruder daxili şəbəkədə yerləşən resurslara (məsələn, şəbəkə printerləri, videomüşahidə sistemləri və s.) daxil ola bilməyəcək.
Seçimlərin çatışmazlıqları:
  1. Serverlərin DMZ-yə köçürülməsi özlüyündə onların təhlükəsizliyini artırmır.
  2. DMZ-ni daxili şəbəkədən ayırmaq üçün əlavə firewall tələb olunur.
Real həyata analogiya
Şəbəkə arxitekturasının bu versiyası şirkətdə iş və müştəri sahələrinin təşkilinə bənzəyir, burada müştərilər yalnız müştəri zonasında, işçi heyəti isə həm müştəri, həm də iş sahələrində ola bilər. DMZ seqmenti məhz müştəri zonasının analoqudur.


autobam.ru

Seçim 3. Xidmətlərin Front-End və Back-End-ə bölünməsi

Daha əvvəl qeyd edildiyi kimi, bir serverin DMZ-də yerləşdirilməsi heç bir şəkildə xidmətin özünün təhlükəsizliyini yaxşılaşdırmır. Vəziyyəti düzəltmək variantlarından biri xidmətin funksionallığını iki hissəyə bölməkdir: Front-End və Back-End. Üstəlik, hər bir hissə ayrı bir serverdə yerləşir, onların arasında şəbəkə qarşılıqlı əlaqəsi təşkil edilir. İnternetdə yerləşən müştərilərlə qarşılıqlı əlaqə funksiyasını həyata keçirən Front-End serverləri DMZ-də yerləşdirilir, qalan funksionallığı həyata keçirən Back-End serverləri isə daxili şəbəkədə qalır. Onların arasında qarşılıqlı əlaqə üçün DFW Front-End-dən Back-End-ə keçidlərin başlanmasına imkan verən qaydalar yaradın.

Nümunə olaraq müştərilərə həm şəbəkə daxilindən, həm də İnternetdən xidmət göstərən korporativ e-poçt xidmətini nəzərdən keçirək. Daxildən olan müştərilər POP3/SMTP-dən istifadə edir, İnternetdən olan müştərilər isə Veb interfeysi vasitəsilə işləyirlər. Tipik olaraq, tətbiqetmə mərhələsində şirkətlər xidməti yerləşdirməyin ən sadə üsulunu seçir və onun bütün komponentlərini bir serverdə yerləşdirirlər. Daha sonra informasiya təhlükəsizliyinin təmin edilməsi zərurəti reallaşdıqca xidmətin funksionallığı hissələrə bölünür və İnternetdən müştərilərə xidmət göstərmək üçün cavabdeh olan hissə (Front-End) ayrı serverə köçürülür və bu server üzərində qarşılıqlı əlaqə yaradır. qalan funksionallığı həyata keçirən server ilə şəbəkə (Back -End). Bu halda, Front-End DMZ-də yerləşdirilir, Back-End isə daxili seqmentdə qalır. Front-End və Back-End arasında əlaqə üçün DFW Front-End-dən Back-End-ə keçidlərin başlanmasına imkan verən qayda yaradın.

Seçimlərin üstünlükləri:

  1. Ümumiyyətlə, qorunan xidmətə qarşı yönəlmiş hücumlar Front-End üzərində “büdləyə” bilər ki, bu da mümkün zərəri zərərsizləşdirəcək və ya əhəmiyyətli dərəcədə azaldacaq. Məsələn, TCP SYN Flood və ya yavaş http oxunması kimi bir xidmətə yönəlmiş hücumlar, Front-End serverinin əlçatmaz olmasına gətirib çıxaracaq, Back-End isə normal işləməyə və istifadəçilərə xidmət etməyə davam edəcək.
  2. Ümumiyyətlə, Back-End serverinin İnternetə çıxışı olmaya bilər ki, bu da sındırıldıqda (məsələn, yerli olaraq işləyən zərərli kodla) onun İnternetdən uzaqdan idarə olunmasını çətinləşdirəcək.
  3. Front-End proqram səviyyəli firewall (məsələn, Veb proqram firewall) və ya müdaxilənin qarşısının alınması sistemini (IPS, məsələn, snort) yerləşdirmək üçün yaxşı uyğun gəlir.
Seçimlərin çatışmazlıqları:
  1. Front-End və Back-End arasında əlaqə üçün DFW DMZ-dən daxili şəbəkəyə əlaqə yaratmağa imkan verən bir qayda yaradılır ki, bu da DMZ-dəki digər qovşaqlardan bu qaydanın istifadəsi ilə bağlı təhlükələr yaradır (məsələn, IP saxtakarlığı hücumlarının həyata keçirilməsi, ARP zəhərlənməsi, və s.)
  2. Bütün xidmətləri Front-End və Back-End-ə bölmək olmaz.
  3. Şirkət firewall qaydalarını yeniləmək üçün biznes prosesləri həyata keçirməlidir.
  4. Şirkət DMZ-də serverə giriş əldə etmiş İntruderlərin hücumlarından qorunmaq üçün mexanizmlər tətbiq etməlidir.
Qeydlər
  1. Real həyatda, hətta serverləri Front-End və Back-End-ə bölmədən belə, DMZ serverləri çox vaxt daxili şəbəkədə yerləşən serverlərə daxil olmalıdırlar, buna görə də bu seçimin göstərilən çatışmazlıqları əvvəlki nəzərdən keçirilmiş seçim üçün də doğru olacaqdır.
  2. Veb interfeysi ilə işləyən proqramların qorunmasını nəzərdən keçirsək, server funksiyaların Front-End və Back-End-ə ayrılmasını dəstəkləməsə belə, http əks proxy serverindən (məsələn, nginx) istifadə etmək lazımdır. Front-End xidmətdən imtina üçün hücumlarla bağlı riskləri minimuma endirəcək. Məsələn, SYN daşqın hücumları, Back-End işləməyə davam edərkən http əks proxy-ni əlçatmaz edə bilər.
Real həyata analogiya
Bu seçim mahiyyətcə işin təşkilinə bənzəyir, burada köməkçilər - katiblər - yüksək yüklənmiş işçilər üçün istifadə olunur. Sonra Back-End məşğul işçinin, Front-End isə katibin analoqu olacaq.


mln.kz

Seçim 4: Təhlükəsiz DMZ

DMZ İnternetdən əldə edilə bilən şəbəkənin bir hissəsidir və nəticədə hostun kompromis riskinə məruz qalır. DMZ-nin dizaynı və burada istifadə olunan yanaşmalar, İntruderin DMZ-dəki qovşaqlardan birinə nəzarəti ələ keçirdiyi şəraitdə maksimum sağ qalma qabiliyyətini təmin etməlidir. Mümkün hücumlar kimi, standart parametrlərlə işləyən demək olar ki, bütün informasiya sistemlərinin həssas olduğu hücumları nəzərdən keçirək:

DHCP hücumlarına qarşı qorunma

DHCP-nin iş stansiyaları üçün IP ünvanlarının konfiqurasiyasını avtomatlaşdırmaq üçün nəzərdə tutulmasına baxmayaraq, bəzi şirkətlərdə serverlər üçün IP ünvanlarının DHCP vasitəsilə verilməsi halları olur, lakin bu, olduqca pis təcrübədir. Buna görə də, Rogue DHCP Serverindən, DHCP aclığından qorunmaq üçün DMZ-də DHCP-ni tamamilə söndürmək tövsiyə olunur.

MAC daşqın hücumlarına qarşı qorunma

MAC daşqından qorunmaq üçün keçid portları yayım trafikinin maksimum intensivliyini məhdudlaşdırmaq üçün konfiqurasiya edilmişdir (çünki bu hücumlar adətən yayım trafikini yaradır). Xüsusi (unicast) şəbəkə ünvanlarının istifadəsini əhatə edən hücumlar əvvəllər müzakirə etdiyimiz MAC filtri ilə bloklanacaq.

UDP daşqın hücumlarına qarşı qorunma

Bu tip hücumlardan qorunma MAC daşqından qorunmağa bənzəyir, istisna olmaqla, filtrləmə IP (L3) səviyyəsində aparılır.

TCP SYN daşqın hücumlarına qarşı qorunma

Bu hücumdan qorunmaq üçün aşağıdakı variantlar mümkündür:
  1. TCP SYN Cookie texnologiyasından istifadə edərək şəbəkə qovşağında qorunma.
  2. TCP SYN sorğularını ehtiva edən trafikin intensivliyini məhdudlaşdırmaqla firewall səviyyəsində qorunma (DMZ-nin alt şəbəkəsinə daxil olmaq şərtilə).

Şəbəkə xidmətlərinə və Veb proqramlarına hücumlardan qorunma

Bu problemin universal həlli yoxdur, lakin qurulmuş təcrübə proqram təminatının zəifliyinin idarə edilməsi proseslərinin (məsələn, müəyyən edilməsi, yamaqların quraşdırılması və s.), həmçinin müdaxilənin aşkarlanması və qarşısının alınması sistemlərinin (IDS/IPS) istifadəsidir.

Doğrulama bypass hücumlarına qarşı qorunma

Əvvəlki vəziyyətdə olduğu kimi, bu problemin universal həlli yoxdur.
Adətən, çoxlu sayda uğursuz avtorizasiya cəhdləri halında, identifikasiya məlumatlarını (məsələn, parol) təxmin etməmək üçün hesablar bloklanır. Ancaq bu yanaşma olduqca mübahisəlidir və bunun səbəbi budur.
Birincisi, İntruder hesabların bloklanmasına gətirib çıxarmayan intensivliklə autentifikasiya məlumatlarının seçimini həyata keçirə bilər (parolun bir neçə on dəqiqəlik cəhdlər arasında fasilə ilə bir neçə ay ərzində seçildiyi hallar var).
İkincisi, bu xüsusiyyət hücumçunun hesabları bloklamaq üçün qəsdən çoxlu sayda avtorizasiya cəhdləri edəcəyi xidmət hücumlarının rədd edilməsi üçün istifadə edilə bilər.
Bu sinifin hücumlarına qarşı ən təsirli variant, parol təxmin etmək cəhdlərini aşkar edərkən hesabı deyil, bu təxminin baş verdiyi mənbəni bloklayan IDS/IPS sistemlərinin istifadəsi olacaqdır (məsələn, IP ünvanının bloklanması). Təcavüzkar).

Bu seçim üçün qoruyucu tədbirlərin yekun siyahısı:

  1. DMZ hər bir qovşaq üçün ayrıca alt şəbəkə ilə IP alt şəbəkələrinə bölünür.
  2. IP ünvanları administratorlar tərəfindən əl ilə təyin edilir. DHCP istifadə edilmir.
  3. DMZ qovşaqlarının qoşulduğu şəbəkə interfeyslərində MAC və IP filtrasiyası, yayım trafikinin intensivliyinə məhdudiyyətlər və TCP SYN sorğularını ehtiva edən trafik aktivləşdirilir.
  4. Port növlərinin avtomatik danışıqları açarlarda qeyri-aktivdir və yerli VLAN-dan istifadə qadağandır.
  5. TCP SYN kukisi DMZ qovşaqlarında və bu qovşaqların qoşulduğu daxili şəbəkə serverlərində konfiqurasiya edilmişdir.
  6. Proqram təminatı zəifliyinin idarə edilməsi DMZ qovşaqları (və üstünlük verilən şəbəkənin qalan hissəsi) üçün həyata keçirilir.
  7. DMZ seqmentində IDS/IPS müdaxilənin aşkarlanması və qarşısının alınması sistemləri tətbiq edilir.
Seçimlərin üstünlükləri:
  1. Yüksək təhlükəsizlik dərəcəsi.
Seçimlərin çatışmazlıqları:
  1. Avadanlıqların funksionallığına artan tələblər.
  2. İcra və dəstək üçün əmək xərcləri.
Real həyata analogiya
Əgər əvvəllər DMZ-ni divan və osmanlılarla təchiz olunmuş müştəri sahəsi ilə müqayisə etsək, onda təhlükəsiz DMZ daha çox zirehli kassa aparatına bənzəyəcək.


valmax.com.ua

Seçim 5. Geri əlaqə

Əvvəlki versiyada nəzərdən keçirilən qorunma tədbirləri şəbəkədə onları həyata keçirə bilən bir cihazın (keçid / marşrutlaşdırıcı / firewall) olmasına əsaslanırdı. Ancaq praktikada, məsələn, virtual infrastrukturdan istifadə edərkən (virtual açarlar çox vaxt çox məhdud imkanlara malikdir), belə bir cihaz olmaya bilər.

Bu şərtlər altında, əvvəllər müzakirə edilən hücumların bir çoxu Pozucu üçün əlçatan olur, bunlardan ən təhlükəlisi:

  • trafikin qarşısını almağa və dəyişdirməyə imkan verən hücumlar (ARP Poising, CAM cədvəlinin daşması + TCP sessiyasının qaçırılması və s.);
  • DMZ-dən qoşulmaların başlana biləcəyi daxili şəbəkə serverlərində zəifliklərin istismarı ilə bağlı hücumlar (bu, filtrləmə qaydalarından yan keçməklə mümkündür) DFW IP və MAC saxtakarlığına görə).
Əvvəllər nəzərdən keçirmədiyimiz, lakin daha az əhəmiyyət kəsb etməyən növbəti vacib xüsusiyyət odur ki, istifadəçilərin avtomatlaşdırılmış iş stansiyaları (AWS) həm də zərərli təsirlərin mənbəyi ola bilər (məsələn, viruslar və ya troyanlarla yoluxduqda) serverlərdə.

Beləliklə, daxili şəbəkənin serverlərini həm DMZ-dən, həm də daxili şəbəkədən Intruder tərəfindən edilən hücumlardan qorumaq vəzifəsi ilə qarşılaşırıq (iş stansiyasının troyanla yoluxması Intruderin daxili şəbəkədən hərəkətləri kimi şərh edilə bilər) ).

Aşağıda təklif olunan yanaşma İntruderin serverlərə hücum edə biləcəyi kanalların sayını azaltmağa yönəlib və ən azı iki belə kanal var. Birinci qaydadır DFW, DMZ-dən daxili şəbəkə serverinə giriş imkanı verir (IP ünvanları ilə məhdudlaşsa belə), ikincisi isə serverdə qoşulma sorğularının gözlənilən açıq şəbəkə portudur.

Daxili şəbəkə serveri özü DMZ-də serverə bağlantılar qurursa və bunu kriptoqrafik cəhətdən təhlükəsiz şəbəkə protokollarından istifadə edərək edirsə, siz bu kanalları bağlaya bilərsiniz. Onda nə açıq port, nə də bir qayda olacaq DFW.

Ancaq problem ondadır ki, adi server xidmətləri bu şəkildə necə işləməyi bilmir və bu yanaşmanı həyata keçirmək üçün, məsələn, SSH və ya VPN istifadə edərək həyata keçirilən şəbəkə tunelindən istifadə etmək lazımdır və tunellər daxilində serverdən qoşulmalara icazə verilir. DMZ-də daxili şəbəkə serverinə.

Bu seçimin ümumi işləmə sxemi aşağıdakı kimidir:

  1. DMZ-dəki serverdə SSH/VPN serveri, daxili şəbəkədəki serverdə isə SSH/VPN müştərisi quraşdırılıb.
  2. Daxili şəbəkə serveri DMZ-də serverə şəbəkə tunelinin tikintisinə başlayır. Tunel müştəri və serverin qarşılıqlı autentifikasiyası ilə qurulur.
  3. DMZ-dən olan server, qurulmuş tunel daxilində, qorunan məlumatların ötürüldüyü daxili şəbəkədəki serverə qoşulmağa başlayır.
  4. Tuneldən keçən trafiki süzmək üçün daxili şəbəkə serverində yerli firewall konfiqurasiya edilmişdir.

Təcrübədə bu seçimdən istifadə OpenVPN-dən istifadə edərək şəbəkə tunellərinin qurulmasının əlverişli olduğunu göstərdi, çünki o, aşağıdakı vacib xüsusiyyətlərə malikdir:

  • Çarpaz platforma. Müxtəlif əməliyyat sistemləri olan serverlərdə rabitə təşkil edə bilərsiniz.
  • Müştəri və serverin qarşılıqlı autentifikasiyası ilə tunellərin qurulması imkanı.
  • Sertifikatlaşdırılmış kriptoqrafiyadan istifadə etmək imkanı.
İlk baxışdan görünə bilər ki, bu sxem lazımsız dərəcədə mürəkkəbdir və hələ də daxili şəbəkə serverində yerli təhlükəsizlik duvarı quraşdırmalı olduğunuz üçün serveri DMZ-dən düzəltmək, həmişə olduğu kimi, daxili şəbəkəyə qoşulmaq daha asan olardı. server, lakin bunu şifrəli əlaqə ilə edin. Həqiqətən, bu seçim bir çox problemi həll edəcək, lakin o, əsas şeyi təmin edə bilməyəcək - IP və MAC saxtakarlığından istifadə edərək firewalldan yan keçməklə həyata keçirilən daxili şəbəkə server zəifliklərinə hücumlardan qorunma.

Seçimlərin üstünlükləri:

  1. Qorunan daxili şəbəkə serverində hücum vektorlarının sayının memarlıq azaldılması.
  2. Şəbəkə trafikinin filtrasiyası olmadıqda təhlükəsizliyin təmin edilməsi.
  3. Şəbəkə üzərindən ötürülən məlumatların icazəsiz baxılması və dəyişdirilməsindən qorunması.
  4. Xidmətlərin təhlükəsizlik səviyyəsini seçici şəkildə artırmaq imkanı.
  5. İki dövrəli mühafizə sistemini həyata keçirmək imkanı, burada birinci dövrə firewalling istifadə edərək təmin edilir, ikincisi isə bu seçim əsasında təşkil edilir.
Seçimlərin çatışmazlıqları:
  1. Bu mühafizə variantının həyata keçirilməsi və saxlanması əlavə əmək xərcləri tələb edir.
  2. Şəbəkəyə müdaxilənin aşkarlanması və qarşısının alınması sistemləri (IDS/IPS) ilə uyğunsuzluq.
  3. Serverlərdə əlavə hesablama yükü.
Real həyata analogiya
Bu seçimin əsas mənası ondan ibarətdir ki, etibarlı şəxs etibarsız şəxslə əlaqə qurur, bu, kreditlər verərkən Bankların özləri potensial borcalanı məlumatları yoxlamaq üçün geri çağırdıqları vəziyyətə bənzəyir. Teqlər əlavə edin

Lokal şəbəkəsi olmayan və internetə çıxışı olmayan hər hansı bir şirkəti təsəvvür etmək getdikcə çətinləşir. İşi yaxşılaşdırmağa, məlumatlara sürətli çıxışı, sənədlərin və məlumatların mübadiləsini təmin edən ümumi texnologiya. Bu bir tərəfdən. Digər tərəfdən, internetin geniş yayılması ilə informasiyanın və bütövlükdə lokal şəbəkənin mühafizəsi probleminin həllinə ehtiyac var. Bu problem xüsusilə şirkətin ümumi yerli şəbəkədə yerləşən ictimai əlçatan İnternet xidmətləri (veb və ftp serverləri, e-poçt xidmətləri, onlayn mağazalar) olduqda ortaya çıxır.

Bu cür serverlərə giriş çox vaxt sərbəst şəkildə təmin edilir, yəni hər hansı bir istifadəçi giriş və paroldan istifadə edərək autentifikasiya etmədən veb serverdə yerləşən resursa, ftp serverinin bölmələrinə daxil ola bilər, poçt serveri poçtu qəbul edəcək. digər oxşar poçt serverləri. Zərərli kodun poçtla birlikdə serverə düşməyəcəyinə və yüzlərlə istifadəçi arasında hər hansı bir səbəbdən nəinki dövlət xidmətlərinə, hətta ictimai xidmətlərə giriş əldə etmək istəyənlərin olmayacağına heç bir zəmanət yoxdur. təşkilatın yerli şəbəkəsi. Şəbəkə açarlar (açarlar) üzərində deyil, sadə konsentratorlar (hublar) üzərində qurularsa, o zaman böyük təhlükəyə məruz qalacaqdır.

Kompüterlərdən birini sındırmaqla, haker bütün şəbəkəyə giriş əldə edə bilər

Bu nədir? Yerli şəbəkədə ən azı bir kompüterə giriş əldə edən haker inzibatçı paroluna qədər parol əldə edə bilər ki, bu da ona şəbəkədə dolaşan və ya saxlanılan istənilən məlumatı əldə etməyə, giriş parollarını elə dəyişdirməyə imkan verəcək ki, verilənlər bazası əlçatmaz olacaq və ya sadəcə olaraq xidmətdən çıxarılacaq. Bundan əlavə, veb serverə giriş əldə edərək, bütün daxili korporativ resursların funksionallığını bloklaya bilən DoS hücumlarını həyata keçirmək üçün istifadə edilə bilər.

Buna görə də, ictimai serverləri əhatə edən sistemlərin qurulmasına yanaşma daxili serverlərə əsaslanan sistemlərin qurulmasına yanaşmadan fərqli olmalıdır. Bu, serverin ictimai əlçatanlığı ilə əlaqədar yaranan xüsusi risklərlə diktə olunur. Həll yolu yerli şəbəkəni və ictimai serverləri ayrı-ayrı hissələrə ayırmaqdır. Dövlət xidmətlərinin yerləşəcəyi yer “demilitarizasiya zonası” adlanır ( DMZ - Demilitarized Zone).

DMZ - xüsusi diqqət zonası

DMZ-nin mahiyyəti ondan ibarətdir ki, o, həm daxili, həm də xarici şəbəkəyə birbaşa daxil deyil və ona daxil olmaq yalnız əvvəlcədən müəyyən edilmiş firewall qaydalarına uyğun olaraq həyata keçirilə bilər. DMZ-də istifadəçilər yoxdur - orada yalnız serverlər yerləşir. Demilitarizasiya zonası adətən xaricdən giriş tələb edən bütün xidmətləri yerli şəbəkədən xüsusi zonaya köçürməklə daxili şəbəkədəki hostlara xarici şəbəkədən girişin qarşısını almağa xidmət edir. Əslində, belə çıxır ki, bu zona ictimai ünvanları olan, ictimai və korporativ şəbəkələrdən firewalllarla qorunan (və ya ayrılmış) ayrıca alt şəbəkə olacaq.

Belə bir zona yaratarkən korporativ şəbəkə administratorları əlavə vəzifələrlə üzləşirlər. DMZ-də yerləşən resurslara və serverlərə çıxışın diferensiallaşdırılmasını təmin etmək, istifadəçilər bu resurslarla işləyərkən ötürülən məlumatların məxfiliyini təmin etmək, istifadəçi hərəkətlərinə nəzarət etmək lazımdır. Serverlərdə yerləşə biləcək məlumatlarla bağlı aşağıdakıları söyləmək olar. Nəzərə alsaq ki, dövlət xidmətləri sındırıla bilər, ən az əhəmiyyət kəsb edən məlumatlar onlarda yerləşməlidir və istənilən dəyərli məlumat yalnız yerli şəbəkədə yerləşdirilməlidir ki, bu da ictimai serverlərdən əlçatan olmayacaq.

DMZ-də yerləşən serverlərdə istifadəçilər, şirkət müştəriləri və ya digər məxfi məlumatlar haqqında heç bir məlumat olmamalıdır, işçilərin şəxsi poçt qutuları olmamalıdır - bütün bunlar yerli şəbəkənin qorunan hissəsində etibarlı şəkildə "gizlənməlidir". İctimai serverlərdə mövcud olacaq məlumat üçün mümkün olan ən az tezlikdə ehtiyat arxivləşdirməni təmin etmək lazımdır. Bundan əlavə, poçt serverlərinə ən azı iki serverli xidmət modelindən istifadə etmələri, veb-serverlərə isə haker hücumunun nəticələrini vaxtında aşkar etmək və aradan qaldırmaq üçün məlumatların vəziyyətini daim izləmək tövsiyə olunur.

DMZ yaratarkən firewallların istifadəsi məcburidir

Korporativ şəbəkəyə demilitarizasiya zonası vasitəsilə nüfuzu qorumaq üçün təhlükəsizlik divarları istifadə olunur. Proqram və aparat ekranları var. Proqram proqramları UNIX və ya Windows NT/2000 ilə işləyən maşın tələb edir. Bir hardware firewall quraşdırmaq üçün onu yalnız şəbəkəyə qoşmaq və minimal konfiqurasiyanı yerinə yetirmək lazımdır. Tipik olaraq, proqram ekranları kiçik şəbəkələri qorumaq üçün istifadə olunur, burada istifadəçilər üçün protokolla bant genişliyi və trafik məhdudiyyətlərinin çevik ayrılması ilə bağlı çoxlu parametrlər etməyə ehtiyac yoxdur. Şəbəkə böyükdürsə və yüksək performans tələb olunursa, hardware firewalllarından istifadə etmək daha sərfəli olur. Bir çox hallarda bir yox, iki firewall istifadə olunur - biri silahsızlaşdırılmış zonanı xarici təsirlərdən qoruyur, ikincisi onu korporativ şəbəkənin daxili hissəsindən ayırır.

Ancaq ictimai serverlərin silahsızlaşdırılmış zonaya köçürülməsi korporativ şəbəkəni müəyyən dərəcədə qoruduğundan əlavə, DMZ-nin özünün qorunmasını düşünmək və təmin etmək lazımdır. Bu vəziyyətdə aşağıdakı kimi məsələləri həll etmək lazımdır:

  • serverlərə və şəbəkə avadanlıqlarına hücumlardan qorunma;
  • fərdi serverlərin qorunması;
  • e-poçt və digər məzmuna nəzarət;
  • istifadəçi hərəkətlərinin auditi.

Bu məsələləri necə həll etmək olar? Həm xarici yazışmalar, həm də daxili korporativ yazışmalar üçün istifadə olunan poçt serverini iki komponentə - əslində relay serveri olacaq və DMZ-də yerləşəcək ictimai olana və əsas serverə "bölmək" məqsədəuyğundur. biri, korporativ şəbəkə daxilində yerləşir. Əsas komponent daxili poçtun dövriyyəsini təmin edir, təkrarlayıcıdan xarici yazışmaları qəbul edir və ona göndərir.

Əsas problemlərdən biri korporativ intranetdən ictimai resurslara və proqramlara təhlükəsiz girişin təmin edilməsidir. Onunla demilitarizasiya zonası arasında firewall quraşdırılsa da, işləmək üçün "şəffaf" olmalıdır. İstifadəçilərə bu imkanı təqdim etmək üçün bir neçə variant var. Birincisi, terminal girişinin istifadəsidir. Müştəri və server arasında qarşılıqlı əlaqənin bu şəkildə təşkili ilə, viruslar və digər zərərli daxilolmalar daxil ola biləcək qurulmuş əlaqə vasitəsilə heç bir proqram kodu ötürülmür. Terminal müştərisindən serverə istifadəçinin basdığı ​​klaviatura düymələri və siçan vəziyyətlərinin kod axını var və geriyə, serverdən müştəriyə istifadəçinin brauzerinin və ya poçt müştərisinin server sessiyasının ekranlarının ikili şəkilləri var. aldı. Başqa bir seçim VPN (Virtual Şəxsi Şəbəkə) istifadə etməkdir. Giriş nəzarəti və məlumatın kripto-mühafizəsi sayəsində VPN özəl şəbəkənin təhlükəsizliyinə malikdir və eyni zamanda ictimai şəbəkənin bütün üstünlüklərindən istifadə edir.

DMZ-də serverlərin və avadanlıqların təhlükəsizliyinə xüsusi diqqətlə yanaşmaq lazımdır

Serverlərə və şəbəkə avadanlıqlarına hücumlardan qorunmaq üçün xüsusi müdaxilə aşkarlama sistemlərindən istifadə olunur. Belə bir sistemin quraşdırıldığı kompüter İnternetdən DMZ-yə məlumat axını yolunda birinci olur. Sistemlər elə konfiqurasiya edilib ki, hücumlar aşkar edildikdə girişi tamamilə bloklamaq üçün təhlükəsizlik duvarını yenidən konfiqurasiya edə bilsinlər. Əlavə, lakin daimi olmayan nəzarət məqsədi ilə xüsusi proqram təminatı istifadə olunur - şəbəkənin, serverlərin və xidmətlərin, verilənlər bazalarının təhlükəsizliyini yoxlayan təhlükəsizlik skanerləri. Demilitarizasiya zonasında viruslardan qorunmaq üçün antivirus proqramı və məzmuna nəzarət alətləri quraşdırılıb.

DMZ-nin təşkili və qorunması üçün proqram və texniki həllər müxtəlif şirkətlər tərəfindən təklif olunur. Bunlar həm xarici, həm də ruslardır. Onların arasında, məsələn, Computer Associates, D-Link, Informzashita, Trend Micro və bir çox başqaları var.

İnternetin geniş yayılması ilə informasiyanın və bütövlükdə lokal şəbəkənin mühafizəsi probleminin həllinə ehtiyac var. Bu problem xüsusilə şirkətin ümumi yerli şəbəkədə yerləşən ictimai əlçatan İnternet xidmətləri (veb və ftp serverləri, e-poçt xidmətləri, onlayn mağazalar) olduqda ortaya çıxır.

Bu cür serverlərə giriş çox vaxt sərbəst şəkildə təmin edilir, yəni hər hansı bir istifadəçi giriş və paroldan istifadə edərək autentifikasiya etmədən veb serverdə yerləşən resursa, ftp serverinin bölmələrinə daxil ola bilər, poçt serveri poçtu qəbul edəcək. digər oxşar poçt serverləri. Zərərli kodun poçtla birlikdə serverə düşməyəcəyinə və yüzlərlə istifadəçi arasında hər hansı bir səbəbdən nəinki dövlət xidmətlərinə, hətta ictimai xidmətlərə giriş əldə etmək istəyənlərin olmayacağına heç bir zəmanət yoxdur. təşkilatın yerli şəbəkəsi. Şəbəkə açarlar (açarlar) üzərində deyil, sadə konsentratorlar (hublar) üzərində qurularsa, o zaman böyük təhlükəyə məruz qalacaqdır.

Kompüterlərdən birini sındırmaqla, haker bütün şəbəkəyə giriş əldə edə bilər

Bu nədir? Yerli şəbəkədə ən azı bir kompüterə giriş əldə edən haker inzibatçı paroluna qədər parol əldə edə bilər ki, bu da ona şəbəkədə dolaşan və ya saxlanılan istənilən məlumatı əldə etməyə, giriş parollarını elə dəyişdirməyə imkan verəcək ki, verilənlər bazası əlçatmaz olacaq və ya sadəcə olaraq xidmətdən çıxarılacaq. Bundan əlavə, veb serverə giriş əldə edərək, bütün daxili korporativ resursların funksionallığını bloklaya bilən DoS hücumlarını həyata keçirmək üçün istifadə edilə bilər.

Buna görə də, ictimai serverləri əhatə edən sistemlərin qurulmasına yanaşma daxili serverlərə əsaslanan sistemlərin qurulmasına yanaşmadan fərqli olmalıdır. Bu, serverin ictimai əlçatanlığı ilə əlaqədar yaranan xüsusi risklərlə diktə olunur. Həll yolu yerli şəbəkəni və ictimai serverləri ayrı-ayrı hissələrə ayırmaqdır. Dövlət xidmətlərinin yerləşəcəyi yer “demilitarizasiya zonası” adlanır ( DMZ - Demilitarized Zone).

Şəkil 13.2 – Hərbisizləşdirilmiş zona ilə lokal şəbəkənin sxemi

DMZ-nin mahiyyəti ondan ibarətdir ki, o, həm daxili, həm də xarici şəbəkəyə birbaşa daxil deyil və ona daxil olmaq yalnız əvvəlcədən müəyyən edilmiş firewall qaydalarına uyğun olaraq həyata keçirilə bilər. DMZ-də istifadəçilər yoxdur - orada yalnız serverlər yerləşir. Demilitarizasiya zonası adətən xaricdən giriş tələb edən bütün xidmətləri yerli şəbəkədən xüsusi zonaya köçürməklə daxili şəbəkədəki hostlara xarici şəbəkədən girişin qarşısını almağa xidmət edir. Əslində, belə çıxır ki, bu zona ictimai ünvanları olan, ictimai və korporativ şəbəkələrdən firewalllarla qorunan (və ya ayrılmış) ayrıca alt şəbəkə olacaq.



Belə bir zona yaratarkən korporativ şəbəkə administratorları əlavə vəzifələrlə üzləşirlər. DMZ-də yerləşən resurslara və serverlərə çıxışın diferensiallaşdırılmasını təmin etmək, istifadəçilər bu resurslarla işləyərkən ötürülən məlumatların məxfiliyini təmin etmək, istifadəçi hərəkətlərinə nəzarət etmək lazımdır. Serverlərdə yerləşə biləcək məlumatlarla bağlı aşağıdakıları söyləmək olar. Nəzərə alsaq ki, dövlət xidmətləri sındırıla bilər, ən az əhəmiyyət kəsb edən məlumatlar onlarda yerləşməlidir və istənilən dəyərli məlumat yalnız yerli şəbəkədə yerləşdirilməlidir ki, bu da ictimai serverlərdən əlçatan olmayacaq.

DMZ-də yerləşən serverlərdə istifadəçilər, şirkət müştəriləri və ya digər məxfi məlumatlar haqqında heç bir məlumat olmamalıdır, işçilərin şəxsi poçt qutuları olmamalıdır - bütün bunlar yerli şəbəkənin təhlükəsiz hissəsində etibarlı şəkildə "gizlənməlidir". İctimai serverlərdə mövcud olacaq məlumat üçün mümkün olan ən az tezlikdə ehtiyat arxivləşdirməni təmin etmək lazımdır. Bundan əlavə, poçt serverlərinə ən azı iki serverli xidmət modelindən istifadə etmələri, veb-serverlərə isə haker hücumunun nəticələrini vaxtında aşkar etmək və aradan qaldırmaq üçün məlumatların vəziyyətini daim izləmək tövsiyə olunur.

DMZ yaratarkən firewallların istifadəsi məcburidir

Korporativ şəbəkəyə demilitarizasiya zonası vasitəsilə nüfuzu qorumaq üçün təhlükəsizlik divarları istifadə olunur. Proqram və aparat ekranları var. Proqram proqramları UNIX və ya Windows NT/2000 ilə işləyən maşın tələb edir. Bir hardware firewall quraşdırmaq üçün onu yalnız şəbəkəyə qoşmaq və minimal konfiqurasiyanı yerinə yetirmək lazımdır. Tipik olaraq, proqram ekranları kiçik şəbəkələri qorumaq üçün istifadə olunur, burada istifadəçilər üçün protokolla bant genişliyi və trafik məhdudiyyətlərinin çevik ayrılması ilə bağlı çoxlu parametrlər etməyə ehtiyac yoxdur. Şəbəkə böyükdürsə və yüksək performans tələb olunursa, hardware firewalllarından istifadə etmək daha sərfəli olur. Bir çox hallarda bir yox, iki firewall istifadə olunur - biri silahsızlaşdırılmış zonanı xarici təsirlərdən qoruyur, ikincisi onu korporativ şəbəkənin daxili hissəsindən ayırır.



Ancaq ictimai serverlərin silahsızlaşdırılmış zonaya köçürülməsi korporativ şəbəkəni müəyyən dərəcədə qoruduğundan əlavə, DMZ-nin özünün qorunmasını düşünmək və təmin etmək lazımdır. Bu vəziyyətdə aşağıdakı kimi məsələləri həll etmək lazımdır:

· serverlərə və şəbəkə avadanlıqlarına hücumlardan müdafiə;

· fərdi serverlərin mühafizəsi;

· e-poçt və digər məzmuna nəzarət;

· istifadəçi hərəkətlərinin auditi.

Bu məsələləri necə həll etmək olar? Həm xarici yazışmalar, həm də daxili korporativ yazışmalar üçün istifadə olunan poçt serverini iki komponentə - əslində relay serveri olacaq və DMZ-də yerləşəcək ictimai olana və əsas serverə "bölmək" məqsədəuyğundur. biri, korporativ şəbəkə daxilində yerləşir. Əsas komponent daxili poçtun dövriyyəsini təmin edir, təkrarlayıcıdan xarici yazışmaları qəbul edir və ona göndərir.

Əsas problemlərdən biri korporativ intranetdən ictimai resurslara və proqramlara təhlükəsiz girişin təmin edilməsidir. Onunla demilitarizasiya zonası arasında firewall quraşdırılsa da, işləmək üçün "şəffaf" olmalıdır. İstifadəçilərə bu imkanı təqdim etmək üçün bir neçə variant var. Birincisi, terminal girişinin istifadəsidir. Müştəri və server arasında qarşılıqlı əlaqənin bu şəkildə təşkili ilə, viruslar və digər zərərli daxilolmalar daxil ola biləcək qurulmuş əlaqə vasitəsilə heç bir proqram kodu ötürülmür. Terminal müştərisindən serverə istifadəçinin basdığı ​​klaviatura düymələri və siçan vəziyyətlərinin kod axını var və geriyə, serverdən müştəriyə istifadəçinin brauzerinin və ya poçt müştərisinin server sessiyasının ekranlarının ikili şəkilləri var. aldı. Başqa bir seçim VPN (Virtual Şəxsi Şəbəkə) istifadə etməkdir. Giriş nəzarəti və məlumatın kripto-mühafizəsi sayəsində VPN özəl şəbəkənin təhlükəsizliyinə malikdir və eyni zamanda ictimai şəbəkənin bütün üstünlüklərindən istifadə edir.

DMZ-də serverlərin və avadanlıqların təhlükəsizliyinə xüsusi diqqətlə yanaşmaq lazımdır

Serverlərə və şəbəkə avadanlıqlarına hücumlardan qorunmaq üçün xüsusi müdaxilə aşkarlama sistemlərindən istifadə olunur. Belə bir sistemin quraşdırıldığı kompüter İnternetdən DMZ-yə məlumat axını yolunda birinci olur. Sistemlər elə konfiqurasiya edilib ki, hücumlar aşkar edildikdə, onlar təhlükəsizlik duvarını girişi tamamilə bloklayana qədər yenidən konfiqurasiya edə bilsinlər. Əlavə, lakin daimi olmayan nəzarət məqsədi ilə xüsusi proqram təminatı istifadə olunur - şəbəkənin, serverlərin və xidmətlərin, verilənlər bazalarının təhlükəsizliyini yoxlayan təhlükəsizlik skanerləri. Demilitarizasiya zonasında viruslardan qorunmaq üçün antivirus proqramı və məzmuna nəzarət alətləri quraşdırılıb.


Qlobal şəbəkələr

Ərazi kompüter şəbəkələri də adlandırılan Geniş Sahə Şəbəkələri (WAN) böyük bir əraziyə - region, region, ölkə, qitə və ya bütün dünya daxilində səpələnmiş çoxlu sayda son abunəçilərə öz xidmətlərini təqdim etməyə xidmət edir. Rabitə kanallarının böyük uzunluğuna görə qlobal şəbəkənin qurulması çox böyük xərclər tələb edir ki, bura kabellərin və onların quraşdırılması üzrə işlərin dəyəri, kommutasiya avadanlığının və lazımi kanal genişliyini təmin edən ara gücləndirici avadanlıqların dəyəri, habelə istismar xərcləri daxildir. səpələnmiş bir şəbəkənin geniş bir şəbəkə avadanlığı sahəsində daim saxlanması üçün xərclər.

Qlobal kompüter şəbəkəsinin tipik abunəçiləri bir-biri ilə məlumat mübadiləsi aparmalı olan müxtəlif şəhərlərdə və ölkələrdə yerləşən müəssisələrin yerli şəbəkələridir. Fərdi kompüterlər qlobal şəbəkələrin xidmətlərindən də istifadə edirlər.

WAN-lar adətən böyük telekommunikasiya şirkətləri tərəfindən abunəçilərə pullu xidmət göstərmək üçün yaradılır. Belə şəbəkələr ictimai və ya ictimai adlanır. Şəbəkə operatoru və şəbəkə xidməti təminatçısı kimi anlayışlar da var. Şəbəkə operatoru şəbəkənin normal fəaliyyətini təmin edən şirkətdir. Tez-tez xidmət təminatçısı da adlandırılan xidmət provayderi şəbəkə abunəçilərinə pullu xidmətlər göstərən şirkətdir. Sahib, operator və xidmət təminatçısı bir şirkət ola bilər və ya müxtəlif şirkətləri təmsil edə bilər.

Çox nadir hallarda qlobal şəbəkə daxili ehtiyacları üçün bəzi böyük korporasiyalar tərəfindən tamamilə yaradılır. Bu halda şəbəkə özəl adlanır. Çox tez-tez bir ara seçim var - korporativ şəbəkə ictimai geniş şəbəkənin xidmətlərindən və ya avadanlığından istifadə edir, lakin bu xidmətləri və ya avadanlığı özü ilə tamamlayır.

Hansı komponentlərin icarəyə götürülməsindən asılı olaraq, istifadə edərək qurulmuş şəbəkələri ayırmaq adətdir:

Xüsusi kanallar;

Dövrə keçidi;

Paket kommutasiyası.

Sonuncu hal, ümumi korporativ şəbəkədə birləşdirilməli olan bütün coğrafi yerlərdə paket kommutasiya şəbəkəsinin mövcud olduğu ən yaxşı vəziyyət ssenarisinə uyğundur. İlk iki hal icarəyə götürülmüş vəsaitlər əsasında paket kommutasiya şəbəkəsinin qurulması üçün əlavə iş tələb edir.

Xüsusi kanallar

Xüsusi (və ya icarəyə verilmiş) sxemləri şəhərlərarası sxemlərə sahib olan telekommunikasiya şirkətlərindən və ya adətən bir şəhər və ya bölgə daxilində sxemləri icarəyə götürən telefon şirkətlərindən əldə etmək olar.

İcarəyə götürülmüş xətlərdən iki şəkildə istifadə edə bilərsiniz. Birincisi, onların köməyi ilə müəyyən bir texnologiyanın ərazi şəbəkəsini qurmaqdır, məsələn, icarəyə götürülmüş xətlər aralıq, coğrafi olaraq paylanmış paket kommutatorlarını birləşdirməyə xidmət edən Frame Relay.

İkinci seçim qlobal şəbəkə texnologiyasından istifadə etməklə işləyən tranzit paket açarlarını quraşdırmadan yalnız xüsusi xətlər vasitəsilə birləşdirilən yerli şəbəkələri birləşdirməkdir. İkinci variant texniki baxımdan ən sadədir, çünki bir-biri ilə əlaqəli lokal şəbəkələrdə marşrutlaşdırıcıların və ya uzaq körpülərin istifadəsinə və X.25 və ya Frame Relay kimi qlobal texnologiya protokollarının olmamasına əsaslanır. Eyni şəbəkə və ya keçid səviyyəli paketlər yerli şəbəkələrdə olduğu kimi qlobal kanallar üzərindən ötürülür.

Bu, qlobal kanallardan istifadənin ikinci üsuludur ki, xüsusi adı "xüsusi kanal xidmətləri" aldı, çünki paket kommutasiyası ilə faktiki qlobal şəbəkələrin texnologiyalarından başqa heç nə istifadə etmir.

Xüsusi kanallar çox yaxın keçmişdə çox fəal şəkildə istifadə olunurdu və bu gün xüsusilə böyük yerli şəbəkələr arasında kritik magistral əlaqələr qurarkən istifadə olunur, çünki bu xidmət icarəyə götürülmüş kanalın ötürücülüyünə zəmanət verir. Bununla belə, çoxlu sayda coğrafi baxımdan uzaq nöqtələr və onlar arasında intensiv qarışıq qrafiklə, bu xidmətdən istifadə çox sayda icarəyə götürülmüş kanallar səbəbindən yüksək xərclərə səbəb olur.

Bu gün xüsusi kanalların böyük seçimi mövcuddur - 3,1 kHz bant genişliyinə malik analoq səs tezliyi kanallarından tutmuş 155 və 622 Mbit/s ötürmə qabiliyyəti olan SDN texnologiyasının rəqəmsal kanallarına qədər.

DMZ abbreviaturası Demilitarized Zone, yəni “Demilitarized Zone” deməkdir. Bu gözlənilməzdir və bunun marşrutlaşdırıcı ilə nə əlaqəsi olduğu aydın deyil. Ancaq əslində bu, bir sıra hallarda çox faydalı bir şeydir. Bu məqalədə müzakirə ediləcək şey budur.

DMZ-nin məqsədi və istifadəsi

DMZ İnternetə birbaşa çıxış tələb edən xidmətlər və proqramlar üçün yaradılmış şəbəkə seqmentidir. Birbaşa giriş torrentlər, ani mesajlaşmalar, onlayn oyunlar və bəzi digər proqramlar üçün lazımdır. Bir video nəzarət kamerası quraşdırmaq və İnternet vasitəsilə ona daxil olmaq istəyirsinizsə, onsuz edə bilməzsiniz.

Proqramın işlədiyi kompüter marşrutlaşdırıcıdan yan keçərək birbaşa İnternetə qoşulursa, DMZ-dən istifadə etməyə ehtiyac yoxdur. Ancaq əlaqə marşrutlaşdırıcı vasitəsilə həyata keçirilirsə, o zaman İnternetdən proqrama "çatmaq" mümkün olmayacaq, çünki bütün sorğular marşrutlaşdırıcı tərəfindən qəbul ediləcək və yerli şəbəkə daxilində ötürülməyəcək.

Bu problemi həll etmək üçün adətən marşrutlaşdırıcıda port yönləndirilməsi istifadə olunur. Bu barədə saytımızda məlumat var. Ancaq bu həmişə əlverişli deyil və bəzi insanlar DMZ qurmağı üstün tuturlar. Routerinizdə DMZ quraşdırsanız və ona istədiyiniz şəbəkə nodunu əlavə etsəniz, məsələn, oyun serveri ilə işləyən kompüter və ya IP kameranın qoşulduğu DVR, bu qovşaq xarici şəbəkədən görünəcək. birbaşa internetə qoşulmuşdular. Şəbəkənizdəki digər cihazlar üçün heç nə dəyişməyəcək - onlar əvvəlki kimi işləyəcəklər.

Bütün bu parametrlərlə bağlı diqqətli olmalısınız. Həm port yönləndirmə, həm də DMZ potensial təhlükəsizlik boşluğu olduğundan. Təhlükəsizliyi artırmaq üçün böyük şirkətlər tez-tez DMZ üçün ayrıca şəbəkə yaradırlar. DMZ şəbəkəsindən digər kompüterlərə girişi bloklamaq üçün əlavə bir marşrutlaşdırıcı istifadə olunur.

Routerdə DMZ-nin qurulması

Routerlər yalnız bir cihazın DMZ-yə əlavə edilməsinə icazə verir. Router "ağ" IP ünvanı almalıdır. Yalnız bu halda qlobal şəbəkədən ona daxil olmaq mümkün olacaq. Bu barədə məlumatı İnternet provayderinizdən əldə edə bilərsiniz. Bəzi provayderlər xarici IP ünvanını pulsuz təqdim edirlər, lakin bu xidmət çox vaxt əlavə ödəniş tələb edir.

Statik IP ünvanının təyin edilməsi

DMZ-ə yalnız statik IP ünvanı olan kompüter əlavə edilə bilər. Ona görə də ilk işimiz onu dəyişdirməkdir. Bunu etmək üçün şəbəkə bağlantısının xüsusiyyətlərini açın və TCP/IP parametrlərində şəbəkənizin ünvan diapazonunda statik IP ünvanı təyin edin. Məsələn, marşrutlaşdırıcınızda IP 192.168.0.1 varsa, kompüteriniz üçün 192.168.0.10-u təyin edə bilərsiniz. Standart alt şəbəkə maskası 255.255.255.0-dır. Və "Gateway" sahəsində marşrutlaşdırıcınızın ünvanını göstərməlisiniz.

Nəzərə alın ki, kompüterə təyin edilmiş IP ünvanı paylanmış ünvanlar diapazonunda olmamalıdır.

Bu nöqtədə kompüterin quraşdırılması tamamlandı və siz marşrutlaşdırıcının parametrlərinə keçə bilərsiniz.

Routerin qurulması

İlk addım marşrutlaşdırıcıda DMZ-ni aktivləşdirməkdir, çünki o, həmişə standart olaraq qeyri-aktivdir.

Cihazın veb interfeysində müvafiq menyu elementini tapın:

  • Asus marşrutlaşdırıcılarında tələb olunan nişan DMZ adlanır.
  • TP-Link marşrutlaşdırıcılarında "Yönləndirmə" maddəsini açın və DMZ alt elementi olacaq.
  • D-Link-də “Firewall” elementini axtarın.

Hər halda, parametrlər sekmesinde "Enable" qutusunu qeyd etməlisiniz. Və onun yanında "DMZ Host ünvanı" və ya "Görünən stansiya ünvanı" adlı bir sahə tapın (router modelindən asılı olaraq başqa seçimlər də ola bilər). Bu sahədə kompüterin və ya DMZ-yə əlavə edilməli olan digər cihazın statik ünvanını daxil edirik. Bizim vəziyyətimizdə 192.168.0.10-dur.

Parametrləri qeyd edin və marşrutlaşdırıcını yenidən başladın. Hamısı budur: seçilmiş kompüterdəki bütün portlar açıqdır. Gələn bağlantılardan istifadə edən hər hansı bir proqram şəbəkəyə birbaşa daxil olduğunu düşünəcək. Bütün digər proqramlar normal işləyəcək.

Aşağıda ingilis interfeysi ilə bir marşrutlaşdırıcının qurulması nümunəsi verilmişdir.

DMZ yaratmaq lazımi proqramların işini asanlaşdırmaq üçün əlverişli bir yoldur, lakin nəzərə almalısınız ki, kompüterə açıq giriş şəbəkə hücumları və virus infeksiyaları riskini artırır.

Buna görə də DMZ hostu kimi istifadə edilən cihazda firewall və antivirus proqramı quraşdırmaq lazımdır.

Təsvir

Demilitarizasiya zonası və ya DMZ, İnternetdən və təşkilatın yerli şəbəkəsindən bir firewall ilə ayrılmış ağ etiketli bir şəbəkə seqmentidir. Poçt və ya veb server kimi İnternetdən əldə edilməli olan serverlər adətən DMZ-də yerləşdirilir. DMZ şəbəkəsindəki serverlər yerli şəbəkədən firewall vasitəsilə ayrıldığından, onlar sındırıldıqda, təcavüzkar yerli şəbəkə resurslarına giriş əldə edə bilməyəcək.

Parametrlər

Demilitarizasiya zonası “provayderlər və şəbəkələr” modulunda yaradılıb. Onu yaratarkən, İnternet İdarəetmə Serverinin IP ünvanını və DMZ şəbəkə maskasını göstərməlisiniz, həmçinin DMZ üçün şəbəkə interfeysini seçməlisiniz. Təhlükəsizlik məqsədləri üçün adətən DMZ üçün ayrıca şəbəkə interfeysi istifadə olunur.

Varsayılan olaraq, DMZ-də yerləşən serverlərin İnternetə və yerli şəbəkəyə çıxışı yoxdur, buna görə də onlar üçün giriş firewall qaydalarından istifadə etməklə konfiqurasiya edilməlidir.

"Yerli şəbəkələrdən NAT" qutusu yerli ünvanların DMZ şəbəkəsinə tərcüməsinə nəzarət etməyə imkan verir. Varsayılan olaraq, əlildir, yəni. DMZ şəbəkə interfeysi üçün NAT xidməti işləmir, ünvanlar dəyişdirilmədən tərcümə olunur.

Əhəmiyyətli: DMZ şəbəkəsi üçün NAT özü ICS-nin xarici interfeyslərində qeyri-aktivdir, ona görə də onu ünvanlamaq üçün “ağ” IP ünvanlarından istifadə edilməlidir. Yerli şəbəkədə "ağ" IP ünvanları olan serverlərə xarici girişi idarə etmək lazımdırsa, DMZ şəbəkəsinin qurulması məna kəsb edir. Bütün digər hallarda, müntəzəm yerli şəbəkə konfiqurasiya edilir.