خانه > iOS > نمونه ای از راه اندازی پورت های dmz. DMZ چیست و چگونه آن را روی روتر پیکربندی کنیم. ویدئویی در مورد راه اندازی DMZ Host در روتر


نمونه ای از راه اندازی پورت های dmz. DMZ چیست و چگونه آن را روی روتر پیکربندی کنیم. ویدئویی در مورد راه اندازی DMZ Host در روتر





کیوشنکو الکسی، 1880

این مقاله شامل یک مرور کلی است پنجگزینه هایی برای حل مشکل سازماندهی دسترسی به خدمات شبکه شرکتی از اینترنت. این بررسی تحلیلی از گزینه‌های ایمنی و امکان‌سنجی را ارائه می‌کند که به متخصصان تازه کار و با تجربه‌تر کمک می‌کند تا ماهیت موضوع را درک کنند، دانش خود را تازه‌سازی و نظام‌مند کنند. از مواد موجود در مقاله می توان برای توجیه تصمیمات طراحی شما استفاده کرد.

هنگام بررسی گزینه‌ها، شبکه‌ای را که می‌خواهید در آن منتشر کنید به عنوان مثال در نظر بگیرید:

  1. سرور پست الکترونیکی شرکتی (Web-mail).
  2. سرور پایانه سازمانی (RDP).
  3. سرویس اکسترانت برای طرف مقابل (Web-API).

گزینه 1: شبکه مسطح

در این گزینه، تمام گره های شبکه شرکتی در یک شبکه مشترک برای همه ("شبکه داخلی") قرار می گیرند که در آن ارتباطات بین آنها محدود نمی شود. شبکه از طریق یک روتر/فایروال مرزی (که از این پس به آن اشاره می شود) به اینترنت متصل می شود IFW).

هاست ها از طریق NAT به اینترنت دسترسی دارند و از طریق Port Forwarding از اینترنت به خدمات دسترسی دارند.

جوانب مثبت گزینه:

  1. حداقل مورد نیاز عملکرد IFW(تقریباً روی هر روتر، حتی روتر خانگی قابل انجام است).
  2. حداقل دانش مورد نیاز برای متخصصی که این گزینه را اجرا می کند.
معایب گزینه:
  1. حداقل سطح امنیت در صورت هک که در آن نفوذگر کنترل یکی از سرورهای منتشر شده در اینترنت را به دست می آورد، سایر گره ها و کانال های ارتباطی شبکه شرکتی برای حملات بعدی در دسترس او قرار می گیرند.
قیاس با زندگی واقعی
چنین شبکه ای را می توان با شرکتی مقایسه کرد که در آن کارکنان و مشتریان در یک اتاق مشترک (فضای باز) هستند.


hrmaximum.ru

گزینه 2. DMZ

برای از بین بردن نقطه ضعف ذکر شده قبلی، گره های شبکه قابل دسترسی از اینترنت در یک بخش ویژه تعیین شده - یک منطقه غیرنظامی (DMZ) قرار می گیرند. DMZ با استفاده از فایروال هایی سازماندهی شده است که آن را از اینترنت جدا می کند ( IFW) و از شبکه داخلی ( DFW).


در این مورد، قوانین فیلتر فایروال به صورت زیر است:
  1. از شبکه داخلی می توانید اتصالات را به DMZ و به WAN (شبکه گسترده) آغاز کنید.
  2. از DMZ می توانید اتصالات به WAN را آغاز کنید.
  3. از WAN می توانید اتصالات را به DMZ آغاز کنید.
  4. شروع اتصالات از WAN و DMZ به شبکه داخلی ممنوع است.


مزایای گزینه:
  1. افزایش امنیت شبکه در برابر هک سرویس های فردی. حتی اگر یکی از سرورها هک شود، Intruder قادر به دسترسی به منابع واقع در شبکه داخلی (مثلاً چاپگرهای شبکه، سیستم های نظارت تصویری و غیره) نخواهد بود.
معایب گزینه:
  1. انتقال سرورها به DMZ به خودی خود امنیت آنها را افزایش نمی دهد.
  2. یک فایروال اضافی برای جدا کردن DMZ از شبکه داخلی مورد نیاز است.
قیاس با زندگی واقعی
این نسخه از معماری شبکه شبیه به سازماندهی مناطق کار و مشتری در یک شرکت است، که در آن مشتریان فقط می توانند در منطقه مشتری باشند و کارکنان می توانند در هر دو منطقه مشتری و کار باشند. بخش DMZ دقیقاً آنالوگ منطقه مشتری است.


autobam.ru

گزینه 3. تقسیم خدمات به Front-End و Back-End

همانطور که قبلا ذکر شد، قرار دادن سرور در DMZ به هیچ وجه امنیت خود سرویس را بهبود نمی بخشد. یکی از گزینه های اصلاح وضعیت این است که عملکرد سرویس را به دو بخش تقسیم کنید: Front-End و Back-End. علاوه بر این، هر بخش در یک سرور جداگانه قرار دارد که تعامل شبکه بین آن سازماندهی می شود. سرورهای Front-End که عملکرد تعامل با کلاینت های مستقر در اینترنت را اجرا می کنند در DMZ قرار می گیرند و سرورهای Back-End که عملکردهای باقی مانده را پیاده سازی می کنند در شبکه داخلی رها می شوند. برای تعامل بین آنها در DFWقوانینی را ایجاد کنید که امکان شروع اتصالات از Front-End به Back-End را فراهم می کند.

به عنوان مثال، یک سرویس ایمیل شرکتی را در نظر بگیرید که هم از داخل شبکه و هم از اینترنت به مشتریان سرویس می دهد. کلاینت های داخل از POP3/SMTP استفاده می کنند و کلاینت های اینترنت از طریق رابط وب کار می کنند. به طور معمول، در مرحله پیاده سازی، شرکت ها ساده ترین روش استقرار سرویس را انتخاب می کنند و تمام اجزای آن را روی یک سرور قرار می دهند. سپس، با توجه به نیاز به اطمینان از امنیت اطلاعات، عملکرد سرویس به بخش‌هایی تقسیم می‌شود و بخشی که وظیفه سرویس‌دهی به مشتریان از اینترنت را بر عهده دارد (Front-End) به یک سرور جداگانه منتقل می‌شود که بر روی شبکه با سروری که عملکرد باقیمانده (Back -End) را پیاده سازی می کند. در این حالت Front-End در DMZ قرار می گیرد و Back-End در بخش داخلی باقی می ماند. برای ارتباط بین Front-End و Back-End روشن DFWیک قانون ایجاد کنید که اجازه می دهد اتصالات از Front-End به Back-End شروع شود.

مزایای گزینه:

  1. به طور کلی، حملاتی که علیه سرویس محافظت‌شده انجام می‌شود، می‌توانند بر روی Front-End «لغزنده» شوند، که آسیب‌های احتمالی را خنثی یا به میزان قابل توجهی کاهش می‌دهد. به عنوان مثال، حملاتی مانند TCP SYN Flood یا خواندن آهسته http با هدف یک سرویس منجر به این واقعیت می شود که سرور Front-End ممکن است در دسترس نباشد، در حالی که Back-End به عملکرد عادی خود ادامه می دهد و به کاربران خدمات ارائه می دهد.
  2. به طور کلی، سرور Back-End ممکن است به اینترنت دسترسی نداشته باشد، که اگر هک شود (مثلاً با اجرای کدهای مخرب محلی)، مدیریت آن را از راه دور از اینترنت دشوار می کند.
  3. Front-End برای میزبانی فایروال در سطح برنامه (مثلاً فایروال برنامه وب) یا سیستم جلوگیری از نفوذ (IPS، به عنوان مثال خروپف) مناسب است.
معایب گزینه:
  1. برای ارتباط بین Front-End و Back-End روشن DFWیک قانون ایجاد می شود که امکان شروع اتصال از DMZ به شبکه داخلی را فراهم می کند، که تهدیدات مرتبط با استفاده از این قانون را از سایر گره ها در DMZ ایجاد می کند (به عنوان مثال، از طریق اجرای حملات جعل IP، مسمومیت ARP، و غیره.)
  2. همه سرویس ها را نمی توان به Front-End و Back-End تقسیم کرد.
  3. شرکت باید فرآیندهای تجاری را برای به روز رسانی قوانین فایروال پیاده سازی کند.
  4. این شرکت باید مکانیسم هایی را برای محافظت در برابر حملات مزاحمان که به سروری در DMZ دسترسی پیدا کرده اند، پیاده سازی کند.
یادداشت
  1. در زندگی واقعی، حتی بدون تقسیم سرورها به Front-End و Back-End، سرورهای DMZ اغلب نیاز به دسترسی به سرورهای واقع در شبکه داخلی دارند، بنابراین معایب مشخص شده این گزینه برای گزینه در نظر گرفته قبلی نیز معتبر خواهد بود.
  2. اگر حفاظت از برنامه‌های در حال اجرا از طریق رابط وب را در نظر بگیریم، حتی اگر سرور از جداسازی توابع به Front-End و Back-End پشتیبانی نمی‌کند، استفاده از یک سرور پروکسی معکوس http (به عنوان مثال، nginx) به عنوان یک Front-End خطرات مرتبط با حملات انکار سرویس را به حداقل می رساند. به عنوان مثال، حملات سیل SYN می‌توانند در حالی که Back-End به کار خود ادامه می‌دهد، پراکسی معکوس http در دسترس نباشد.
قیاس با زندگی واقعی
این گزینه اساساً شبیه سازماندهی کار است که در آن از دستیاران - منشی ها - برای کارگران با بار زیاد استفاده می شود. سپس Back-End آنالوگ یک کارمند شلوغ و Front-End آنالوگ یک منشی خواهد بود.


mln.kz

گزینه 4: ایمن DMZ

DMZ بخشی از شبکه است که از طریق اینترنت قابل دسترسی است و در نتیجه در معرض حداکثر خطر در معرض خطر قرار گرفتن میزبان است. طراحی DMZ و رویکردهای مورد استفاده در آن باید حداکثر بقا را در شرایطی که نفوذگر کنترل یکی از گره‌های DMZ را به دست آورده باشد، فراهم کند. به عنوان حملات احتمالی، بیایید حملاتی را در نظر بگیریم که تقریباً تمام سیستم‌های اطلاعاتی که با تنظیمات پیش‌فرض کار می‌کنند مستعد آن هستند:

محافظت در برابر حملات DHCP

علیرغم این واقعیت که DHCP برای خودکار کردن پیکربندی آدرس های IP برای ایستگاه های کاری در نظر گرفته شده است، در برخی از شرکت ها مواردی وجود دارد که آدرس های IP برای سرورها از طریق DHCP صادر می شود، اما این یک عمل نسبتاً بد است. بنابراین، برای محافظت در برابر سرور DHCP Rogue، DHCP starvation، توصیه می شود DHCP را در DMZ به طور کامل غیرفعال کنید.

محافظت در برابر حملات سیل MAC

برای محافظت در برابر سیل MAC، پورت های سوئیچ به گونه ای پیکربندی شده اند که حداکثر شدت ترافیک پخش را محدود کنند (زیرا این حملات معمولاً ترافیک پخش را ایجاد می کنند). حملاتی که شامل استفاده از آدرس‌های شبکه خاص (unicast) می‌شوند توسط فیلتر MAC مسدود می‌شوند که قبلاً در مورد آن صحبت کردیم.

حفاظت در برابر حملات سیل UDP

محافظت در برابر این نوع حمله مشابه محافظت در برابر سیل MAC است، با این تفاوت که فیلتر در سطح IP (L3) انجام می شود.

محافظت در برابر حملات سیل TCP SYN

برای محافظت در برابر این حمله، گزینه های زیر امکان پذیر است:
  1. حفاظت در گره شبکه با استفاده از فناوری TCP SYN Cookie.
  2. حفاظت در سطح فایروال (مشروط به زیرشبکه کردن DMZ) با محدود کردن شدت ترافیک حاوی درخواست‌های TCP SYN.

محافظت در برابر حملات به خدمات شبکه و برنامه های کاربردی وب

هیچ راه حل جهانی برای این مشکل وجود ندارد، اما رویه ثابت پیاده سازی فرآیندهای مدیریت آسیب پذیری نرم افزار (مثلاً شناسایی، نصب وصله ها و غیره) و همچنین استفاده از سیستم های تشخیص نفوذ و پیشگیری (IDS/IPS) است.

محافظت در برابر حملات بای پس احراز هویت

مانند مورد قبلی، هیچ راه حل جهانی برای این مشکل وجود ندارد.
معمولاً، در صورت تعداد زیادی از تلاش‌های ناموفق مجوز، حساب‌ها برای جلوگیری از حدس زدن داده‌های احراز هویت (مثلاً رمز عبور) مسدود می‌شوند. اما این رویکرد کاملاً بحث برانگیز است، و در اینجا دلیل آن است.
اولاً، نفوذگر می‌تواند اطلاعات احراز هویت را با شدتی انتخاب کند که منجر به مسدود شدن حساب‌ها نشود (مواردی وجود دارد که رمز عبور طی چندین ماه با فاصله زمانی بین تلاش‌های چند ده دقیقه‌ای انتخاب شده است).
ثانیاً، این ویژگی می تواند برای حملات انکار سرویس مورد استفاده قرار گیرد، که در آن مهاجم عمداً تعداد زیادی تلاش برای مجوز برای مسدود کردن حساب ها انجام می دهد.
موثرترین گزینه در برابر حملات این کلاس، استفاده از سیستم‌های IDS/IPS است که هنگام شناسایی تلاش‌های حدس زدن رمز عبور، نه حساب، بلکه منبعی را که این حدس زدن از آن انجام می‌شود مسدود می‌کند (مثلاً آدرس IP را مسدود می‌کند. متجاوز).

لیست نهایی اقدامات حفاظتی برای این گزینه:

  1. DMZ به زیرشبکه های IP با یک زیر شبکه جداگانه برای هر گره تقسیم می شود.
  2. آدرس های IP به صورت دستی توسط مدیران اختصاص داده می شود. DHCP استفاده نمی شود.
  3. در رابط های شبکه ای که گره های DMZ به آنها متصل هستند، فیلتر MAC و IP، محدودیت های شدت ترافیک پخش و ترافیک حاوی درخواست های TCP SYN فعال می شوند.
  4. مذاکره خودکار انواع پورت در سوئیچ ها غیرفعال است و استفاده از VLAN بومی ممنوع است.
  5. یک کوکی TCP SYN بر روی گره های DMZ و سرورهای شبکه داخلی که این گره ها به آنها متصل می شوند، پیکربندی شده است.
  6. مدیریت آسیب پذیری نرم افزار برای گره های DMZ (و ترجیحاً بقیه شبکه) پیاده سازی شده است.
  7. سیستم های شناسایی و پیشگیری از نفوذ IDS/IPS در بخش DMZ پیاده سازی می شوند.
مزایای گزینه:
  1. درجه امنیت بالا.
معایب گزینه:
  1. افزایش الزامات برای عملکرد تجهیزات.
  2. هزینه های نیروی کار برای اجرا و پشتیبانی.
قیاس با زندگی واقعی
اگر قبلاً DMZ را با یک منطقه مشتری مجهز به مبل و عثمانی مقایسه کنیم، آنگاه یک DMZ امن بیشتر شبیه یک صندوق پول زرهی خواهد بود.


valmax.com.ua

گزینه 5. اتصال به عقب

اقدامات حفاظتی در نظر گرفته شده در نسخه قبلی مبتنی بر این واقعیت است که دستگاهی در شبکه (سوئیچ / روتر / فایروال) وجود دارد که قادر به اجرای آنها است. اما در عمل، برای مثال، هنگام استفاده از یک زیرساخت مجازی (سوئیچ های مجازی اغلب قابلیت های بسیار محدودی دارند)، ممکن است چنین دستگاهی وجود نداشته باشد.

تحت این شرایط، بسیاری از حملاتی که قبلاً مورد بحث قرار گرفت، در دسترس ناقض قرار می‌گیرند که خطرناک‌ترین آنها عبارتند از:

  • حملاتی که به شما امکان می دهد ترافیک را رهگیری و تغییر دهید (مسمومیت ARP، سرریز جدول CAM + ربودن جلسه TCP و غیره).
  • حملات مربوط به بهره برداری از آسیب پذیری ها در سرورهای شبکه داخلی که اتصالات را می توان از DMZ آغاز کرد (که با دور زدن قوانین فیلتر امکان پذیر است. DFWبه دلیل جعل IP و MAC).
ویژگی مهم بعدی که قبلاً در نظر نگرفتیم، اما از اهمیت کمتری برخوردار نیست، این است که ایستگاه‌های کاری خودکار (AWS) کاربران نیز می‌توانند منبعی برای اثرات مضر باشند (مثلاً در صورت آلوده شدن به ویروس‌ها یا تروجان‌ها). روی سرورها

بنابراین، ما با وظیفه محافظت از سرورهای شبکه داخلی در برابر حملات نفوذگر هم از طرف DMZ و هم از شبکه داخلی روبرو هستیم (عفونت ایستگاه کاری با یک تروجان را می توان به عنوان اقدامات نفوذگر از شبکه داخلی تفسیر کرد. ).

رویکرد ارائه شده در زیر با هدف کاهش تعداد کانال هایی است که از طریق آنها یک نفوذگر می تواند به سرورها حمله کند و حداقل دو کانال از این قبیل وجود دارد. اولین قاعده است DFW، اجازه دسترسی به سرور شبکه داخلی از DMZ را می دهد (حتی اگر با آدرس های IP محدود شده باشد)، و دومی یک پورت شبکه باز روی سرور است که درخواست های اتصال روی آن انتظار می رود.

اگر سرور شبکه داخلی خود با سرور در DMZ ارتباط برقرار کند و این کار را با استفاده از پروتکل‌های شبکه امن رمزنگاری انجام دهد، می‌توانید این کانال‌ها را ببندید. در این صورت نه پورت باز وجود خواهد داشت و نه قانون DFW.

اما مشکل اینجاست که سرویس‌های سرور معمولی نمی‌دانند چگونه به این روش کار کنند و برای پیاده‌سازی این رویکرد لازم است از تونل‌سازی شبکه استفاده شود، مثلاً با استفاده از SSH یا VPN پیاده‌سازی شود و در داخل تونل‌ها اجازه اتصال از سرور را بدهند. در DMZ به سرور شبکه داخلی.

طرح کلی عملکرد این گزینه به شرح زیر است:

  1. یک سرور SSH/VPN بر روی یک سرور در DMZ و یک سرویس گیرنده SSH/VPN بر روی سروری در شبکه داخلی نصب شده است.
  2. سرور شبکه داخلی ساخت یک تونل شبکه را به سرور در DMZ آغاز می کند. تونل با احراز هویت متقابل مشتری و سرور ساخته شده است.
  3. سرور از DMZ، در داخل تونل ساخته شده، اتصال به سرور در شبکه داخلی را آغاز می کند که از طریق آن داده های محافظت شده منتقل می شود.
  4. یک فایروال محلی روی سرور شبکه داخلی پیکربندی شده است تا ترافیک عبوری از تونل را فیلتر کند.

استفاده از این گزینه در عمل نشان داده است که ساخت تونل های شبکه با استفاده از OpenVPN راحت است، زیرا دارای ویژگی های مهم زیر است:

  • کراس پلتفرم. می توانید ارتباطات را روی سرورهایی با سیستم عامل های مختلف سازماندهی کنید.
  • امکان ساخت تونل با احراز هویت متقابل مشتری و سرور.
  • امکان استفاده از رمزنگاری تایید شده
در نگاه اول، ممکن است به نظر برسد که این طرح بی جهت پیچیده است و از آنجایی که شما هنوز نیاز به نصب یک فایروال محلی بر روی سرور شبکه داخلی دارید، اتصال سرور از DMZ، به طور معمول، آسان تر به شبکه داخلی است. سرور، اما این کار را با اتصال رمزگذاری شده انجام دهید. در واقع، این گزینه بسیاری از مشکلات را حل می کند، اما نمی تواند چیز اصلی را ارائه دهد - محافظت در برابر حملات آسیب پذیری های سرور شبکه داخلی که با دور زدن فایروال با استفاده از جعل IP و MAC انجام می شود.

مزایای گزینه:

  1. کاهش معماری تعداد بردارهای حمله بر روی سرور شبکه داخلی محافظت شده.
  2. تضمین امنیت در صورت عدم وجود فیلتر ترافیک شبکه.
  3. محافظت از داده های ارسال شده از طریق شبکه در برابر مشاهده و اصلاح غیرمجاز.
  4. توانایی افزایش انتخابی سطح امنیت خدمات.
  5. قابلیت اجرای سیستم حفاظت دو مداره که مدار اول با استفاده از فایروال ارائه می شود و مدار دوم بر اساس این گزینه سازماندهی می شود.
معایب گزینه:
  1. پیاده سازی و نگهداری این گزینه حفاظتی مستلزم هزینه های اضافی نیروی کار است.
  2. ناسازگاری با سیستم های تشخیص نفوذ و جلوگیری از نفوذ شبکه (IDS/IPS).
  3. بار محاسباتی اضافی روی سرورها
قیاس با زندگی واقعی
معنای اصلی این گزینه این است که شخص مورد اعتماد با شخص غیرقابل اعتماد ارتباط برقرار می کند، که مشابه وضعیتی است که در هنگام صدور وام، بانک ها خود وام گیرنده احتمالی را برای بررسی داده ها تماس می گیرند. افزودن برچسب

تصور شرکتی که شبکه محلی نداشته باشد و به اینترنت دسترسی نداشته باشد روز به روز دشوارتر می شود. یک فناوری رایج که به بهبود کار، دسترسی سریع به اطلاعات، تبادل اسناد و داده ها کمک می کند. این از یک طرف است. از سوی دیگر، با استفاده گسترده از اینترنت، نیاز به حل مشکل حفاظت از اطلاعات و شبکه محلی به طور کلی وجود دارد. این موضوع به ویژه زمانی که شرکت دارای خدمات اینترنتی در دسترس عموم است (سرورهای وب و ftp، خدمات ایمیل، فروشگاه های آنلاین) که در یک شبکه محلی مشترک قرار دارند، به طور قابل توجهی رخ می دهد.

دسترسی به چنین سرورهایی اغلب به صورت آزاد ارائه می شود، یعنی هر کاربری می تواند بدون احراز هویت با استفاده از ورود به سیستم و رمز عبور، به یک منبع میزبانی شده در وب سرور دسترسی پیدا کند، به بخش هایی از یک سرور ftp، سرور پست الکترونیکی ایمیل را از سایر سرورهای ایمیل مشابه و هیچ تضمینی وجود ندارد که کدهای مخرب همراه با ایمیل در سرور به پایان نرسد و در بین صدها کاربر شخصی وجود نداشته باشد که به هر دلیلی بخواهد نه تنها به خدمات عمومی، بلکه به خدمات عمومی نیز دسترسی داشته باشد. شبکه محلی سازمان و اگر شبکه بر روی متمرکز کننده های ساده (هاب) و نه روی سوئیچ ها (سوئیچ) ساخته شود، در معرض خطر بزرگی قرار خواهد گرفت.

با هک کردن یکی از رایانه ها، یک هکر می تواند به کل شبکه دسترسی پیدا کند

این چیه؟ با دسترسی به حداقل یک رایانه در شبکه محلی، هکر می تواند رمزهای عبور تا رمز عبور مدیر را بدست آورد که به او امکان می دهد به هر اطلاعاتی که در حال گردش یا ذخیره شده در شبکه است دسترسی پیدا کند و رمزهای دسترسی را به گونه ای تغییر دهد که پایگاه داده ها غیرقابل دسترسی خواهند بود یا به سادگی از سرویس حذف خواهند شد. علاوه بر این، با دسترسی به وب سرور، می توان از آن برای انجام حملات DoS استفاده کرد، که می تواند عملکرد تمام منابع داخلی شرکت را مسدود کند.

بنابراین، رویکرد ساخت سیستم هایی که شامل سرورهای عمومی هستند باید با رویکرد ساخت سیستم های مبتنی بر سرورهای داخلی متفاوت باشد. این به دلیل خطرات خاصی است که به دلیل در دسترس بودن عمومی سرور ایجاد می شود. راه حل این است که شبکه محلی و سرورهای عمومی را به بخش های جداگانه جدا کنید. منطقه ای که خدمات عمومی در آن قرار خواهد گرفت "منطقه غیرنظامی شده" نامیده می شود. DMZ - منطقه غیرنظامی).

DMZ - منطقه توجه ویژه

ماهیت DMZ این است که مستقیماً در شبکه داخلی یا خارجی گنجانده نشده است و دسترسی به آن فقط طبق قوانین فایروال از پیش تعریف شده قابل انجام است. هیچ کاربری در DMZ وجود ندارد - فقط سرورها در آنجا قرار دارند. یک منطقه غیرنظامی معمولاً برای جلوگیری از دسترسی از شبکه خارجی به میزبان ها در شبکه داخلی با انتقال همه سرویس هایی که نیاز به دسترسی از خارج از شبکه محلی به یک منطقه ویژه دارند، عمل می کند. در واقع، معلوم می‌شود که این منطقه یک زیرشبکه جداگانه با آدرس‌های عمومی خواهد بود که توسط فایروال‌ها از شبکه‌های عمومی و شرکتی محافظت شده (یا جدا شده است).

هنگام ایجاد چنین منطقه ای، مدیران شبکه شرکتی با وظایف اضافی روبرو می شوند. اطمینان از تمایز دسترسی به منابع و سرورهای واقع در DMZ، اطمینان از محرمانه بودن اطلاعات ارسال شده در هنگام کار کاربران با این منابع و نظارت بر اقدامات کاربر ضروری است. در مورد اطلاعاتی که ممکن است بر روی سرورها وجود داشته باشد می توان موارد زیر را بیان کرد. با توجه به اینکه سرویس‌های عمومی قابل هک هستند، باید کم‌اهمیت‌ترین اطلاعات روی آن‌ها قرار گیرد و هرگونه اطلاعات ارزشمند منحصراً در شبکه محلی قرار گیرد که از سرورهای عمومی قابل دسترسی نباشد.

در سرورهای واقع در DMZ نباید هیچ اطلاعاتی در مورد کاربران، مشتریان شرکت یا سایر اطلاعات محرمانه وجود داشته باشد، صندوق پستی شخصی کارمندان نباید وجود داشته باشد - همه اینها باید به طور ایمن در قسمت محافظت شده شبکه محلی "پنهان" شوند. و برای اطلاعاتی که در سرورهای عمومی در دسترس خواهد بود، لازم است بایگانی پشتیبان با کمترین فرکانس ممکن پیش بینی شود. علاوه بر این، به سرورهای میل توصیه می شود که حداقل از مدل سرویس دو سرور استفاده کنند و وب سرورها نیز به طور مداوم بر وضعیت اطلاعات نظارت داشته باشند تا به موقع عواقب هک را شناسایی و از بین ببرند.

استفاده از فایروال در هنگام ایجاد DMZ الزامی است

فایروال ها برای محافظت از نفوذ از طریق منطقه غیرنظامی شده به شبکه شرکت استفاده می شوند. صفحه های نرم افزاری و سخت افزاری وجود دارد. برنامه های نرم افزاری به ماشینی نیاز دارند که یونیکس یا ویندوز NT/2000 را اجرا می کند. برای نصب فایروال سخت افزاری، فقط باید آن را به شبکه متصل کنید و حداقل تنظیمات را انجام دهید. معمولاً از صفحه‌های نرم‌افزاری برای محافظت از شبکه‌های کوچک استفاده می‌شود که در آن نیازی به انجام تنظیمات زیادی مربوط به تخصیص انعطاف‌پذیر پهنای باند و محدودیت‌های ترافیکی توسط پروتکل برای کاربران نیست. اگر شبکه بزرگ باشد و کارایی بالا مورد نیاز باشد، استفاده از فایروال های سخت افزاری سودآورتر می شود. در بسیاری از موارد، نه یک، بلکه دو فایروال استفاده می شود - یکی از منطقه غیرنظامی شده از نفوذ خارجی محافظت می کند، دومی آن را از قسمت داخلی شبکه شرکت جدا می کند.

اما علاوه بر این واقعیت که انتقال سرورهای عمومی به یک منطقه غیرنظامی شده تا حدی از شبکه شرکت محافظت می کند، لازم است که از خود DMZ محافظت کرده و از آن اطمینان حاصل شود. در این مورد، حل مسائلی از قبیل:

  • محافظت در برابر حملات به سرورها و تجهیزات شبکه؛
  • حفاظت از سرورهای فردی؛
  • کنترل ایمیل و سایر محتواها؛
  • ممیزی اقدامات کاربر

چگونه می توان این مسائل را حل کرد؟ توصیه می شود سرور پستی را که هم برای مکاتبات خارجی و هم برای مکاتبات داخلی شرکتی استفاده می شود به دو بخش تقسیم کنید - عمومی که در واقع یک سرور رله خواهد بود و در DMZ قرار دارد و اصلی یکی، واقع در داخل شبکه شرکت. جزء اصلی گردش نامه داخلی را تضمین می کند، مکاتبات خارجی را از تکرار کننده دریافت می کند و آن را به آن ارسال می کند.

یکی از چالش های اصلی تضمین دسترسی ایمن به منابع عمومی و برنامه های کاربردی از اینترانت شرکت است. اگرچه یک دیوار آتش بین آن و منطقه غیرنظامی نصب شده است، اما برای کار باید "شفاف" باشد. گزینه های مختلفی برای ارائه این فرصت به کاربران وجود دارد. اولین مورد استفاده از دسترسی ترمینال است. با این سازماندهی تعامل بین مشتری و سرور، هیچ کد برنامه ای از طریق اتصال ایجاد شده منتقل نمی شود، که می تواند شامل ویروس ها و سایر موارد مخرب باشد. از کلاینت ترمینال به سرور، جریانی از کدهای کلیدهای صفحه کلید فشرده شده و حالت های ماوس کاربر وجود دارد، و از سرور به مشتری، تصاویر باینری از صفحه های جلسه سرور مرورگر کاربر یا سرویس گیرنده ایمیل وجود دارد. اخذ شده. گزینه دیگر استفاده از VPN (شبکه خصوصی مجازی) است. به لطف کنترل دسترسی و حفاظت از رمزنگاری اطلاعات، VPN امنیت یک شبکه خصوصی را دارد و در عین حال از تمام مزایای یک شبکه عمومی بهره می برد.

ایمن سازی سرورها و تجهیزات در یک DMZ باید با دقت خاصی انجام شود

برای محافظت در برابر حملات به سرورها و تجهیزات شبکه، از سیستم های تشخیص نفوذ ویژه استفاده می شود. رایانه ای که چنین سیستمی روی آن نصب شده است اولین رایانه ای است که در مسیر جریان اطلاعات از اینترنت به DMZ قرار دارد. سیستم‌ها به گونه‌ای پیکربندی شده‌اند که وقتی حملات شناسایی می‌شوند، می‌توانند فایروال را مجدداً پیکربندی کنند تا حدی که دسترسی را کاملاً مسدود کند. به منظور کنترل اضافی، اما نه دائمی، از نرم افزار خاصی استفاده می شود - اسکنرهای امنیتی که امنیت شبکه، سرورها و سرویس ها و پایگاه های داده را بررسی می کنند. برای محافظت در برابر ویروس ها، نرم افزارهای ضد ویروس و ابزارهای کنترل محتوا در منطقه غیرنظامی نصب شده است.

نرم افزار و راه حل های فنی برای سازماندهی و حفاظت از DMZ توسط شرکت های مختلف ارائه می شود. اینها هم خارجی و هم روسی هستند. از جمله آنها، به عنوان مثال، Computer Associates، D-Link، Informzashita، Trend Micro و بسیاری دیگر هستند.

با استفاده گسترده از اینترنت، نیاز به حل مشکل حفاظت از اطلاعات و شبکه محلی به طور کلی وجود دارد. این موضوع به ویژه زمانی که شرکت دارای خدمات اینترنتی در دسترس عموم است (سرورهای وب و ftp، خدمات ایمیل، فروشگاه های آنلاین) که در یک شبکه محلی مشترک قرار دارند، به طور قابل توجهی رخ می دهد.

دسترسی به چنین سرورهایی اغلب به صورت آزاد ارائه می شود، یعنی هر کاربری می تواند بدون احراز هویت با استفاده از ورود به سیستم و رمز عبور، به یک منبع میزبانی شده در وب سرور دسترسی پیدا کند، به بخش هایی از یک سرور ftp، سرور پست الکترونیکی ایمیل را از سایر سرورهای ایمیل مشابه و هیچ تضمینی وجود ندارد که کدهای مخرب همراه با ایمیل در سرور به پایان نرسد و در بین صدها کاربر شخصی وجود نداشته باشد که به هر دلیلی بخواهد نه تنها به خدمات عمومی، بلکه به خدمات عمومی نیز دسترسی داشته باشد. شبکه محلی سازمان و اگر شبکه بر روی متمرکز کننده های ساده (هاب) و نه روی سوئیچ ها (سوئیچ) ساخته شود، در معرض خطر بزرگی قرار خواهد گرفت.

با هک کردن یکی از رایانه ها، یک هکر می تواند به کل شبکه دسترسی پیدا کند

این چیه؟ با دسترسی به حداقل یک رایانه در شبکه محلی، هکر می تواند رمزهای عبور تا رمز عبور مدیر را بدست آورد که به او امکان می دهد به هر اطلاعاتی که در حال گردش یا ذخیره شده در شبکه است دسترسی پیدا کند و رمزهای دسترسی را به گونه ای تغییر دهد که پایگاه داده ها غیرقابل دسترسی خواهند بود یا به سادگی از سرویس حذف خواهند شد. علاوه بر این، با دسترسی به وب سرور، می توان از آن برای انجام حملات DoS استفاده کرد، که می تواند عملکرد تمام منابع داخلی شرکت را مسدود کند.

بنابراین، رویکرد ساخت سیستم هایی که شامل سرورهای عمومی هستند باید با رویکرد ساخت سیستم های مبتنی بر سرورهای داخلی متفاوت باشد. این به دلیل خطرات خاصی است که به دلیل در دسترس بودن عمومی سرور ایجاد می شود. راه حل این است که شبکه محلی و سرورهای عمومی را به بخش های جداگانه جدا کنید. منطقه ای که خدمات عمومی در آن قرار خواهد گرفت "منطقه غیرنظامی شده" نامیده می شود. DMZ - منطقه غیرنظامی).

شکل 13.2 - طرح یک شبکه محلی با منطقه غیرنظامی

ماهیت DMZ این است که مستقیماً در شبکه داخلی یا خارجی گنجانده نشده است و دسترسی به آن فقط طبق قوانین فایروال از پیش تعریف شده قابل انجام است. هیچ کاربری در DMZ وجود ندارد - فقط سرورها در آنجا قرار دارند. یک منطقه غیرنظامی معمولاً برای جلوگیری از دسترسی از شبکه خارجی به میزبان ها در شبکه داخلی با انتقال همه سرویس هایی که نیاز به دسترسی از خارج از شبکه محلی به یک منطقه ویژه دارند، عمل می کند. در واقع، معلوم می‌شود که این منطقه یک زیرشبکه جداگانه با آدرس‌های عمومی خواهد بود که توسط فایروال‌ها از شبکه‌های عمومی و شرکتی محافظت شده (یا جدا شده است).



هنگام ایجاد چنین منطقه ای، مدیران شبکه شرکتی با وظایف اضافی روبرو می شوند. اطمینان از تمایز دسترسی به منابع و سرورهای واقع در DMZ، اطمینان از محرمانه بودن اطلاعات ارسال شده در هنگام کار کاربران با این منابع و نظارت بر اقدامات کاربر ضروری است. در مورد اطلاعاتی که ممکن است بر روی سرورها وجود داشته باشد می توان موارد زیر را بیان کرد. با توجه به اینکه سرویس‌های عمومی قابل هک هستند، باید کم‌اهمیت‌ترین اطلاعات روی آن‌ها قرار گیرد و هرگونه اطلاعات ارزشمند منحصراً در شبکه محلی قرار گیرد که از سرورهای عمومی قابل دسترسی نباشد.

در سرورهای واقع در DMZ نباید هیچ اطلاعاتی در مورد کاربران، مشتریان شرکت یا سایر اطلاعات محرمانه وجود داشته باشد، نباید صندوق پستی شخصی کارمندان وجود داشته باشد - همه اینها باید به طور ایمن در قسمت ایمن شبکه محلی "پنهان" شوند. و برای اطلاعاتی که در سرورهای عمومی در دسترس خواهد بود، لازم است بایگانی پشتیبان با کمترین فرکانس ممکن پیش بینی شود. علاوه بر این، به سرورهای میل توصیه می شود که حداقل از مدل سرویس دو سرور استفاده کنند و وب سرورها نیز به طور مداوم بر وضعیت اطلاعات نظارت داشته باشند تا به موقع عواقب هک را شناسایی و از بین ببرند.

استفاده از فایروال در هنگام ایجاد DMZ الزامی است

فایروال ها برای محافظت از نفوذ از طریق منطقه غیرنظامی شده به شبکه شرکت استفاده می شوند. صفحه های نرم افزاری و سخت افزاری وجود دارد. برنامه های نرم افزاری به ماشینی نیاز دارند که یونیکس یا ویندوز NT/2000 را اجرا می کند. برای نصب فایروال سخت افزاری، فقط باید آن را به شبکه متصل کنید و حداقل تنظیمات را انجام دهید. معمولاً از صفحه‌های نرم‌افزاری برای محافظت از شبکه‌های کوچک استفاده می‌شود که در آن نیازی به انجام تنظیمات زیادی مربوط به تخصیص انعطاف‌پذیر پهنای باند و محدودیت‌های ترافیکی توسط پروتکل برای کاربران نیست. اگر شبکه بزرگ باشد و کارایی بالا مورد نیاز باشد، استفاده از فایروال های سخت افزاری سودآورتر می شود. در بسیاری از موارد، نه یک، بلکه دو فایروال استفاده می شود - یکی از منطقه غیرنظامی شده از نفوذ خارجی محافظت می کند، دومی آن را از قسمت داخلی شبکه شرکت جدا می کند.



اما علاوه بر این واقعیت که انتقال سرورهای عمومی به یک منطقه غیرنظامی شده تا حدی از شبکه شرکت محافظت می کند، لازم است که از خود DMZ محافظت کرده و از آن اطمینان حاصل شود. در این مورد، حل مسائلی از قبیل:

· حفاظت در برابر حملات به سرورها و تجهیزات شبکه.

· حفاظت از سرورهای فردی.

· کنترل ایمیل و سایر محتواها.

· ممیزی اقدامات کاربر.

چگونه می توان این مسائل را حل کرد؟ توصیه می شود سرور پستی را که هم برای مکاتبات خارجی و هم برای مکاتبات داخلی شرکتی استفاده می شود به دو بخش تقسیم کنید - عمومی که در واقع یک سرور رله خواهد بود و در DMZ قرار دارد و اصلی یکی، واقع در داخل شبکه شرکت. جزء اصلی گردش نامه داخلی را تضمین می کند، مکاتبات خارجی را از تکرار کننده دریافت می کند و آن را به آن ارسال می کند.

یکی از چالش های اصلی تضمین دسترسی ایمن به منابع عمومی و برنامه های کاربردی از اینترانت شرکت است. اگرچه یک دیوار آتش بین آن و منطقه غیرنظامی نصب شده است، اما برای کار باید "شفاف" باشد. گزینه های مختلفی برای ارائه این فرصت به کاربران وجود دارد. اولین مورد استفاده از دسترسی ترمینال است. با این سازماندهی تعامل بین مشتری و سرور، هیچ کد برنامه ای از طریق اتصال ایجاد شده منتقل نمی شود، که می تواند شامل ویروس ها و سایر موارد مخرب باشد. از کلاینت ترمینال به سرور، جریانی از کدهای کلیدهای صفحه کلید فشرده شده و حالت های ماوس کاربر وجود دارد، و از سرور به مشتری، تصاویر باینری از صفحه های جلسه سرور مرورگر کاربر یا سرویس گیرنده ایمیل وجود دارد. اخذ شده. گزینه دیگر استفاده از VPN (شبکه خصوصی مجازی) است. به لطف کنترل دسترسی و حفاظت از رمزنگاری اطلاعات، VPN امنیت یک شبکه خصوصی را دارد و در عین حال از تمام مزایای یک شبکه عمومی بهره می برد.

ایمن سازی سرورها و تجهیزات در یک DMZ باید با دقت خاصی انجام شود

برای محافظت در برابر حملات به سرورها و تجهیزات شبکه، از سیستم های تشخیص نفوذ ویژه استفاده می شود. رایانه ای که چنین سیستمی روی آن نصب شده است اولین رایانه ای است که در مسیر جریان اطلاعات از اینترنت به DMZ قرار دارد. سیستم‌ها به گونه‌ای پیکربندی شده‌اند که وقتی حملات شناسایی می‌شوند، می‌توانند فایروال را مجدداً پیکربندی کنند تا دسترسی را کاملاً مسدود کند. به منظور کنترل اضافی، اما نه دائمی، از نرم افزار خاصی استفاده می شود - اسکنرهای امنیتی که امنیت شبکه، سرورها و سرویس ها و پایگاه های داده را بررسی می کنند. برای محافظت در برابر ویروس ها، نرم افزارهای ضد ویروس و ابزارهای کنترل محتوا در منطقه غیرنظامی نصب شده است.


شبکه های جهانی

شبکه‌های گسترده (WAN) که شبکه‌های کامپیوتری سرزمینی نیز نامیده می‌شوند، برای ارائه خدمات خود به تعداد زیادی از مشترکین نهایی پراکنده در یک منطقه بزرگ - در یک منطقه، منطقه، کشور، قاره یا کل جهان، خدمت می‌کنند. با توجه به طول زیاد کانال های ارتباطی، ساخت یک شبکه جهانی مستلزم هزینه های بسیار زیادی است که شامل هزینه کابل ها و کار بر روی نصب آنها، هزینه تجهیزات سوئیچینگ و تجهیزات تقویت میانی است که پهنای باند کانال لازم را فراهم می کند و همچنین بهره برداری. هزینه های نگهداری مداوم یک شبکه پراکنده در یک منطقه بزرگ از تجهیزات شبکه.

مشترکین معمولی یک شبکه کامپیوتری جهانی، شبکه های محلی شرکت های مستقر در شهرها و کشورهای مختلف هستند که نیاز به تبادل داده با یکدیگر دارند. رایانه های فردی نیز از خدمات شبکه های جهانی استفاده می کنند.

شبکه های WAN معمولا توسط شرکت های مخابراتی بزرگ برای ارائه خدمات پولی به مشترکین ایجاد می شوند. چنین شبکه هایی عمومی یا عمومی نامیده می شوند. مفاهیمی مانند اپراتور شبکه و ارائه دهنده خدمات شبکه نیز وجود دارد. اپراتور شبکه شرکتی است که عملکرد عادی شبکه را حفظ می کند. یک ارائه دهنده خدمات، که اغلب ارائه دهنده خدمات نیز نامیده می شود، شرکتی است که خدمات پولی را به مشترکین شبکه ارائه می دهد. مالک، اپراتور و ارائه‌دهنده خدمات ممکن است یک شرکت باشند یا شرکت‌های مختلفی را نمایندگی کنند.

خیلی کمتر، یک شبکه جهانی به طور کامل توسط برخی از شرکت های بزرگ برای نیازهای داخلی خود ایجاد می شود. در این حالت شبکه خصوصی نامیده می شود. اغلب اوقات یک گزینه میانی وجود دارد - یک شبکه شرکتی از خدمات یا تجهیزات یک شبکه گسترده عمومی استفاده می کند، اما این خدمات یا تجهیزات را با خود تکمیل می کند.

بسته به اینکه چه اجزایی باید اجاره شوند، مرسوم است که بین شبکه های ساخته شده با استفاده از:

کانال های اختصاصی؛

سوئیچینگ مدار؛

سوئیچینگ بسته.

مورد دوم با بهترین سناریو مطابقت دارد، که در آن یک شبکه سوئیچ بسته در همه مکان‌های جغرافیایی موجود است که باید در یک شبکه شرکتی مشترک ترکیب شوند. دو مورد اول نیاز به کار اضافی برای ایجاد یک شبکه سوئیچینگ بسته بر اساس وجوه اجاره ای دارد.

کانال های اختصاصی

مدارهای اختصاصی (یا اجاره ای) را می توان از شرکت های مخابراتی، که مالک مدارهای راه دور هستند، یا از شرکت های تلفن، که معمولا مدارهای داخل یک شهر یا منطقه را اجاره می کنند، دریافت کرد.

شما می توانید از خطوط اجاره ای به دو صورت استفاده کنید. اولین مورد این است که با کمک آنها یک شبکه سرزمینی از یک فناوری خاص بسازیم، برای مثال Frame Relay، که در آن خطوط اجاره ای برای اتصال سوئیچ های بسته میانی و جغرافیایی توزیع شده استفاده می شود.

گزینه دوم این است که فقط شبکه های محلی را که از طریق خطوط اختصاصی متصل می شوند، بدون نصب سوئیچ های بسته ترانزیت که با استفاده از فناوری شبکه جهانی کار می کنند، متصل کنید. گزینه دوم از نظر فنی ساده ترین است، زیرا مبتنی بر استفاده از روترها یا پل های راه دور در شبکه های محلی متصل به هم و عدم وجود پروتکل های فناوری جهانی مانند X.25 یا Frame Relay است. همان شبکه یا بسته های لایه پیوند از طریق کانال های جهانی مانند شبکه های محلی منتقل می شوند.

این دومین روش استفاده از کانال های جهانی است که نام ویژه "خدمات کانال اختصاصی" را دریافت کرد، زیرا واقعاً از هیچ چیز دیگری از فناوری های شبکه های جهانی واقعی با سوئیچینگ بسته استفاده نمی کند.

کانال‌های اختصاصی در گذشته بسیار نزدیک به طور فعال مورد استفاده قرار می‌گرفتند و امروزه مورد استفاده قرار می‌گیرند، به‌ویژه هنگام ایجاد اتصالات اساسی اساسی بین شبکه‌های محلی بزرگ، زیرا این سرویس توان عملیاتی کانال اجاره‌ای را تضمین می‌کند. با این حال، با تعداد زیادی نقاط دور از جغرافیایی و یک برنامه فشرده فشرده بین آنها، استفاده از این سرویس به دلیل تعداد زیاد کانال های اجاره ای منجر به هزینه های بالایی می شود.

امروزه تعداد زیادی کانال اختصاصی وجود دارد - از کانال های فرکانس صوتی آنالوگ با پهنای باند 3.1 کیلوهرتز تا کانال های دیجیتال فناوری SDN با توان عملیاتی 155 و 622 مگابیت بر ثانیه.

مخفف DMZ مخفف Demilitarized Zone است، یعنی «منطقه غیرنظامی». غیرمنتظره و نامشخص است که این چه ارتباطی با روتر دارد. با این حال، در واقع، این یک چیز بسیار مفید در تعدادی از موارد است. این در این مقاله مورد بحث قرار خواهد گرفت.

هدف و استفاده از DMZ

DMZ یک بخش شبکه است که برای سرویس ها و برنامه هایی که نیاز به دسترسی مستقیم به اینترنت دارند ایجاد شده است. دسترسی مستقیم برای تورنت ها، پیام رسان های فوری، بازی های آنلاین و برخی برنامه های دیگر ضروری است. و اگر می خواهید دوربین نظارت تصویری نصب کنید و از طریق اینترنت به آن دسترسی داشته باشید، نمی توانید بدون آن کار کنید.

اگر رایانه ای که برنامه روی آن اجرا می شود مستقیماً با دور زدن روتر به اینترنت متصل شود، دیگر نیازی به استفاده از DMZ نیست. اما اگر اتصال از طریق روتر انجام شود، دسترسی به برنامه از طریق اینترنت امکان پذیر نخواهد بود، زیرا تمام درخواست ها توسط روتر دریافت می شود و در داخل شبکه محلی ارسال نمی شود.

برای حل این مشکل معمولاً از پورت فورواردینگ در روتر استفاده می شود. اطلاعاتی در این مورد در وب سایت ما وجود دارد. با این حال، این همیشه راحت نیست و برخی از افراد ترجیح می دهند یک DMZ راه اندازی کنند. اگر یک DMZ روی روتر خود راه اندازی کنید و گره شبکه مورد نظر را به آن اضافه کنید، به عنوان مثال، یک رایانه شخصی که یک سرور بازی یا یک دستگاه DVR که یک دوربین IP به آن متصل است، این گره از شبکه خارجی قابل مشاهده خواهد بود که گویی مستقیماً به اینترنت متصل شدند. هیچ چیز برای بقیه دستگاه های موجود در شبکه شما تغییر نخواهد کرد - آنها مانند قبل کار خواهند کرد.

شما باید مراقب همه این تنظیمات باشید. از آنجایی که هم ارسال پورت و هم DMZ یک حفره امنیتی بالقوه هستند. برای بهبود امنیت، شرکت های بزرگ اغلب یک شبکه جداگانه برای DMZ ایجاد می کنند. به منظور مسدود کردن دسترسی از شبکه DMZ به رایانه های دیگر، از یک روتر اضافی استفاده می شود.

راه اندازی DMZ روی روتر

روترها فقط اجازه می دهند یک دستگاه به DMZ اضافه شود. روتر باید یک آدرس IP "سفید" دریافت کند. تنها در این صورت امکان دسترسی به آن از شبکه جهانی وجود خواهد داشت. اطلاعات در مورد این را می توان از ارائه دهنده اینترنت خود دریافت کرد. برخی از ارائه دهندگان یک آدرس IP خارجی را به صورت رایگان ارائه می دهند، اما این سرویس اغلب به هزینه اضافی نیاز دارد.

تنظیم یک آدرس IP ثابت

فقط یک کامپیوتر با آدرس IP ثابت می تواند به DMZ اضافه شود. بنابراین، اولین کاری که انجام می دهیم تغییر آن است. برای انجام این کار، ویژگی های اتصال شبکه را باز کنید و در تنظیمات TCP/IP یک آدرس IP ثابت را در محدوده آدرس شبکه خود تنظیم کنید. به عنوان مثال، اگر روتر شما دارای IP 192.168.0.1 است، می توانید برای رایانه خود 192.168.0.10 را تعیین کنید. ماسک زیر شبکه استاندارد 255.255.255.0 است. و در قسمت "Gateway" باید آدرس روتر خود را مشخص کنید.

لطفاً توجه داشته باشید که آدرس IP اختصاص داده شده به رایانه نباید در محدوده آدرس های توزیع شده باشد.

در این مرحله تنظیمات کامپیوتر به پایان رسیده و می توانید به تنظیمات روتر بروید.

راه اندازی روتر

اولین قدم این است که DMZ را در روتر فعال کنید، زیرا همیشه به طور پیش فرض غیرفعال است.

مورد منوی مربوطه را در رابط وب دستگاه پیدا کنید:

  • در روترهای ایسوس، تب مورد نیاز DMZ نامیده می شود.
  • در روترهای TP-Link، مورد "Forwarding" را باز کنید و یک مورد فرعی DMZ وجود خواهد داشت.
  • در D-Link، به دنبال مورد "Firewall" بگردید.

در هر صورت، در تب تنظیمات باید کادر "فعال کردن" را علامت بزنید. و در کنار آن، فیلدی به نام "DMZ Host Address" یا "Visible Station Address" را پیدا کنید (بسته به مدل روتر، ممکن است گزینه های دیگری وجود داشته باشد). در این قسمت آدرس ثابت رایانه یا دستگاه دیگری را که باید به DMZ اضافه شود وارد می کنیم. در مورد ما 192.168.0.10 است.

تنظیمات را ذخیره کرده و روتر را مجددا راه اندازی کنید. این همه است: همه پورت ها در رایانه شخصی انتخاب شده باز هستند. هر برنامه ای که از اتصالات ورودی استفاده می کند فکر می کند که مستقیماً به شبکه دسترسی دارد. همه برنامه های دیگر به طور معمول کار خواهند کرد.

در زیر نمونه ای از راه اندازی روتر با رابط انگلیسی آورده شده است.

ایجاد یک DMZ یک راه راحت برای ساده کردن کار برنامه های ضروری است، اما باید در نظر داشته باشید که دسترسی باز به رایانه شخصی خطر حملات شبکه و عفونت های ویروسی را افزایش می دهد.

بنابراین نصب فایروال و برنامه آنتی ویروس بر روی دستگاهی که به عنوان هاست DMZ استفاده می شود ضروری است.

شرح

منطقه غیرنظامی یا DMZ یک بخش شبکه با آدرس‌دهی برچسب سفید است که توسط یک دیوار آتش از اینترنت و شبکه محلی سازمان جدا شده است. سرورهایی که باید از طریق اینترنت قابل دسترسی باشند، مانند ایمیل یا وب سرور، معمولاً در DMZ قرار می گیرند. از آنجایی که سرورهای شبکه DMZ توسط فایروال از شبکه محلی جدا می شوند، در صورت هک شدن، مهاجم نمی تواند به منابع شبکه محلی دسترسی پیدا کند.

تنظیمات

منطقه غیرنظامی در ماژول "ارائه دهندگان و شبکه ها" ایجاد شده است. هنگام ایجاد آن، باید آدرس IP سرور کنترل اینترنت و ماسک شبکه DMZ را مشخص کنید و همچنین رابط شبکه را برای DMZ انتخاب کنید. به دلایل امنیتی، معمولاً یک رابط شبکه جداگانه برای DMZ استفاده می شود.

به طور پیش فرض، سرورهای واقع در DMZ به اینترنت و شبکه محلی دسترسی ندارند، بنابراین دسترسی برای آنها باید با استفاده از قوانین فایروال پیکربندی شود.

چک باکس "NAT از شبکه های محلی" به شما امکان می دهد ترجمه آدرس های محلی را به شبکه DMZ کنترل کنید. به طور پیش فرض غیرفعال است، یعنی. سرویس NAT برای رابط شبکه DMZ کار نمی کند، آدرس ها بدون تغییر ترجمه می شوند.

مهم: خود NAT برای شبکه DMZ در رابط های خارجی ICS غیرفعال است، بنابراین باید از آدرس های IP "سفید" برای آدرس دهی آن استفاده شود. اگر نیاز به کنترل دسترسی خارجی به سرورهای شبکه محلی که دارای آدرس IP "سفید" هستند، راه اندازی یک شبکه DMZ منطقی است. در تمام موارد دیگر، یک شبکه محلی معمولی پیکربندی شده است.