Коротко о DMZ в сетевой безопасности

Представьте, что ваша локальная сеть это ваша квартира. Вы не пускаете в неё всех подряд, но иногда нужно впустить курьера, мастера, прокурора и всех остальных не знакомых людей. Для этого существует прихожая, место, где гости не получат доступа к спальне, личным вещам и документам. DMZ (Demilitarized Zone) - это такая же «прихожая» в мире сетевой безопасности. Это изолированный сегмент сети, куда вы помещаете серверы, которым нужно общаться с внешним миром.

Проще говоря, это «нейтральная территория» между вашей защищённой внутренней сетью и враждебным внешним миром (интернетом или партнёрской сетью).

Самый надёжный подход использует два межсетевых экрана (файрвола):

Правила работы этой системы:

1. Внешний файрвол пропускает в DMZ только определённый трафик: · На веб-сервер — только HTTP/HTTPS · На почтовый сервер — только SMTP · Во внутреннюю сеть — ничего! 2. Внутренний файрвол строго контролирует доступ из DMZ: · Веб-серверу разрешено подключиться только к базе данных на конкретном порту · Почтовый сервер может обратиться только к контроллеру домена · Всё остальное запрещено!

1. Принцип «предположения о взломе» Мы исходим из того, что любой сервер, доступный из интернета, рано или поздно будет взломан. DMZ гарантирует, что даже после взлома злоумышленник окажется в прихожей, а не в центре вашей спальни. 2. Глубокая эшелонированная оборона Вместо одной линии защиты создаются несколько рубежей: Первый: внешний файрвол

Второй: серверы в DMZ

Третий: внутренний файрвол

Четвёртый: сегментация внутри локальной сети

DMZ не предотвращает взлом уязвимого веб-сервера. Но она кардинально ограничивает ущерб от этого взлома, не давая атаке распространиться на всю вашу сеть, и дает вам время среагировать. Это один из фундаментальных принципов безопасности.