- Что означает опция «DMZ» в wi-fi маршрутизаторе ?Объясните пожалуйста, желательно своими словами , для тупых.
- DMZ (компьютерные сети)
- Конфигурации ДМЗ
- Конфигурация с одним файрволом
- Конфигурация с двумя файрволами
- Конфигурация с тремя файрволами
- ДМЗ и SOHO
- Примечания
- Что такое демилитаризованная зона DMZ и как она работает
- Подробнее о DMZ
- Как функционирует
- Принцип работы
- Примеры использования
- Включаем и настраиваем DMZ в роутере
Что означает опция «DMZ» в wi-fi маршрутизаторе ?Объясните пожалуйста, желательно своими словами , для тупых.
ДМЗ (демилитаризованная зона, DMZ) — технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети (который и называется ДМЗ) и ограничены в доступе к основным сегментам сети с помощью межсетевого экрана (файрвола), с целью минимизировать ущерб при взломе одного из общедоступных сервисов, находящихся в зоне.
DMZ — (Demilitarized Zone) — это дополнительная возможность Интернет- маршрутизаторов серии DI-XXX, предназначенная для предоставления доступа к внутренним (то есть находящимися за маршрутизатором и защищенных NAT-ом) серверам (таким, как почтовый, WWW, FTP) пользователям из Интернет. Но, в отличие от «Virtual Servers», когда отображается только один порт, в данном случае запрос извне на любой порт внешнего (WAN) интерфейса отображается на такой же порт компьютера, указанного в настройках DMZ.
То есть, все открытые порты на этом компьютере доступны снаружи.
Это может создать угрозу безопасности для данного компьютера, поэтому на данном компьютере возможно будет необходимо установить программный межсетевой экран для защиты. Рекомендуется использовать данный метод только тогда, когда другими способами не удается обеспечить правильную работу сервисов на этом компьютере.
Например, для работы некоторых игровых серверов требуется обеспечить отображение большого количества портов или адреса портов назначаются таким сервером динамически в широком диапазоне.
DMZ (компьютерные сети)
ДМЗ (демилитаризованная зона, DMZ) — технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети (который и называется ДМЗ) и ограничены в доступе к основным сегментам сети с помощью межсетевого экрана (файрвола), с целью минимизировать ущерб при взломе одного из общедоступных сервисов, находящихся в ДМЗ.
Конфигурации ДМЗ
В зависимости от требований к безопасности, ДМЗ может организовываться одним, двумя или тремя файрволами.
Конфигурация с одним файрволом
Простейшей (и наиболее распространённой) схемой является схема, в которой ДМЗ, внутренняя сеть и внешняя сеть подключаются к разным портам маршрутизатора (выступающего в роли файрвола), контролирующего соединения между сетями. Подобная схема проста в реализации, требует всего лишь одного дополнительного порта. Однако в случае взлома (или ошибки конфигурирования) маршрутизатора сеть оказывается уязвима напрямую из внешней сети.
Конфигурация с двумя файрволами
В конфигурации с двумя файрволами ДМЗ подключается к двум маршрутизаторам, один из которых ограничивает соединения из внешней сети в ДМЗ, а второй контролирует соединения из ДМЗ во внутреннюю сеть. Подобная схема позволяет минимизировать последствия взлома любого из файрволов или серверов, взаимодействующих с внешней сетью — до тех пор, пока не будет взломан внутренний файрвол, злоумышленник не будет иметь произвольного доступа к внутренней сети.
Конфигурация с тремя файрволами
Существует редкая конфигурация с тремя файрволами. В этой конфигурации первый из них принимает на себя запросы из внешней сети, второй контролирует сетевые подключения ДМЗ, а третий — контролирует соединения внутренней сети. В подобной конфигурации обычно ДМЗ и внутренняя сеть скрываются за NAT (трансляцией сетевых адресов).
Одной из ключевых особенностей ДМЗ является не только фильтрация трафика на внутреннем файрволе, но и требование обязательной сильной криптографии при взаимодействии между активным оборудованием внутренней сети и ДМЗ. В частности, не должно быть ситуаций, в которых возможна обработка запроса от сервера в ДМЗ без авторизации. В случае, если ДМЗ используется для обеспечения защиты информации внутри периметра от утечки изнутри, аналогичные требования предъявляются для обработки запросов пользователей из внутренней сети.
ДМЗ и SOHO
В случае использования домашних (SOHO) маршрутизаторов и точек доступа под ДМЗ иногда подразумевается возможность «проброса портов» (PAT) — осуществления трансляции пришедшего из внешней сети запроса на какой-либо порт маршрутизатора на указанный узел внутренней сети [1] .
Примечания
- ↑ Цитата из инструкции одного из SOHO-маршрутизаторов: «. настраиваемый пользователем ДМЗ-порт для поддержки локальных серверов — почтового, веб-сервера и FTP-сервера» (англ.«. user-configurable DMZ port to support local servers such as e-mail, Web, and FTP» ).
Wikimedia Foundation . 2010 .
Что такое демилитаризованная зона DMZ и как она работает
DMZ – аббревиатура английского термина Demilitarized Zone (демилитаризованная зона), обозначающая сегмент защищённой сети, на который распространяются специальные настройки безопасности от внешних угроз. Цель создания выделенных условий для некоторых устройств – обеспечить бесперебойную работу установленных на них программ.
Подробнее о DMZ
DMZ состоит из одного или нескольких компьютеров либо сетевых устройств, без ограничений доступных из внутренней сети и из интернета. Потребность в таких настройках вызвана специфическими программами или службами, к которым необходим доступ внешним пользователям.
Например, в сети предприятия установлены серверы электронной почты, или обмена сообщениями. Вместо того чтобы настраивать цепочку правил доступа в сетевом экране, удалённым пользователям предоставляется доступ к серверу по специальному алгоритму. При этом связь с локальной сетью извне контролируется стандартной политикой безопасности.
Такая организация сети гарантирует функционирование специальных служб и сервисов при малой вероятности проникновения злоумышленников в компьютеры пользователей и хищения данных. Разумеется, на DMZ-хосте не размещают секретную информацию или соответствующим способом защищают от взлома.
При построении домашней сети потребность в организации демилитаризованной зоны возникает при настройке персональных игровых серверов, выделенных торрент-клиентов, прочих устройств.
Как функционирует
Схемы построения демилитаризованной зоны разнятся в зависимости от задач её создания. Сложные конструкции состоят из нескольких роутеров. Доступ в демилитаризованную зону извне и со стороны локальных пользователей допустим без ограничений, а из DMZ в локальную сеть, как правило, запрещён. В простых случаях DMZ состоит из единичного устройства – хоста, подключённого к единственному маршрутизатору, наряду с остальными компьютерами. Настройки доступа к выбранному устройству устанавливаются в меню роутера.
Принцип работы
Получив запрос на подключение к конкретной службе или программе, маршрутизатор переадресовывает пакет согласно настроенным правилам. При наличии специальных указаний пакет передаётся конкретному компьютеру, иначе такие запросы адресуются DMZ-хосту (host).
Ошибки при установке соединений исключает специальное указание, какой службе адресован пакет. Такие условия называют портом подключения. Обнаружив попытку подключения к, например, игровому серверу на порт 22422, роутер проверяет таблицу переадресации портов. Если нет специальной настройки указывающей на конкретный локальный адрес, запрос отправляется в DMZ и, при положительном ответе, устанавливается связь между игровым сервером и внешним компьютером.
Пользователи не видят, какое конкретное устройство ответило на запрос. Для программ ответ тоже выглядит, как отправленный маршрутизатором.
Примеры использования
Рассмотрим пример использования персонального FTP сервера для доступа к домашней коллекции файлов. Получив из интернета запрос на подключение по протоколу FTP, роутер перенаправляет его сетевому хранилищу, подключённому в демилитаризованную зону.
Поскольку других записей в таблице переназначения портов роутера нет, запросы во внутреннюю сеть не поступают.
Вместо сетевого хранилища допустимо подключить игровой сервер, устройство с запущенным торрент-клиентом, IP-камеру или сервер видеонаблюдения.
Включаем и настраиваем DMZ в роутере
Процедура настройки ДМЗ в роутерах домашнего класса проста и не требует специальной квалификации. Рассмотрим процесс включения режима ДМЗ на примере распространённой модели компании TP-LINK, для других прошивок и аппаратов прочих производителей последовательность действий схожа, но процесс незначительно отличается. Итак, приступим:
- Войдите при помощи браузера в меню управления сетевыми настройками устройства, которое будет назначено DMZ-хостом.
- Отключите получение IP-адреса по протоколу DHCP и введите адрес вручную из диапазона локальной сети. В примере использован адрес 192.168.1.55.
- Войдите в настройки роутера. Выберите в левом столбике вкладку «Переадресация» и затем подменю DMZ.
- Следующим шагом включаем поддержку демилитаризованной зоны, соответствующим переключением кнопок на странице управления. ВводимIP-адрес хоста и нажимаем кнопку сохранения изменений.
Рассмотренный пример выбран исходя из простоты. Отсутствие сложных правил фильтрации и переадресации входящих соединений снижает нагрузку на маршрутизатор и предоставляет приемлемую скорость обмена информацией с устройствами в демилитаризованной зоне. Нет необходимости в высокопроизводительном оборудовании, что сокращает расходы и гарантирует повышенную стабильность при эксплуатации.