дмз что это такое
Национальная библиотека им. Н. Э. Баумана
Bauman National Library
Персональные инструменты
DMZ (Demilitarized zone)
DMZ (англ. Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети, содержащий общедоступные сервисы и отделяющий их от локальной (частной) сети предприятия. В качестве общедоступного может выступать, например, веб-сервис: обеспечивающий его сервер, который физически размещён в локальной сети (Интранет), должен отвечать на любые запросы из внешней сети (Интернет), при этом другие локальные ресурсы (например, файловые серверы, рабочие станции) необходимо изолировать от внешнего доступа.
Содержание
Терминология и концепция
Название происходит от военного термина «демилитаризованная зона» — территория между враждующими государствами, на которой не допускаются военные операции. Иными словами, доступ в ДМЗ открыт для обеих сторон при условии, что посетитель не имеет злого умысла. По аналогии, концепция ДМЗ (например, при построении шлюза в публичный Интернет) состоит в том, что в локальной сети выделяется область, которая не безопасна как оставшаяся часть сети (внутренняя) и не опасна как публичная (внешняя).
Системы, открытые для прямого доступа из внешних сетей, как правило, являются главными целями злоумышленников и потенциально подвержены проявлению угроз. Как следствие, эти системы не могут пользоваться полным доверием. Поэтому необходимо ограничить доступ этих систем к компьютерам, расположенным внутри сети.
Предоставляя защиту от внешних атак, ДМЗ, как правило, не имеет никакого отношения к атакам внутренним, таким как перехват трафика.
Архитектура и реализация
Разделение сегментов и контроль трафика между ними, как правило, реализуются специализированными устройствами — межсетевыми экранами. Основными задачами такого устройства являются:
контроль доступа из внешней сети в ДМЗ; контроль доступа из внутренней сети в ДМЗ; разрешение (или контроль) доступа из внутренней сети во внешнюю; запрет доступа из внешней сети во внутреннюю. В некоторых случаях для организации ДМЗ достаточно средств маршрутизатора или даже прокси-сервера.
Серверы в ДМЗ при необходимости могут иметь ограниченную возможность соединиться с отдельными узлами во внутренней сети. Связь в ДМЗ между серверами и с внешней сетью также ограничивается, чтобы сделать ДМЗ более безопасной для размещения определённых сервисов, чем Интернет. На серверах в ДМЗ должны выполняться лишь необходимые программы, ненужные отключаются или вообще удаляются.
Существует множество различных вариантов архитектуры сети с DMZ. Два основных — с одним межсетевым экраном и с двумя межсетевыми экранами. На базе этих методов можно создавать как упрощенные, так и очень сложные конфигурации, соответствующие возможностям используемого оборудования и требованиям к безопасности в конкретной сети.
Конфигурация с одним межсетевым экраном
Для создания сети с ДМЗ может быть использован один межсетевой экран, имеющий минимум три сетевых интерфейса: один — для соединения с провайдером (WAN), второй — с внутренней сетью (LAN), третий — с ДМЗ. Подобная схема проста в реализации, однако предъявляет повышенные требования к оборудованию и администрированию: межсетевой экран должен обрабатывать весь трафик, идущий как в ДМЗ, так и во внутреннюю сеть. При этом он становится единой точкой отказа, а в случае его взлома (или ошибки в настройках) внутренняя сеть окажется уязвимой напрямую из внешней.
Конфигурация с двумя межсетевыми экранами
Более безопасным является подход, когда для создания ДМЗ используются два межсетевых экрана: один из них контролирует соединения из внешней сети в ДМЗ, второй — из ДМЗ во внутреннюю сеть. В таком случае для успешной атаки на внутренние ресурсы должны быть скомпрометированы два устройства. Кроме того, на внешнем экране можно настроить более медленные правила фильтрации на уровне приложений, обеспечив усиленную защиту локальной сети без негативного влияния на производительность внутреннего сегмента.
Ещё более высокий уровень защиты можно обеспечить, используя два межсетевых экрана двух разных производителей и (желательно) различной архитектуры — это уменьшает вероятность того, что оба устройства будут иметь одинаковую уязвимость. Например, случайная ошибка в настройках с меньшей вероятностью появится в конфигурации интерфейсов двух разных производителей; дыра в безопасности, найденная в системе одного производителя, с меньшей вероятностью окажется в системе другого. Недостатком этой архитектуры является более высокая стоимость.
Конфигурация с тремя файрволами
Существует редкая конфигурация с тремя файрволами. В этой конфигурации первый из них принимает на себя запросы из внешней сети, второй контролирует сетевые подключения ДМЗ, а третий — контролирует соединения внутренней сети. В подобной конфигурации обычно ДМЗ и внутренняя сеть скрываются за NAT (трансляцией сетевых адресов).
Примеры
Зона DMZ находится между локальной сетью какой-нибудь конторы и публичной сетью Интернет. Она размещается в специальном сетевом пространстве межсетевого экрана (файрвола, брандмауэра). Назначение этой зоны следующее. В ней размещаются сервера, которые смотрят напрямую в Интернет и к которым есть доступ из Интернета. Но, с этих серверов нельзя обратиться к локальной сети за файрволом. Зачем это делается? Во-первых, если ресурсы должны быть видны в Интернете, то в локальной сети со всеми пользователями такие сервера размещать нельзя, так как с них есть доступ к пользовательским машинам. Во-вторых, в Интернете их тоже размещать нельзя, потому что к ним нужно ограничить доступ только по определенных протоколах. Например, если это веб-сервер, то к нему надо разрешить только http(s) запросы.
Поэтому, такие сервера размещаются в DMZ. Это решение убивает сразу двух зайцев — доступ осуществляется из сети Интернет только на определенные ресурсы, что реализуется конфигурированием сетевого экрана; при взломе сервера нельзя проникнуть в локальную сеть с пользователями и сугубо внутренними ресурсами, что тоже достигается настройками списков доступа на файрволе.
Рассмотрим маленькие примеры сетей с DMZ.
Первый рисунок показывает как организовывается сеть с одним сетевым экраном. Это экономичный способ, но для него необходим третий физический интерфейс на сетевом экране. Конечно, можно сконфигурировать сабинтерфейсы, но обычно в файрволах есть больше двух физических интерфейсов. Эта топология чаще всего используется в корпоративных сетях.
Второй способ построения DMZ более дорогостоящий, но и более безопасный, так как при взломе одного сетевого экрана и доступе к серверам все равно закрыт доступ в локальную сеть пользователей Иногда строят иные схемы подключения и с большим числом сетевых экранов, но такие топологии используются редко [Источник 3]
ДМЗ-хост
Некоторые маршрутизаторы SOHO-класса имеют функцию предоставления доступа из внешней сети к внутренним серверам (режим DMZ host или exposed host). В таком режиме они представляют собой хост, у которого открыты (не защищены) все порты, кроме тех, которые транслируются иным способом. Это не вполне соответствует определению истинной ДМЗ, так как сервер с открытыми портами не отделяется от внутренней сети. То есть ДМЗ-хост может свободно подключиться к ресурсам во внутренней сети, в то время как соединения с внутренней сетью из настоящей ДМЗ блокируются разделяющим их межсетевым экраном, если нет специального разрешающего правила. ДМЗ-хост не предоставляет в плане безопасности ни одного из преимуществ, которые даёт использование подсетей, и часто используется как простой метод трансляции всех портов на другой межсетевой экран или устройство.
Примечание
Межсетевой экран разрешает соединение хоста во внутренней сети с хостом в ДМЗ, если это соединение инициировал (запросил первым) хост во внутренней сети.
Дмз что это такое
Словарь: Словарь сокращений и аббревиатур армии и спецслужб. Сост. А. А. Щелоков. — М.: ООО «Издательство АСТ», ЗАО «Издательский дом Гелеос», 2003. — 318 с.
Днепропетровский металлургический завод имени Петровского
г. Днепропетровск, организация
Демиховский машиностроительный завод
Дальневосточный машиностроительный завод
Донецкий металлургический завод
Днепропетровский машиностроительный завод
Дружковский машиностроительный завод
Дмитровский молочный завод
«Донецксталь» — металлургический завод
г. Донецк, организация
Донецкий металлопрокатный завод
г. Донецк, организация, Украина
Дубненский машиностроительный завод
Полезное
Смотреть что такое «ДМЗ» в других словарях:
ДМЗ — ДМЗ: Демилитаризованная зона DMZ (компьютерные сети) Дубненский машиностроительный завод имени Федорова Н.П. ОАО официальный сайт 141980, Московская обл., г. Дубна, ул. Жуковского, 2 Днепровский машиностроительный завод им. В.И.Ленина… … Википедия
ДМЗ-синдром — ДМЗ синдром (синдром Домбровского Мазуренко Зинченко) прогрессирующее нарушение артикуляции и способности к логическому построению предложений. Содержание 1 Этиология 2 Клиника 3 Лечение … Википедия
ДМЗ им. Петровского — ДМЗ ДМЗ им. Петровского Днепропетровский металлургический завод имени Петровского http://dmz petrovka.dp.ua/ г. Днепропетровск, организация … Словарь сокращений и аббревиатур
ДМЗ (Вьетнам) — Демилитаризованная зона и часть провинции Куангчи к югу от неё Демилитаризованная зона (Вьетнам) (англ. Demilitarized Zone) зона, разделявшая Вьетнам на два государства в 1950 1970 х годах. Во время Вьетнамской войны была местом активных боевых… … Википедия
Зоопарк на ДМЗ — В Донецке находится 140 музеев и музейных комнат[1]. Среди них два крупных государственных областных музея: Донецкий областной художественный музей и Донецкий областной краеведческий музей. Кроме государственных музеев, есть музеи созданные… … Википедия
Музей истории ДМЗ — В Донецке находится 140 музеев и музейных комнат[1]. Среди них два крупных государственных областных музея: Донецкий областной художественный музей и Донецкий областной краеведческий музей. Кроме государственных музеев, есть музеи созданные… … Википедия
ДМПЗ — ДМЗ ДМПЗ Донецкий металлопрокатный завод ОАО г. Донецк, организация, Украина ДМПЗ Источник: http://e news.com.ua/raw materials/Donetskij metalloprokatnyj zavod v 56704.html/sid:ru1071 … Словарь сокращений и аббревиатур
DMZ (компьютерные сети) — У этого термина существуют и другие значения, см. DMZ. ДМЗ (демилитаризованная зона, DMZ) технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети… … Википедия
Днепродзержинский трамвай — Днепродзержинский трамвай … Википедия
Донецкий троллейбус — Троллейбусная система Страна … Википедия
Дмз что это такое
 | Список значений слова или словосочетания со ссылками на соответствующие статьи. Если вы попали сюда из другой статьи Википедии, пожалуйста, вернитесь и уточните ссылку так, чтобы она указывала на статью. |
Полезное
Смотреть что такое «ДМЗ» в других словарях:
ДМЗ — демилитаризованная зона между КНДР и КР КНДР Словарь: Словарь сокращений и аббревиатур армии и спецслужб. Сост. А. А. Щелоков. М.: ООО «Издательство АСТ», ЗАО «Издательский дом Гелеос», 2003. 318 с. ДМЗ ДМЗ им. Петровского Днепропетровский… … Словарь сокращений и аббревиатур
ДМЗ-синдром — ДМЗ синдром (синдром Домбровского Мазуренко Зинченко) прогрессирующее нарушение артикуляции и способности к логическому построению предложений. Содержание 1 Этиология 2 Клиника 3 Лечение … Википедия
ДМЗ им. Петровского — ДМЗ ДМЗ им. Петровского Днепропетровский металлургический завод имени Петровского http://dmz petrovka.dp.ua/ г. Днепропетровск, организация … Словарь сокращений и аббревиатур
ДМЗ (Вьетнам) — Демилитаризованная зона и часть провинции Куангчи к югу от неё Демилитаризованная зона (Вьетнам) (англ. Demilitarized Zone) зона, разделявшая Вьетнам на два государства в 1950 1970 х годах. Во время Вьетнамской войны была местом активных боевых… … Википедия
Зоопарк на ДМЗ — В Донецке находится 140 музеев и музейных комнат[1]. Среди них два крупных государственных областных музея: Донецкий областной художественный музей и Донецкий областной краеведческий музей. Кроме государственных музеев, есть музеи созданные… … Википедия
Музей истории ДМЗ — В Донецке находится 140 музеев и музейных комнат[1]. Среди них два крупных государственных областных музея: Донецкий областной художественный музей и Донецкий областной краеведческий музей. Кроме государственных музеев, есть музеи созданные… … Википедия
ДМПЗ — ДМЗ ДМПЗ Донецкий металлопрокатный завод ОАО г. Донецк, организация, Украина ДМПЗ Источник: http://e news.com.ua/raw materials/Donetskij metalloprokatnyj zavod v 56704.html/sid:ru1071 … Словарь сокращений и аббревиатур
DMZ (компьютерные сети) — У этого термина существуют и другие значения, см. DMZ. ДМЗ (демилитаризованная зона, DMZ) технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети… … Википедия
Днепродзержинский трамвай — Днепродзержинский трамвай … Википедия
Донецкий троллейбус — Троллейбусная система Страна … Википедия
Дмз что это такое
Демилитаризованная зона (DMZ) — это сеть периметра, которая защищает внутреннюю локальную сеть организации (LAN) от ненадежного трафика.
Общий смысл DMZ — это подсеть, расположенная между общедоступным интернетом и частными сетями. Она предоставляет доступ к внешним службам недоверенным сетям и обеспечивает дополнительный уровень безопасности для защиты конфиденциальных данных, хранящихся во внутренних сетях, используя брандмауэры для фильтрации трафика.
Конечная цель DMZ — предоставить организации доступ к ненадежным сетям, таким как интернет, при этом обеспечивая безопасность своей частной сети или локальной сети. Организации обычно хранят в DMZ внешние службы и ресурсы, а также серверы для системы доменных имен (DNS), протокола передачи файлов (FTP), почты, прокси-сервера, IP-телефонии и веб-серверов.
Эти серверы и ресурсы изолированы и имеют ограниченный доступ к локальной сети для обеспечения доступа через интернет, но внутренняя локальная сеть не может быть доступна. В результате подход DMZ затрудняет хакеру прямой доступ к данным организации и внутренним серверам через интернет.
Как работает сеть DMZ?
Компании с общедоступным сайтом, которым пользуются клиенты, должны сделать свой веб-сервер доступным по интернету. Это означает, что вся их внутренняя сеть подвергается риску. Чтобы предотвратить это, организация может заплатить хостинговой фирме за размещение сайта или их общедоступных серверов на брандмауэре, но это повлияет на производительность. Таким образом, общедоступные серверы размещаются в отдельной и изолированной сети.
Сеть DMZ обеспечивает буфер между интернетом и частной сетью организации. DMZ изолирована шлюзом безопасности, таким как межсетевой экран, который фильтрует трафик между DMZ и LAN. DMZ защищена другим шлюзом безопасности, который фильтрует трафик, поступающий из внешних сетей.
Она идеально расположена между двумя межсетевыми экранами, а настройка межсетевого экрана DMZ обеспечивает наблюдение за входящими сетевыми пакетами брандмауэром или другими средствами безопасности до того, как они перейдут к серверам, размещенным в DMZ. Это означает, что даже если злоумышленник может пройти мимо первого межсетевого экрана, он также должен получить доступ к защищенным службам в DMZ, прежде чем нанести ущерб компании.
Если злоумышленник может проникнуть во внешний брандмауэр и взломать систему в DMZ, он также должен пройти через внутренний брандмауэр, прежде чем получить доступ к конфиденциальным корпоративным данным. Опытный злоумышленник может нарушить безопасность DMZ, но ресурсы в ней активируют сигналы тревоги, предупреждающие о том, что происходит нарушение.
Организации, которые должны соблюдать такие правила, как Закон об унификации и учете в области медицинского страхования (HIPAA), иногда устанавливают прокси-сервер в DMZ. Это позволяет им упростить мониторинг и запись активности пользователей, централизовать фильтрацию веб-содержимого и обеспечить использование сотрудниками системы для получения доступа в интернет.
Преимущества использования DMZ
Основным преимуществом DMZ является обеспечение внутренней сети дополнительным уровнем безопасности путем ограничения доступа к конфиденциальным данным и серверам. DMZ позволяет посетителям сайтов получать определенные услуги, обеспечивая буфер между ними и частной сетью организации. В результате DMZ также предлагает дополнительные преимущества в области безопасности, такие как:
Услуги DMZ включают в себя:
Проектирование и архитектура DMZ
DMZ — это «широко открытая сеть», но существует несколько подходов к проектированию и архитектуре, которые защищают ее. DMZ может быть разработана несколькими способами: от подхода с одним межсетевым экраном до наличия двух и нескольких межсетевых экранов. Большинство современных архитектур DMZ используют двойные брандмауэры, которые можно расширить для разработки более сложных систем.
Организации также могут точно настроить средства контроля безопасности для различных сегментов сети. Это означает, что система обнаружения вторжений (IDS) или система предотвращения вторжений (IPS) в DMZ может быть настроена на блокировку любого трафика, кроме запросов протокола передачи гипертекста (HTTPS) на порт 443 протокола управления передачей (TCP).
Важность сетей DMZ: как они используются?
Сети DMZ являются центральным компонентом защиты корпоративных сетей с момента внедрения межсетевых экранов. Они защищают конфиденциальные данные, системы и ресурсы организаций, сохраняя внутренние сети отдельно от систем, которые могут быть затронуты злоумышленниками. DMZ также позволяют организациям контролировать и снижать уровни доступа к конфиденциальным системам.
Предприятия все чаще используют контейнеры и виртуальные машины (ВМ) для изоляции своих сетей или конкретных приложений от остальной части своих систем. Рост облачных технологий означает, что многим компаниям больше не нужны внутренние серверы. Они также перенесли большую часть своей внешней инфраструктуры в облачное хранилище с помощью приложений «ПО как услуга» (SaaS).
Например, облачный сервис, такой как Microsoft Azure, позволяет организации, которая запускает приложения на стороне потребителя и в виртуальных частных сетях (VPN), использовать гибридный подход с DMZ, расположенным между ними. Этот метод также может использоваться, когда исходящий трафик требует аудита или управления им между локальным центром обработки данных и виртуальными сетями.
Кроме того, DMZ доказали свою эффективность в противодействии рискам безопасности, связанным с устройствами Интернета вещей (IoT) и операционными технологиями (OT), которые делают производство более интеллектуальным, но создают обширную поверхность угроз. Это связано с тем, что ОТ-оборудование не было разработано для борьбы с кибератаками или восстановления после них, как это было в устройствах Интернета вещей, что представляет значительный риск для критически важных данных и ресурсов организаций. DMZ обеспечивает сегментацию сети для снижения риска атаки, которая может нанести ущерб промышленной инфраструктуре.
Как Fortinet может помочь
Брандмауэр следующего поколения (NGFW) Fortinet FortiGate содержит сеть DMZ, способную защитить серверы и сети пользователей. Это создает брешь в защите сети для пользователей, чтобы получить доступ к веб-серверу, защищенному DMZ, и только предоставляет доступ, который был явно включен. Дополнительная информация о том, как защитить веб-сервер с помощью DMZ, представлена в руководстве Fortinet
Ответы на вопросы
Что такое DMZ?
DMZ — демилитаризованная зона, представляющая собой сеть периметра, которая позволяет организациям защищать свои внутренние сети. Она позволяет организациям предоставлять доступ к ненадежным сетям, таким как интернет, при этом обеспечивая безопасность частных сетей или локальных сетей (LAN). DMZ обычно используется для хранения внешних ресурсов, серверов и служб.
Безопасна ли DMZ?
Сама сеть DMZ небезопасна. Она позволяет хостам и системам, хранящимся в ней, быть доступными из недоверенных внешних сетей, таких как Интернет, при этом сохраняя другие хосты и системы в частных сетях изолированными.
Каковы преимущества DMZ?
DMZ обеспечивает дополнительный уровень безопасности внутренней сети. Она ограничивает доступ к конфиденциальным данным, ресурсам и серверам, размещая буфер между внешними пользователями и частной сетью. Среди других преимуществ — контроль доступа, не позволяющий злоумышленникам проводить разведку потенциальных целей и защищающий организации от атак посредством IP-спуфинга.
Следует ли использовать DMZ на маршрутизаторе?
DMZ может использоваться на маршрутизаторе в домашней сети. Маршрутизатор становится локальной сетью, к которой подключаются компьютеры и другие устройства. Некоторые домашние маршрутизаторы также имеют функцию хоста DMZ, которая выделяет устройство для работы вне брандмауэра и действует как DMZ. Все остальные устройства располагаются внутри брандмауэра в домашней сети. Игровая консоль часто является хорошим вариантом для использования в качестве хоста DMZ. Это гарантирует, что брандмауэр не будет влиять на игровую производительность и, скорее всего, будет содержать меньше конфиденциальных данных, чем ноутбук или ПК.
Архитектура интернета
Выбор провайдеров
Использование беспроводного канала связи не предотвращает всех возможных проблем, так как вследствие воздействия погодных условий, ветра или птиц качество беспроводного соединения может быть снижено, либо соединение вовсе может быть прервано. Однако вероятность единовременного выхода из строя беспроводного канала и обычного канала связи с провайдером очень мала.
Примечание
При выборе провайдера услуг беспроводной связи следует руководствоваться теми же требованиями, что и при выборе обычного поставщика услуг интернета. Любой ISP должен предоставлять соглашение об уровне предоставляемых услуг и подкреплять это соглашение устными рекомендациями.
Адресация
Еще одним вопросом, который необходимо рассматривать при работе с несколькими провайдерами, является проблема адресации. Как правило, при работе с одним провайдером ISP присваивает адресное пространство организации. ISP настраивает маршрутизацию таким образом, что трафик, направленный в организацию, достигает ее систем. ISP сообщает маршрут для этих адресов другим провайдерам, чтобы трафик из любых мест интернета смог достичь систем организации
Еще одним вариантом является приобретение набора адресов самой организацией. В то время как этот подход решает некоторые проблемы, оба провайдера должны быть готовы к распространению информации о маршрутах на адреса, которые им не принадлежат. Этот подход часто используется в организациях, где требуется контроль над своими собственными адресами.
Вопросы для самопроверки
Проектирование демилитаризованной зоны
Определение демилитаризованной зоны
Системы, открытые для прямого доступа внешних систем или пользователей, являются главными целями злоумышленников и потенциально подвержены проявлению угроз. Эти системы не могут пользоваться полным доверием, так как они подвержены нападению в любое время. Следовательно, мы пытаемся ограничить доступ этих систем к действительно важным и секретным компьютерам, расположенным внутри сети.
Общие правила доступа для DMZ позволяют внешним пользователям осуществлять доступ к соответствующим службам, расположенным на системах в демилитаризованной зоне. На системы в DMZ налагаются строгие ограничения на доступ ко внутренним системам сети. По возможности соединение между внутренней системой и DMZ должно инициироваться внутренней системой. Внутренние системы могут осуществлять доступ к DMZ или в интернет согласно политикам, однако внешним пользователям доступ ко внутренним системам запрещен.