เท่าที่ฉันเข้าใจโดยใช้ DMZ คุณจะเปิดเผยพอร์ตของโฮสต์คอมพิวเตอร์ทั้งหมดต่ออินเทอร์เน็ต มันดีสำหรับอะไร
เท่าที่ฉันเข้าใจโดยใช้ DMZ คุณจะเปิดเผยพอร์ตของโฮสต์คอมพิวเตอร์ทั้งหมดต่ออินเทอร์เน็ต มันดีสำหรับอะไร
คำตอบ:
DMZ นั้นดีถ้าคุณต้องการเรียกใช้เซิร์ฟเวอร์ภายในบ้านที่สามารถเข้าถึงได้จากนอกเครือข่ายในบ้านของคุณ (เช่นเว็บเซิร์ฟเวอร์, ssh, vnc หรือโปรโตคอลการเข้าถึงระยะไกลอื่น ๆ ) โดยทั่วไปแล้วคุณต้องการเรียกใช้ไฟร์วอลล์บนเครื่องเซิร์ฟเวอร์เพื่อให้แน่ใจว่าเฉพาะพอร์ตที่ต้องการโดยเฉพาะเท่านั้นที่ได้รับอนุญาตให้เข้าถึงได้จากคอมพิวเตอร์สาธารณะ
อีกทางเลือกหนึ่งในการใช้ DMZ คือการตั้งค่าการส่งต่อพอร์ต ด้วยการส่งต่อพอร์ตคุณสามารถอนุญาตเฉพาะพอร์ตที่เฉพาะเจาะจงผ่านเราเตอร์ของคุณและคุณสามารถระบุบางพอร์ตเพื่อไปยังเครื่องต่าง ๆ ได้หากคุณมีเซิร์ฟเวอร์หลายตัวที่ทำงานด้านหลังเราเตอร์ของคุณ
โปรดระวัง. DMZ ในสภาพแวดล้อมแบบองค์กร / มืออาชีพ (ที่มีไฟร์วอลล์ระดับไฮเอนด์) นั้นไม่เหมือนกับเราเตอร์ไร้สายในบ้าน (หรือเราเตอร์ NAT อื่น ๆ สำหรับใช้ในบ้าน) คุณอาจต้องใช้เราเตอร์ NAT ตัวที่สองเพื่อรับความปลอดภัยที่คาดไว้ (ดูบทความด้านล่าง)
ในตอนที่ 3ของSecurity Now พอดคาสต์โดย Leo Laporte และปรมาจารย์ด้านความปลอดภัย Steve Gibson หัวข้อนี้ได้รับการพูดคุยเกี่ยวกับ ในการถอดเสียงดูใกล้ "ปัญหาที่น่าสนใจจริง ๆ เพราะนั่นคือสิ่งที่เรียกว่า" DMZ "เขตปลอดทหารตามที่เรียกกับเราเตอร์"
จาก Steve Gibson, http://www.grc.com/nat/nat.htm :
"อย่างที่คุณอาจจินตนาการเครื่อง" DMZ "ของเราเตอร์และแม้แต่เครื่อง" พอร์ตที่ส่งต่อ "จำเป็นต้องมีความปลอดภัยอย่างมากหรือจะคลานไปกับเชื้อราบนอินเทอร์เน็ตในเวลาไม่นานนั่นเป็นปัญหาใหญ่จากมุมมองด้านความปลอดภัย .. เราเตอร์ NAT มีสวิตช์อีเธอร์เน็ตมาตรฐานเชื่อมต่อระหว่างพอร์ต LAN ด้านข้างทั้งหมดไม่มีอะไร "แยก" เกี่ยวกับพอร์ตที่โฮสต์เครื่องพิเศษ "DMZ" อยู่บน LAN ภายในนั่นหมายความว่าอะไรก็ตามที่อาจคลานเข้าไป ผ่านพอร์ตเราเตอร์ที่ส่งต่อหรือเนื่องจากเป็นโฮสต์ DMZ จึงสามารถเข้าถึงเครื่องอื่น ๆ ใน LAN ส่วนตัวภายใน (นั่นแย่จริงๆ) "
ในบทความนี้ยังมีวิธีการแก้ไขปัญหานี้ที่เกี่ยวข้องกับการใช้เราเตอร์ NAT ที่สอง มีไดอะแกรมที่ดีจริงๆที่แสดงให้เห็นถึงปัญหาและแนวทางแก้ไข
block all traffic from #4 to #1,#2,#3
ที่ไม่สามารถใช้สวิตช์ L2 ได้
DMZหรือ "de-ทหารโซน" เป็นที่ที่คุณสามารถตั้งค่าเซิร์ฟเวอร์หรืออุปกรณ์อื่น ๆ ที่จำเป็นเพื่อให้สามารถเข้าถึงจากภายนอกเครือข่ายของคุณ
มีอะไรบ้าง เว็บเซิร์ฟเวอร์พร็อกซีเซิร์ฟเวอร์เมลเซิร์ฟเวอร์ ฯลฯ
ในเครือข่ายโฮสต์ที่เสี่ยงต่อการถูกโจมตีมากที่สุดคือเครือข่ายที่ให้บริการแก่ผู้ใช้นอก LAN เช่นอีเมลเว็บและเซิร์ฟเวอร์ DNS เนื่องจากศักยภาพที่เพิ่มขึ้นของโฮสต์เหล่านี้ถูกบุกรุกพวกเขาจึงถูกวางไว้ในเครือข่ายย่อยของตนเองเพื่อปกป้องเครือข่ายที่เหลือหากผู้บุกรุกประสบความสำเร็จ โฮสต์ใน DMZ มีการเชื่อมต่อที่ จำกัด กับโฮสต์ที่ระบุในเครือข่ายภายในแม้ว่าจะอนุญาตการสื่อสารกับโฮสต์อื่นใน DMZ และเครือข่ายภายนอก สิ่งนี้ทำให้โฮสต์ใน DMZ สามารถให้บริการกับทั้งเครือข่ายภายในและภายนอกในขณะที่ไฟร์วอลล์ที่เข้ามาควบคุมการรับส่งข้อมูลระหว่างเซิร์ฟเวอร์ DMZ และไคลเอนต์เครือข่ายภายใน
ในเครือข่ายคอมพิวเตอร์ DMZ (เขตปลอดทหาร) บางครั้งก็รู้จักกันในชื่อเครือข่ายในขอบเขตหรือเครือข่ายย่อยที่ถูกคัดกรองเป็นเครือข่ายย่อยทางกายภาพหรือตรรกะที่แยกเครือข่ายท้องถิ่นภายใน (LAN) จากเครือข่ายที่ไม่น่าเชื่อถืออื่น ๆ เซิร์ฟเวอร์ทรัพยากรและการบริการภายนอกที่อยู่ใน DMZ ดังนั้นจึงสามารถเข้าถึงได้จากอินเทอร์เน็ต แต่ LAN ภายในที่เหลือยังไม่สามารถเข้าถึงได้ นี่เป็นการเพิ่มระดับความปลอดภัยให้กับ LAN เนื่องจากจะจำกัดความสามารถของแฮกเกอร์ในการเข้าถึงเซิร์ฟเวอร์และข้อมูลภายในผ่านทางอินเทอร์เน็ตโดยตรง