จากมุมมองด้านความปลอดภัยคุณจะได้ประโยชน์อะไรบ้างจากการตั้งค่า DMZ ที่บ้านหากคุณวางแผนที่จะใช้งานเว็บไซต์ที่มีปริมาณการใช้งานต่ำ (ไม่เป็นที่นิยม) จากที่นั่น
มีคอมพิวเตอร์หลายเครื่องในบ้านในเครือข่าย Windows เดียวกัน แต่การรับส่งข้อมูล HTTP & SSL ทั้งหมดจะถูกเปลี่ยนเส้นทางไปยังเครื่องเฉพาะบนเครือข่ายนั้น จำเป็นต้องตั้งค่าเครื่องนี้ใน DMZ บางประเภทเพื่อเพิ่มความปลอดภัยหรือไม่?
คำตอบ:
ใช่. การรับส่งข้อมูลใด ๆ ที่เข้ามาจากอินเทอร์เน็ตที่ไม่ตอบสนองต่อคำขอจากคอมพิวเตอร์เครื่องใดเครื่องหนึ่งของคุณควรถูกสงสัย มีหลายสถานการณ์ที่เว็บไซต์ของคุณอาจถูกโจมตีและอาจนำไปสู่บุคคลที่สามารถเข้าถึงเครือข่ายภายในได้
ตอนนี้ความจริงที่โชคร้ายคือเราเตอร์เชิงพาณิชย์ส่วนใหญ่ไม่มีความสามารถในการตั้งค่า DMZ ที่เหมาะสม พวกเขาอาจอนุญาตให้คุณตั้งค่า DMZ IP ที่การรับส่งข้อมูลภายนอกทั้งหมดถูกกำหนดเส้นทาง สิ่งนี้ไม่อนุญาตสำหรับการแยกที่ควรมี DMZ หากต้องการ DMZ ที่ใช้งานได้คอมพิวเตอร์ใน DMZ จะต้องอยู่ในช่วง IP ที่แตกต่างกันหรือเครือข่ายย่อยกว่าเครือข่ายหลักและอยู่ในพอร์ตอื่นบนเราเตอร์ที่รองรับ DMZ IP Range เท่านั้น ผลลัพธ์สุดท้ายของการกำหนดค่า DMZ อย่างถูกต้องคือระบบใน DMZ ไม่สามารถเข้าถึง IP บนเครือข่ายหลักได้โดยตรง
นอกจากนี้ตรวจสอบให้แน่ใจว่าเราเตอร์ของคุณไม่ถือว่า DMZ เป็นภายในเพื่อจุดประสงค์ในการดูแลระบบ ดังนั้นจึงไม่ควรเชื่อถือทราฟฟิกจาก DMZ มากกว่าที่จะเชื่อใจทราฟฟิกจากอินเทอร์เน็ตและคุณไม่ควรไปที่อินเทอร์เฟซการดูแลระบบสำหรับเราเตอร์จากระบบใด ๆ บน DMZ ปัญหานี้มักจะเกิดปัญหากับ "เราเตอร์สองตัว" ที่ผู้อื่นเสนอ เราเตอร์ภายนอกยังคงปฏิบัติต่อระบบใน DMZ เป็นภายในและเชื่อถือได้ เราเตอร์ภายนอกตัวนี้อาจถูกบุกรุกและการรับส่งข้อมูลภายในทั้งหมดยังคงต้องผ่านเพื่อเข้าสู่อินเทอร์เน็ต
หากคุณเพียงแค่ส่งต่อบริการเฉพาะ (HTTP & SSL) ที่คุณต้องการให้มีการใช้งานเฉพาะสำหรับ DMZ จะเป็นการจำกัดความเสียหายหากเครื่องนั้นจะถูกบุกรุก (พูดผ่าน cgi ที่เขียนไม่ดี) ) การตัดสินใจว่าจะทำเช่นนี้ควรขึ้นอยู่กับความเสียหายที่อาจเกิดขึ้น - หากไม่มีเครื่องอื่น ๆ ในเครือข่ายก็ไม่ใช่เรื่องใหญ่ แต่ถ้ามี NAS ภายในที่ไม่ปลอดภัยพร้อมบันทึกทางการเงินส่วนบุคคลของคุณ ต้องการเลเยอร์ความปลอดภัยภายในเพิ่มเติมใช่
ฉันยังคงเพราะมันค่อนข้างง่ายที่จะทำ หากคุณมีเราเตอร์บรอดแบนด์สองตัวคุณสามารถตั้งค่าพวกมันให้สอดคล้องกับพื้นที่ที่อยู่ IP ส่วนตัวที่แตกต่างกัน (เช่น 192.168.100.1-254 และ 192.168.200.1-254) วางเว็บเซิร์ฟเวอร์ไว้กับเซิร์ฟเวอร์แรกซึ่งเชื่อมต่อกับอินเทอร์เน็ตโดยตรง ใช้การส่งต่อพอร์ตไปยังเว็บเซิร์ฟเวอร์ของคุณโดยตรง วางระบบทั้งหมดของคุณที่จะอยู่ในเครือข่ายส่วนตัวของคุณหลังเราเตอร์บรอดแบนด์ตัวที่สอง ด้วยวิธีนี้หากเว็บเซิร์ฟเวอร์ถูกโจมตีด้วยเหตุผลบางอย่างพวกเขาจะต้องผ่านเราเตอร์บรอดแบนด์ตัวที่สองเพื่อเข้าสู่ระบบอื่นของคุณ
เครือข่ายในบ้านส่วนใหญ่ไม่มีที่อยู่ IP สาธารณะเพียงพอที่จะตั้งค่า DMZ ได้อย่างมีประสิทธิภาพ จุดของ DMZ แม้ว่าโดยทั่วไปแล้วจะใส่เลเยอร์การนำเสนอที่นั่นเช่นเว็บเซิร์ฟเวอร์และจากนั้นเก็บเซิร์ฟเวอร์ฐานข้อมูลไว้หลังไฟร์วอลล์ที่อนุญาตให้เฉพาะเครื่องใน DMZ คุยกับเซิร์ฟเวอร์ฐานข้อมูลผ่านพอร์ตและโปรโตคอลที่ระบุ มันเพิ่มความปลอดภัย แต่สำหรับการตั้งค่าที่บ้านเว้นแต่คุณจะให้บริการแอพพลิเคชั่นระดับ N ที่ให้ยืมตัวกับ DMZ มันไม่สมเหตุสมผลนัก