В компьютерных сетях демилитаризованная зона представляет собой специальную конфигурацию локальной сети, предназначенную для повышения безопасности путем разделения компьютеров по обе стороны брандмауэра. DMZ можно настроить как в домашних, так и в корпоративных сетях, хотя их полезность в домашних условиях ограничена.
Где полезен DMZ?
В домашней сети компьютеры и другие устройства обычно объединяются в локальную сеть, подключенную к Интернету с помощью широкополосного маршрутизатора. Маршрутизатор служит брандмауэром, выборочно фильтруя трафик извне, чтобы обеспечить прохождение только законных сообщений. DMZ делит такую сеть на две части, помещая одно или несколько устройств внутрь брандмауэра и перемещая их наружу. Эта конфигурация лучше защищает внутренние устройства от возможных атак извне (и наоборот).
ДМЗ полезна в домах, когда в сети работает сервер. Сервер можно было настроить в демилитаризованной зоне, чтобы пользователи Интернета могли получить к нему доступ через общедоступный IP-адрес, а остальная часть домашней сети была защищена от атак в случае взлома сервера. Несколько лет назад, до того, как облачные сервисы стали широко доступными и популярными, люди чаще запускали веб-серверы, VoIP или файловые серверы из своих домов, и демилитаризованная зона имела больше смысла.
Бизнес-компьютерные сети, с другой стороны, могут чаще использовать DMZ для управления своими корпоративными веб-серверами и другими общедоступными серверами. Домашние сети в настоящее время чаще выигрывают от разновидности DMZ, называемой хостингом DMZ.
Поддержка хоста DMZ в широкополосных маршрутизаторах
Информация о сетевых DMZ может сначала сбивать с толку, потому что этот термин относится к двум типам конфигураций. Стандартная функция DMZ host домашних маршрутизаторов не устанавливает полную подсеть DMZ, а вместо этого идентифицирует одно устройство в существующей локальной сети для работы за пределами брандмауэра, в то время как остальная часть сети функционирует. как обычно.
Чтобы настроить поддержку узла DMZ в домашней сети, войдите в консоль маршрутизатора и включите параметр узла DMZ, который отключен по умолчанию. Введите частный IP-адрес локального устройства, назначенного хостом. Игровые приставки Xbox или PlayStation часто выбираются в качестве хостов DMZ, чтобы домашний брандмауэр не мешал онлайн-играм. Убедитесь, что хост использует статический IP-адрес (а не динамически назначаемый), в противном случае другое устройство может унаследовать назначенный IP-адрес и вместо этого стать хостом DMZ.
Настоящая поддержка DMZ
В отличие от DMZ-хостинга, настоящая DMZ (иногда называемая коммерческой DMZ) создает новую подсеть за пределами брандмауэра, в которой работает один или несколько компьютеров. Эти внешние компьютеры добавляют дополнительный уровень защиты для компьютеров за брандмауэром, поскольку все входящие запросы перехватываются и должны сначала пройти через компьютер DMZ, прежде чем достичь брандмауэра. Настоящие DMZ также запрещают компьютерам, находящимся за брандмауэром, напрямую взаимодействовать с устройствами DMZ, вместо этого требуя, чтобы сообщения поступали через общедоступную сеть. Многоуровневые DMZ с несколькими уровнями поддержки брандмауэра могут быть настроены для поддержки больших корпоративных сетей.