DMZ: безопасность вашей сети на новом уровне
Термин DMZ (Demilitarized Zone) означает место безопасности для размещения компьютерной инфраструктуры, в основном, для сетевых ресурсов, как правило, веб-серверов. Это средство безопасности сети, которое предоставляет отдельный сегмент в локальной сети (LAN), который не связан ни с чем внутри сети.
С помощью передовых технологий сети, богатых опциями безопасности и продвинутых конфигурационных настроек, у каждой DMZ может быть своя степень защиты, для того чтобы минимизировать риски, связанные с эксплуатацией систем, связанных с Интернетом.
Существует несколько видов DMZ, включая одиночную DMZ, двойную DMZ и множественную DMZ.
Чтобы создать DMZ, требуется отдельная сетевая карта, подключенная к DMZ-порту маршрутизатора, и настройки, которые отделяют эту область от остальной сети. Также могут использоваться специально спроектированные сетевые устройства, такие как аппаратные брандмауэры.
Примеры кода:
Настройка DMZ на роутере Cisco:
interface GigabitEthernet0/1
ip address 192.168.1.254 255.255.255.0
ip access-group DMZ-Firewall in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface GigabitEthernet0/2
ip address 192.168.2.254 255.255.255.0
ip access-group DMZ-Internal in
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip access-list extended DMZ-Firewall
deny ip any any log
!
ip access-list extended DMZ-Internal
permit ip any any
Настройка DMZ на маршрутизаторе MikroTik:
/ip firewall filter
add action=jump chain=forward dst-address=!192.168.2.0/24 in-interface=ether1 place-before=1 jump-target=DMZ-block
add action=jump chain=forward in-interface=ether1 jump-target=DMZ2LAN
add action=accept chain=forward dst-address=192.168.2.0/24 in-interface=ether1
add action=drop chain=DMZ-block jump-targetInvalid
add action=drop chain=DMZ-block jump-targetBadTCP
add action=drop chain=DMZ-block jump-targetFTP-scan
add action=drop chain=DMZ-block jump-targetBadICMP
add action=drop chain=DMZ-block jump-targetICMP-flood
add action=drop chain=DMZ-block jump-targetTCP-flood
add action=drop chain=DMZ-block jump-targetUDP-flood
add action=drop chain=DMZ-block jump-targetPortscan
...
add action=jump chain=DMZ2LAN dst-port=80,443 jump-target=web-proxy-in
add action=jump chain=DMZ2LAN src-port=80,443 jump-target=web-proxy-out
Такие конфигурации позволяют настроить безопасности компьютерной системы, используя DMZ, что может остановить большинство угроз веб-сайтам и атакующим, которые могут поставляться через Интернет.