→ Базовые настройки для демилитаризованной зоны сети. DMZ - что это в роутере? DMZ и видеонаблюдение. Причины появления демилитаризованных зон

Базовые настройки для демилитаризованной зоны сети. DMZ - что это в роутере? DMZ и видеонаблюдение. Причины появления демилитаризованных зон

Демилитаризованная зона (англ. Demilitarized Zone, DMZ) – это конфигурация сети, направленная на усиление безопасности сети организации, в которой открытые для общего доступа сервера находятся в отдельном изолированном сегменте сети. Данная концепция обеспечивает отсутствие контактов между открытыми для общего доступа серверами и другими сегментами сети в случае взлома сервера.

Как правило, в изолированном сегменте сети располагается сервер-ретранслятор, обеспечивающий перенаправление запросов из внешней сети в сеть организации. Примерами таких серверов могут служить ViPNet Coordinator и обратный прокси-сервер (Reverse proxy) .

Обратный прокси-сервер (Reverse proxy)

Для начала создаем веб-сайт, который будет принимать запросы из внешней сети. Для него необходимо указать соответствующие привязки (имя хоста и порт). Так как все веб-решения компании DIRECTUM предполагают работу с важной информацией, необходимо настроить сайт на использование HTTPS-соединения. Обычно для HTTPS-соединения используется 443 порт. Соответственно, данный порт необходимо указать в настройках DMZ-брандмауэра.
Следующим шагом добавляем правило перенаправления при помощи модуля URL Rewrite:

Если настройка осуществляется впервые, IIS сообщит о необходимости включения Reverse proxy-функциональности и предупредит, что Reverse proxy может как усилить защиту периметра организации, так и, наоборот, снизить безопасность, предоставив доступ внутренним сервисам организации из сети Internet.

После включения Reverse proxy-функциональности необходимо задать правила перенаправления:

В поле «Правила для входящего трафика» указывается адрес и порт сервиса для перенаправления, находящегося во внутренней сети организации. Напомню, что входящие адреса, запросы с которых будут перенаправлены, задаются выше в настройках привязок веб-сайта.

Для снижения нагрузки на DMZ-сервер можно включить SSL-разгрузку. В этом случае все внешние HTTPS-запросы будут перенаправлены по HTTP во внутреннюю сеть. Мы не рекомендуем применять такие подходы, чтобы не снижать общую безопасность схемы взаимодействия, поэтому в настройках брандмауэра внутренней сети также потребуется открыть 443 порт (или иной, указанный в правилах URLRewrite).

Пример настройки:

Сервер веб-приложения DIRECTUM располагается во внутренней сети организации и имеет один интерфейс: 192.168.1.2/255.255.255.0.

Брандмауэры сети DMZ и внутренней сети настраиваются на разрешение входящих и исходящих соединений по порту 443 протокола HTTP.

Для обеспечения дополнительной защиты рекомендуется ограничить доступ к веб-серверу DIRECTUM из внутренней сети и разрешить сетевые соединения только с необходимыми службами (СУБД, сервер сеансов, Workflow и т.д.). Для этого следует настроить правила брандмауэра веб-сервера DIRECTUM для входящих и исходящих соединений и разрешить соединения по следующим портам:

  • протокол TCP/IP;
  • для связи с SQL сервером – по умолчанию порт 1433;
  • для связи с сервером с установленной службой Сервер сеансов – по умолчанию порт 32300;
  • для связи с сервером с установленной службой WorkFlow – по умолчанию порт 32310;
  • для работы сервера веб-доступа по протоколу HTTPS – порт 443;
  • протокол UDP/IP: для разрешения имен NetBIOS – по умолчанию порты 137-139.

Указан минимальный набор портов и протоколов связи. При использовании в продуктивной среде возможно расширение разрешающих правил. К примеру, для работы служб файловых хранилищ понадобится дополнительно открыть порты 445 и 32320 по протоколу TCP.

Вместо заключения

В этой небольшой статье были рассмотрены практические шаги, с помощью которых можно повысить уровень безопасности сети организации. Для того чтобы ознакомиться с другими средствами обеспечения безопасности следите за т .

Владельцы домашних Wi-Fi-роутеров иногда могут столкнуться с тем, что некоторые программы или игры работают с ограничениями. В некоторых случаях советуется использовать переадресацию в маршрутизаторе . Существует несколько способов переадресации, каждый из которых имеет некоторые преимущества и недостатки. Одним из таких является DMZ. В большинстве моделей сетевых устройств этот пункт присутствует в параметрах, но далеко не каждый знает, что это такое и для чего его использовать. Если вы тоже не знаете, эта информация для вас.

Большинство обычных юзеров даже не слышали о технологии DMZ

Что такое DMZ

Является физическим или виртуальным сервером, служащим как буфер между локальной сетью и интернетом. Применяется для предоставления пользователям локальной сети услуг электронной почты, удалённых серверов, веб-приложений и других программ, которые требуют доступ во Всемирную паутину. Для доступа к внутренним ресурсам извне нужно пройти процедуру авторизации , попытка войти для не авторизованных пользователей успехом не увенчается. В большинстве случаев это настройка маршрутизатора.

Название происходит от английской аббревиатуры, обозначающей демилитаризованную зону как барьер между враждующими территориями. Эта технология применяется, когда вы создаёте домашний сервер, доступ к которому должен осуществляться с любого компьютера, подсоединённого к интернету. Настоящая демилитаризованная зона используется в больших корпоративных сетях с высоким уровнем внутренней защиты. Домашние модели роутеров полностью открывают компьютер для доступа к интернету.

В каких случаях используется DMZ

Учитывая открытость компьютера, метод считается довольно опасным, поэтому стоит использовать его, когда другие методы переадресации не дают нужного результата.

  1. Для работы приложений , требующих открытие всех доступных портов. Таковых мало, но они встречаются.
  2. Хостинг домашнего сервера. Иногда нужно расположить общедоступный ресурс у себя дома, поэтому эта настройка будет незаменимой для отделения сервера от локальной сети.
  3. Использование игровых консолей. В большинстве моментов автоматическая настройка переадресации роутера позволяет использовать консоли для игры онлайн без дополнительных манипуляций. Но в некоторых случаях только DMZ даст желаемый эффект.

Настройка DMZ в роутере

Чтобы DMZ успешно работал в вашей сети, настройка маршрутизатора должна быть выполнена корректно. Это абсолютно не сложно. Войдите в установки через веб-интерфейс. Обычно IP-адрес, логин и пароль входа указывают на самом роутере или в его инструкции. Зависимо от производителя, этот раздел может находиться либо во вкладке «Настройка интернета», либо «Переадресация».

  1. Первым делом в установках DHCP-сервера нужно присвоить статичный , на котором будет организован сервер;
  2. После этого во вкладке DMZ активируйте пункт «Включить» и добавьте присвоенный IP-адрес, сохраните и перезагрузите устройство;
  3. Побеспокойтесь о том, чтобы на всех устройствах сети были установлены актуальные обновления безопасности, так как, несмотря на удобство, они подвержены дополнительному риску.

Заключение

Теперь вы знаете, что такое DMZ, и как происходит настройка. Обычно в домашних условиях его применять практически не приходится.

Используете ли вы эту технологию на своём роутере? Для каких целей? Приглашаем оставлять комментарии.

DMZ в роутере - это функция, которая позволяет открыть все внешние порты для конкретного IP из локальной сети роутера. Обычно применяется для реализации удалённого доступа к конкретному устройству находящемуся за роутером. Особенно часто DMZ применяется для доступа из любой точки интернета к IP камерам или видеорегистратору, т.е. для видеонаблюдения.

Очень многие Wi_Fi роутеры имеют функцию предоставления доступа из внешней сети к устройствам в своей локальной сети (режим DMZ host, оно же exposed host). В этом режиме у устройства (компьютера, видеорегистратора, IP-камера, и т.д.) в локальной сети открыты все порты. Это не вполне соответствует каноническому определению DMZ, так как устройство с открытыми портами не отделяется от внутренней сети. То есть DMZ-хост может свободно подключиться к ресурсам во внутренней сети, в то время как соединения с внутренней сетью из канонического DMZ блокируются разделяющим их фаерволом, т.е. с точки зрения безопасности решение не самое лучшее. Следует помнить, что это всего один из способов организации доступа к устройству в другой локальной сети. Популярен ещё простой проброс портов. Его тоже поддерживает практически любой современный и не очень роутер. Но есть одно существенное отличие. С настройкой DMZ справится любой школьник, а вот проброс портов не так прост для человека, который делает подобное впервые.

DMZ - это комплексное решение, и теребуется несколько простых шагов для использования его. При реализации, к примеру, доступа из интернет к видеорегистратору требуется:

  1. Ввести в настройках DMZ роутера IP видеорегистратора
  2. Роутер должен получать от провайдера постоянный IP или должен использоваться DDNS

Почему для DMZ требуется именно постоянный IP адрес, и почему его можно заменить DDNS?


Тут всё просто. Если вашему роутеру будут присваиваться провайдером разные IP-адреса, то узнать какой IP сейчас у вашего роутера можно будет с помощью сервиса DDNS. А вам необходимо знать этот самый IP адрес, чтобы подсоединиться удалённо к вашему устройству. DDNS - позволяет пользователям получить субдомен, который будет привязан к пользовательскому устройству. Зная этот субдомен, вам будет не нужно беспокоиться, его вы и будете использовать вместо IP. Однако, постоянный IP от провайдера, и проще, и безопаснее, но дороже:)

Видите как просто. В этом и есть удобство DMZ. Ещё одним плюсом является, возможность настройки маршрутизатора (роутера) не зная какой порт будет выбран для допустим видеорегистратора. И как следствие дальнейшая смена порта доступа, независимо от настроек маршрутизатора.


Проброс портов через роутер

Буквально два слова про проброс портов вцелом. Проброс портов можно было бы назвать частным случаем DMZ если бы не то, что DMZ в том виде, в котором он реализован на домашних роутерах не появился бы позже термина проброс порта. Многие пользователи не понимают смысла слова порт. Можно, если угодно расценивать порт, как цифровую метку (в виде цифры) на пакетах, помогающую сортировать информационные пакеты по назначению. Своего рода дополнительное средство маршрутизации. Как правило в настройках роутера присутствует пункт переадресация портов. Для этого следует указать IP устройства в сети роутера, порт(т.е. ту самую метку) по которому это устройство доступно по управлению, внешний порт - это порт который будет привязан к указанным порту и IP устройства.

 Вывод:
DMZ по сути является пробросом портов на конкретный IP в локальной сети маршрутизатора(роутера) из внешней сети. Отличие от проброса портов, в том, что в случае DMZ для указанного IP открываются все возможные порты одновременно. Это не эффективно с точки зрения безопасности, однако, значительно облегчает настройку удалённого доступа к какому-либо устройству за роутером. Обычно эта возможность применяется в видеонаблюдении.

В нашей статье мы детально разберем понятие DMZ. Попытаемся дать ответы на вопросы о том, что такое DMZ, как оно появилось, и как настроить DMZ. Каждый сможет почерпнуть для себя как минимум общие сведения по этой теме.

Причины появления демилитаризованных зон

Сейчас всё реже и реже можно встретить какие-либо компании без компьютеров. А там, где есть компьютеры, имеется и внутренняя локальная сеть, объединяющая их воедино.

Само по себе наличие общей внутренней локальной сети - это очень практично и безопасно. Но с появлением всемирной сети Интернет всё стало чуточку сложнее. Сейчас абсолютное большинство компаний пользуются услугами Всемирной паутины. Это весьма облегчает рабочий процесс, так как каждый может в считанные секунды найти любую интересующую его информацию.

Но с развитием Интернета появилась и угроза проникновения в общую локальную сеть компании извне. В первую очередь, это касалось компаний, имеющих публичные интернет-сервисы, доступные любому пользователю Всемирной сети. Опасность состояла в том, что злоумышленник, получив доступ к вэб-сервису, мог так же получить доступ к личной информации, хранящейся на любом из компьютеров, подключенных ко внутренней локальной сети. Это вызвало ряд трудностей, которые решаются путем создания DMZ.

Первоисточник

Первое, что стоит знать о DMZ, что это, в первую очередь, военный термин, берущий свое начало от обозначения «демилитаризованная зона». Он означает определенный участок территории, расположенный между двумя противоборствующими государствами. На нем запрещены любые формы военной деятельности - будь то спецоперация, диверсия или шпионаж.

Демилитаризованная зона DMZ: архитектура и осуществление

Из толкования первоначального термина нам становится ясно, DMZ - это определенный участок местности, на котором запрещены любые виды вредоносной деятельности. И это крайне удачно характеризует всю суть данной, скажем так, уловки.

Нам следует уяснить о самой концепции DMZ, что это крайне простое решение, представляющее собой создание отдельного сегмента компьютерной сети, изолируемого от всех внешних интернет-хостингов и от внутренней сети компании. Также это ограничение контроля или полный запрет доступа как к сети Интернет, так и во внутреннюю сеть.

Создать отдельный сегмент сети достаточно легко. Для этого используются межсетевые экраны или же файрволы. Само слово "файрвол" рядовому пользователю может быть известно по фильмам об известных хакерах, но мало кто знает, что же он собой представляет.

Межсетевой экран - это программно-аппаратная единица компьютерной сети, разделяющая ее на секторы и позволяющая фильтровать поступающий сетевой трафик по заданным оператором (администратором) правилам. Также, в случае несанкционированного проникновения, злоумышленник получает доступ лишь к тем файлам, которые находятся в рамках отделенного сектора, без ущерба для остальных.

Существует, как минимум, два вида конфигурации демилитаризованных зон - с одним межсетевым экраном или же со множеством. В первой конфигурации межсетевой экран разделяет сеть на три сектора:

  • внутренняя сеть;
  • интернет-канал.

Но всё же этот способ обеспечивает недостаточный уровень защиты. В большинстве крупных фирм всё-таки используется второй способ - с большим количеством файрволов. В этом случае злоумышленнику придется преодолеть уже, как минимум, один дополнительный системный периметр со своим фильтром трафика, что значительно увеличивает безопасность.

Настройка

Уверены, многие уже в достаточной мере осведомились о DMZ, что это простой и действенный способ обеспечить безопасность вашей компьютерной сети. Пользователи многоканальных интернет-роутеров могут сами оценить эту гениальную уловку для хакеров.

Всё, что требуется для настройки DMZ, это вывести одно устройство как локальную сеть, подключив его, соответственно, через отдельный шнур в свободное гнездо роутера, затем присвоить ему статичный IP-адрес, после чего активировать в окне DMZ и перезапустить устройство.

Перед всеми манипуляциями следует убедиться, что на всех устройствах установлены последние версии защиты. После этого вы можете свободно использовать эту хоть и простую, но эффективную защиту от посягательства на ваши личные данные.

В этой статье были кратко изложен3ы все самые важные факты о DMZ: что это такое, как оно работает, и, главное, его предназначение.

 

 
Это интересно: