Gründe, warum Sie eine DMZ möchten und welche Vorteile sie bietet. Die allgemeine Idee ist, dass Sie Ihre öffentlich zugänglichen Server in das "DMZ-Netzwerk" stellen, damit Sie sie von Ihren privaten, vertrauenswürdigen trennen können Der Anwendungsfall besteht darin, dass Ihr Server, da er ein öffentliches Gesicht hat, remote gerootet werden kann. Wenn dies passiert und eine böswillige Partei Zugriff auf Ihren Server erhält, sollte sie im DMZ-Netzwerk isoliert sein und keinen direkten Zugriff auf die privaten Hosts (oder beispielsweise auf einen Datenbankserver, der sich darin befindet) haben das private Netzwerk und nicht in der DMZ).

Vorgehensweise: Es gibt verschiedene Möglichkeiten, aber das "Buchbeispiel" besteht in der Verwendung von zwei Firewalls (natürlich können Sie mit einer Firewall das gleiche Ergebnis erzielen und intelligente Konfiguration, obwohl die Hardware-Isolation besser ist). Ihre Hauptfirewall befindet sich zwischen dem Internet und dem Server und die zweite Firewall zwischen dem Server und dem privaten Netzwerk. Bei dieser zweiten Firewall wäre im Idealfall jeglicher Zugriff vom Server auf das private Netzwerk verboten (natürlich wäre es eine Statefull-Firewall. Wenn Sie also eine Verbindung vom privaten Netzwerk zum Server herstellen, würde dies funktionieren).

Dies ist also eine ziemlich allgemeine Übersicht über DMZ. Wenn Sie weitere technische Details wünschen, bearbeiten Sie Ihre Frage bitte entsprechend.

Natürlich kann ich nur zu Johns Antwort hinzufügen, und hier ist es:

Sie trennen die DMZ sowohl hinsichtlich des IP-Routings als auch der Sicherheitsrichtlinien vom Rest des Netzwerks.

Sie identifizieren Ihre Netzwerkbereiche. Intern: kritische Systeme; DMZ: Systeme, die Sie sich leisten können, "exponiert" zu sein, Systeme, die Sie Dienste nach außen hosten möchten, z. Ihre SSH-Hosts; Extern: der Rest der Welt.

1. Sie richten diese separaten Bereiche in Ihrer Netzwerkarchitektur ein.

2. Ihre Firewalls / Router werden dann so konfiguriert, dass direkte Verbindungen möglich sind von der Außenwelt nur in die DMZ. Dementsprechend sollten Ihre internen Systeme nur eine Verbindung zur DMZ herstellen und dort über HTTP, Anwendungsproxys, Mail-Relays usw. auf die Außenwelt zugreifen können. Ihre Firewall-Regeln sollten diese Entscheidungen widerspiegeln, indem Sie die entsprechenden Verkehrsrichtungen / IPs / Ports blockieren: z. Nach innen dürfen nur Ports für Dienste in der DMZ usw. ausgeführt werden.

3. Idealerweise sollten Sie alle Dienste so konfigurieren, dass Informationen zwischen Netzwerkbereichen (intern, DMZ, extern) ausgetauscht werden, damit sie am häufigsten initiiert werden sicheres Netzwerksegment ZU den weniger sicheren Bereichen, z Wenn Sie Dateien auf "interne" Hosts übertragen müssen, müssen die internen Systeme die Übertragung initiieren (haben Sie die Client-Rolle und nicht die Server-Rolle).

ol>

In PC-Netzwerken kann eine Zone (entmilitarisierte Zone) ein physisches oder logisches Subnetz sein, das ein natives Raumnetzwerk (LAN) von verschiedenen nicht vertrauenswürdigen Netzwerken, manchmal dem Netz, trennt. Nach außen gerichtete Server, Ressourcen und Dienste werden innerhalb der Zone platziert, sodass sie über das Netz zugänglich sind. Der Rest des internen Computernetzwerks bleibt jedoch unerreicht. Dies bietet eine zusätzliche Sicherheitsebene für das Computernetzwerk, da es die Fähigkeit von Hackern einschränkt, direkt über das Netz auf interne Server und Informationen zuzugreifen.