Frage:
Was ist die eigentliche Funktion und Verwendung einer DMZ in einem Netzwerk?
Naftuli Kay
2011-05-08 23:53:22 UTC
view on stackexchange narkive permalink

Ich habe den Artikel auf Wikipedia gelesen, in dem beschrieben wird, was eine DMZ (entmilitarisierte Zone) in einem Netzwerk ist, aber ich verstehe immer noch nicht, wie beide eingerichtet sind (dh: befindet sie sich im Hauptnetzwerk) oder weg beschlagnahmt?) und welche Vorteile und Verwendungen sie haben. Kann mir jemand erklären, warum ich bei folgendem Setup eine DMZ in meinem Netzwerk haben möchte:

  1. Ich habe ungefähr 10 Client-Computergeräte im Netzwerk, von denen einige SSH hosten.
  2. Ich habe einen einzelnen Server, auf dem SSH, HTTP und einige andere öffentlich zugängliche Dienste gehostet werden.
  3. ol>

    Wie würde ich für diesen gegebenen Anwendungsfall einen anschließen? DMZ, und was wären die Vorteile?

Mehrere DMZs könnten Benutzer an getrennten Ports trennen? Oder ist es besser, VLANs zu verwenden? Welches soll verwendet werden, wenn jemand die Computer im LAN voneinander trennen und dennoch Zugriff auf das Internet gewähren möchte (für die Clients an getrennten Ports)?
Drei antworten:
#1
+64
john
2011-05-09 05:58:06 UTC
view on stackexchange narkive permalink

Gründe, warum Sie eine DMZ möchten und welche Vorteile sie bietet. Die allgemeine Idee ist, dass Sie Ihre öffentlich zugänglichen Server in das "DMZ-Netzwerk" stellen, damit Sie sie von Ihren privaten, vertrauenswürdigen trennen können Der Anwendungsfall besteht darin, dass Ihr Server, da er ein öffentliches Gesicht hat, remote gerootet werden kann. Wenn dies passiert und eine böswillige Partei Zugriff auf Ihren Server erhält, sollte sie im DMZ-Netzwerk isoliert sein und keinen direkten Zugriff auf die privaten Hosts (oder beispielsweise auf einen Datenbankserver, der sich darin befindet) haben das private Netzwerk und nicht in der DMZ).

Vorgehensweise: Es gibt verschiedene Möglichkeiten, aber das "Buchbeispiel" besteht in der Verwendung von zwei Firewalls (natürlich können Sie mit einer Firewall das gleiche Ergebnis erzielen und intelligente Konfiguration, obwohl die Hardware-Isolation besser ist). Ihre Hauptfirewall befindet sich zwischen dem Internet und dem Server und die zweite Firewall zwischen dem Server und dem privaten Netzwerk. Bei dieser zweiten Firewall wäre im Idealfall jeglicher Zugriff vom Server auf das private Netzwerk verboten (natürlich wäre es eine Statefull-Firewall. Wenn Sie also eine Verbindung vom privaten Netzwerk zum Server herstellen, würde dies funktionieren).

Dies ist also eine ziemlich allgemeine Übersicht über DMZ. Wenn Sie weitere technische Details wünschen, bearbeiten Sie Ihre Frage bitte entsprechend.

Schnelle Frage! Kann eine virtuelle DMZ-Maschine ohne eine öffentliche IP technisch existieren? oder macht diese Frage keinen Sinn (zB: wenn es sich nicht um eine DMZ-Maschine handelt, es sei denn, es hat eine öffentliche IP usw.)
Absolut sinnvoll und äußerst verbreitet. Beispielsweise wäre in der DMZ eine Datenbank für Ihren Webserver in der DMZ vorhanden, auf die öffentlich zugegriffen werden kann. Diese Datenbank wäre jedoch vor öffentlichen Remoteverbindungen geschützt, und nur Personen im vertrauenswürdigen privaten Netzwerk könnten die Datenbank erreichen.
#2
+21
George
2011-05-09 13:01:37 UTC
view on stackexchange narkive permalink

Natürlich kann ich nur zu Johns Antwort hinzufügen, und hier ist es:

Sie trennen die DMZ sowohl hinsichtlich des IP-Routings als auch der Sicherheitsrichtlinien vom Rest des Netzwerks.

    Sie identifizieren Ihre Netzwerkbereiche. Intern: kritische Systeme; DMZ: Systeme, die Sie sich leisten können, "exponiert" zu sein, Systeme, die Sie Dienste nach außen hosten möchten, z. Ihre SSH-Hosts; Extern: der Rest der Welt.

  1. Sie richten diese separaten Bereiche in Ihrer Netzwerkarchitektur ein.

  2. Ihre Firewalls / Router werden dann so konfiguriert, dass direkte Verbindungen möglich sind von der Außenwelt nur in die DMZ. Dementsprechend sollten Ihre internen Systeme nur eine Verbindung zur DMZ herstellen und dort über HTTP, Anwendungsproxys, Mail-Relays usw. auf die Außenwelt zugreifen können. Ihre Firewall-Regeln sollten diese Entscheidungen widerspiegeln, indem Sie die entsprechenden Verkehrsrichtungen / IPs / Ports blockieren: z. Nach innen dürfen nur Ports für Dienste in der DMZ usw. ausgeführt werden.

  3. Idealerweise sollten Sie alle Dienste so konfigurieren, dass Informationen zwischen Netzwerkbereichen (intern, DMZ, extern) ausgetauscht werden, damit sie am häufigsten initiiert werden sicheres Netzwerksegment ZU den weniger sicheren Bereichen, z Wenn Sie Dateien auf "interne" Hosts übertragen müssen, müssen die internen Systeme die Übertragung initiieren (haben Sie die Client-Rolle und nicht die Server-Rolle).

  4. ol>
#3
+1
user49828
2017-08-23 11:42:10 UTC
view on stackexchange narkive permalink

In PC-Netzwerken kann eine Zone (entmilitarisierte Zone) ein physisches oder logisches Subnetz sein, das ein natives Raumnetzwerk (LAN) von verschiedenen nicht vertrauenswürdigen Netzwerken, manchmal dem Netz, trennt. Nach außen gerichtete Server, Ressourcen und Dienste werden innerhalb der Zone platziert, sodass sie über das Netz zugänglich sind. Der Rest des internen Computernetzwerks bleibt jedoch unerreicht. Dies bietet eine zusätzliche Sicherheitsebene für das Computernetzwerk, da es die Fähigkeit von Hackern einschränkt, direkt über das Netz auf interne Server und Informationen zuzugreifen.

Dies fügt den vorhandenen Antworten nichts hinzu.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...