схеми реалізації демілітарізованой зони (dmz)
Вітаю колеги. Є невелика мережа, яка складається з декількох підмереж - серверної підмережі, призначеної для користувача підмережі, і підмережі службової - для інтерфейсів управління, ilo і т.д. Потрібно в мережі придумати демілітаризовану зону, для того що б винести частину веб серверів в неї. Чи існують якісь класичні схеми реалізації DMZ в мережі? Я чув що можна організовувати фізичний DMZ і логічний - за допомогою vlan. Хочеться зрозуміти який метод краще і чому, які плюси і мінуси.Еслі хто підкаже де можна почитати інформацію з планування DMZ буду вдячний. Мережа побудована на cisco обладнанні.
Архітектура і реалізація
Поділ сегментів і контроль трафіку між ними, як правило, реалізуються спеціалізованими пристроями - міжмережевими екранами. Основними завданнями такого пристрою є:
-контроль доступу з зовнішньої мережі в ДМЗ;
-контроль доступу з внутрішньої мережі в ДМЗ;
-дозвіл (або контроль) доступу з внутрішньої мережі в зовнішню;
-заборона доступу з зовнішньої мережі у внутрішню.
У деяких випадках для організації ДМЗ достатньо коштів маршрутизатора або навіть проксі-сервера.
Сервери в ДМЗ при необхідності можуть мати обмежену можливість з'єднатися з окремими вузлами у внутрішній мережі. Зв'язок в ДМЗ між серверами і з зовнішньою мережею також обмежується, щоб зробити ДМЗ безпечнішою для розміщення певних сервісів, ніж Інтернет. На серверах в ДМЗ повинні виконуватися лише необхідні програми, непотрібні відключаються або взагалі видаляються.
Існує безліч різних варіантів архітектури мережі з DMZ. Два основних - з одним фаєрволом і з двома міжмережевими екранами. На базі цих методів можна створювати як спрощені, так і дуже складні зміни, характерні можливостям використовуваного обладнання і вимогам до безпеки в конкретній мережі.
Конфігурація з одним фаєрволом
Схема з одним фаєрволом
Для створення мережі з ДМЗ може бути використаний один міжмережевий екран, який має мінімум три мережевих інтерфейсу: один - для з'єднання з провайдером (WAN), другий - з внутрішньою мережею (LAN), третій - з ДМЗ. Подібна схема проста в реалізації, однак висуває підвищені вимоги до обладнання та адміністрування: міжмережевий екран повинен обробляти весь трафік, що йде як в ДМЗ, так і у внутрішню мережу. При цьому він стає єдиною точкою відмови, а в разі його злому (або помилки в настройках) внутрішня мережа виявиться вразливою безпосередньо із зовнішнього.
Конфігурація з двома міжмережевими екранами
Схема з двома міжмережевими екранами
Більш безпечним є підхід, коли для створення ДМЗ використовуються два міжмережевих екрану: один з них контролює з'єднання з зовнішньої мережі в ДМЗ, другий - з ДМЗ у внутрішню мережу. У такому випадку для успішної атаки на внутрішні ресурси повинні бути скомпрометовані два пристрої. Крім того, на зовнішньому екрані можна налаштувати більш повільні правила фільтрації на рівні додатків, забезпечивши посилений захист локальної мережі без негативного впливу на продуктивність внутрішнього сегмента.
Ще більш високий рівень захисту можна забезпечити, використовуючи два міжмережевих екрану двох різних виробників і (бажано) різної архітектури - це зменшує ймовірність того, що обидва пристрої будуть мати однакову вразливість. Наприклад, випадкова помилка в налаштуваннях з меншою ймовірністю з'явиться в конфігурації інтерфейсів двох різних виробників; діра в безпеці, знайдена в системі одного виробника, з меншою ймовірністю опиниться в системі іншого. Недоліком цієї архітектури є більш висока вартість.
Ось тут ще цікавіше розписано про топології демілітаризованої зони, про back end і front end сервіси, коротше вкрай рекомендую ознайомитися цікавиться.