DMZ trong mạng là gì?

Question

Tôi phải định cấu hình ứng dụng Java được lưu trữ bên cạnh mạng công ty. Vậy DMZ là gì và làm cách nào để vượt qua các dịch vụ?

Answer 1

DMZ (network):

Trong bảo mật máy tính, một DMZ, hoặc khu phi quân sự là một mạng vật lý hoặc logic chứa và đưa ra các dịch vụ bên ngoài của một tổ chức với một mạng không tin cậy lớn hơn, thường là Internet. Thuật ngữ này thường được gọi là DMZ bởi các chuyên gia CNTT. Nó đôi khi được gọi là một mạng lưới vành đai. Mục đích của DMZ là thêm một lớp bảo mật bổ sung vào Mạng cục bộ (LAN) của tổ chức; kẻ tấn công bên ngoài chỉ có quyền truy cập vào thiết bị trong DMZ, thay vì bất kỳ phần nào khác của mạng.

Answer 2

Khu vực DMZ là khu vực mạng nội bộ (nhà riêng hoặc công ty) của bạn có thể truy cập từ bên ngoài (internet).

Thông thường, trong bộ định tuyến tại nhà có cấu hình cho phép bạn chỉ định máy tính (IP) nào nằm trong DMZ và bộ định tuyến sẽ chuyển tiếp các yêu cầu từ internet đến máy tính đó. Máy tính đó sau đó có thể lưu trữ các dịch vụ (http, ftp, ssh, ...) sẽ có sẵn trên internet. Tùy thuộc vào bộ định tuyến, điều này sẽ ít nhiều có thể cấu hình được.

Trong trường hợp của bạn, tôi không nghĩ rằng có bất cứ điều gì đặc biệt để làm trong ứng dụng java (trừ ràng buộc ổ cắm máy chủ trên ip bên phải ... nếu bạn có nhiều hơn một trong đó bạn có thể không). Bạn sẽ phải cấu hình bộ định tuyến của công ty (hoặc yêu cầu IT) để thêm máy tính của bạn vào DMZ. Họ có thể sẽ cung cấp cho bạn một ip bên ngoài (phù hợp với ip nội bộ máy tính của bạn) hơn có thể được sử dụng để truy cập dịch vụ của bạn từ internet.

Answer 3

Lý do bạn muốn DMZ và các lợi ích mà nó cung cấp. Ý tưởng chung là bạn đặt các máy chủ công khai của bạn trong "mạng DMZ" để bạn có thể tách chúng khỏi mạng riêng tư, đáng tin cậy của bạn. Trường hợp sử dụng là vì máy chủ của bạn có khuôn mặt công khai, nó có thể được bắt nguồn từ xa. Nếu điều đó xảy ra, và một bên độc hại có quyền truy cập vào máy chủ của bạn, họ phải bị cô lập trong mạng DMZ và không có quyền truy cập trực tiếp vào máy chủ riêng (hoặc máy chủ cơ sở dữ liệu chẳng hạn như bên trong mạng riêng và không phải trên DMZ).

Cách thực hiện: Có nhiều cách, nhưng 'ví dụ sách' là sử dụng hai tường lửa (tất nhiên bạn có thể đạt được kết quả tương tự với một tường lửa và cấu hình thông minh, mặc dù cách ly phần cứng đẹp hơn). Tường lửa chính của bạn nằm giữa internet và máy chủ và tường lửa thứ hai giữa máy chủ và mạng riêng. Trên tường lửa thứ hai này, mọi truy cập từ máy chủ đến mạng riêng lý tưởng sẽ là forbiden (dĩ nhiên nó sẽ là một tường lửa statefull vì vậy nếu bạn khởi tạo kết nối từ mạng riêng tới máy chủ nó sẽ hoạt động).

Vì vậy, đây là mức tổng quan khá cao về DMZ. Nếu bạn muốn biết thêm chi tiết kỹ thuật, vui lòng chỉnh sửa câu hỏi của bạn cho phù hợp.

sao chép từ trao đổi đống trang web: https://security.stackexchange.com/questions/3667/what-is-the-real-function-and-use-of-a-dmz-on-a-network