Зоны демилитаризации

DMZ — военный термин, обозначающий область между двумя странами, на территории которой запрещены боевые действия. В теории компьютерной безопасности DMZ — это сегмент сети, где расположены общедоступные из Internet компьютеры, имеющие защитные механизмы против атак из глобальной сети. Обычно DMZ располагается между двумя экранирующими системами, имеющими разные наборы правил. Эти правила разрешают доступ из Internet к услугам, которые предоставляют сервера в зоне демилитаризации, и запрещают тем же пользователям доступ к ресурсам внутренней сети организации (эту сеть принято называть Защищенной сетью). На рис. 5.2 показана схема построения DMZ-прослойки. Методика, о которой, мы говорили, предназначена только для защиты внутренней сети организации, а не систем, доступных из Internet. Охрана последних должна осуществляться в согласии с концепцией Зон демилитаризации (DMZ). Есть и другой способ организации DMZ-сегментов. Он заключается в создании третьего интерфейса межсетевого экрана, с которым работают системы из DMZ (рис. 5.3). Таким образом, один-единственный экран контролирует Internet-трафик, соединения с защищенной сетью и DMZ. Сегодня такая схема достаточно широко используется. Один межсетевой экран проще и дешевле обслуживать, и, кроме того, появляется возможность централизованного управления набором фильтрующих правил. Стоит отметить, что корпоративная сеть охраняется экраном не только от несанкционированного доступа из Internet, но и от проникновения из DMZ-зоны. Системы, находящиеся в защищенной сети, не должны «доверять» системам из DMZ, так как последние предоставляют публичный доступ для пользователей глобальной сети.