Настройка dmz: Четыре лучших практики по настройке DMZ (демилитаризованная зона)

Содержание

Четыре лучших практики по настройке DMZ (демилитаризованная зона)

В эру облачных вычислений DMZ (Demilitarized Zone, демилитаризованная зона, ДМЗ — физический или логический сегмент сети, содержащий и предоставляющий организации общедоступные сервисы, а также отделяющий их от остальных участков локальной сети, что позволяет обеспечить внутреннему информационному пространству дополнительную защиту от внешних атак) стала намного более важной — и одновременно более уязвимой, — чем когда-либо могли себе это представить ее первоначальные архитекторы.

Десять или двадцать лет назад, когда большинство конечных точек все еще находились во внутренней сети компании, DMZ зона была всего лишь дополнительной пристройкой к сети. Пользователи, находящиеся за пределами локальной вычислительной сети, очень редко запрашивали доступ к внутренним сервисам, и наоборот, необходимость в доступе локальных пользователей к общедоступным сервисам также возникала не часто, поэтому в то время DMZ мало что решала в деле обеспечения информационной безопасности. Что же стало с ее ролью сейчас?

Сегодня вы либо софтверная компания, либо вы работаете с огромным количеством поставщиков SaaS-сервисов (Software as а service, программное обеспечение как услуга). Так или иначе, но вам постоянно приходится предоставлять доступ пользователям, находящимися за пределами вашей LAN, либо запрашивать доступ к сервисам, расположенным в облаке. В результате ваша DMZ «забита под завязку» различными приложениями. И хотя DMZ, как изначально предполагалось, должна служить своеобразной контрольной точкой вашего периметра, в наши дни ее функция всё больше напоминает внешнюю рекламную вывеску для киберпреступников.

Каждый сервис, который вы запускаете в DMZ зоне, является еще одним информационным сообщением для потенциальных хакеров о том, сколько у вас пользователей, где вы храните свою критически важную деловую информацию, и содержат ли эти данные то, что злоумышленник может захотеть украсть. Ниже представлены четыре лучшие практики, которые позволят вам включить и настроить DMZ так, что пресечь весь этот бардак.

1. Сделайте DMZ действительно отдельным сегментом сети

Основная идея, лежащая в основе DMZ, состоит в том, что она должна быть действительно отделена от остальной LAN. Поэтому вам необходимо включить отличающиеся между собой политики IP-маршрутизации и безопасности для DMZ и остальной части вашей внутренней сети. Это на порядок усложнит жизнь нападающим на вас киберпреступникам, ведь даже если они разберутся с вашей DMZ, эти знания они не смогут использовать для атаки на вашу LAN.

2. Настройте сервисы внутри и вне DMZ зоны

В идеале все сервисы, которые находятся за пределами вашей DMZ, должны устанавливать прямое подключение только к самой DMZ зоне. Сервисы, расположенные внутри DMZ, должны подключаться к внешнему миру только через прокси-серверы. Сервисы, находящиеся внутри DMZ, более безопасны, чем расположенные вне ее. Сервисы, которые лучше защищены, должны взять на себя роль клиента при осуществлении запроса из менее защищенных областей.

3. Используйте два межсетевых экрана для доступа к DMZ

Хотя можно включить DMZ, используя только один файрвол с тремя или более сетевыми интерфейсами, настройка, использующая два межсетевых экрана предоставит вам более надежные средства сдерживания киберпреступников. Первый брандмауэр используется на внешнем периметре и служит только для направления трафика исключительно на DMZ. Второй — внутренний межсетевой экран — обслуживает трафик из DMZ во внутреннюю сеть. Такой подход считается более безопасным, так как он создает два отдельных независимых препятствия на пути хакера, решившего атаковать вашу сеть.

4. Внедрите технологию Reverse Access

Подход от компании Safe-T — технология Reverse Access — сделает DMZ еще более безопасной. Эта технология, основанная на использовании двух серверов, устраняет необходимость открытия любых портов в межсетевом экране, в то же самое время обеспечивая безопасный доступ к приложениям между сетями (через файрвол). Решение включает в себя:

  • Внешний сервер — устанавливается в DMZ / внешнем / незащищенном сегменте сети.
  • Внутренний сервер — устанавливается во внутреннем / защищенном сегменте сети.

Роль внешнего сервера, расположенного в DMZ организации (на месте или в облаке), заключается в поддержании клиентской стороны пользовательского интерфейса (фронтенда, front-end) к различным сервисам и приложениям, находящимися во Всемирной сети. Он функционирует без необходимости открытия каких-либо портов во внутреннем брандмауэре и гарантирует, что во внутреннюю локальную сеть могут попасть только легитимные данные сеанса. Внешний сервер выполняет разгрузку TCP, позволяя поддерживать работу с любым приложением на основе TCP без необходимости расшифровывать данные трафика криптографического протокола SSL (Secure Sockets Layer, уровень защищенных cокетов).

Роль внутреннего сервера заключается в том, чтобы провести данные сеанса во внутреннюю сеть с внешнего узла SDA (Software-Defined Access, программно-определяемый доступ), и, если только сеанс является легитимным, выполнить функциональность прокси-сервера уровня 7 (разгрузка SSL, переписывание URL-адресов, DPI (Deep Packet Inspection, подробный анализ пакетов) и т. д.) и пропустить его на адресованный сервер приложений.

Технология Reverse Access позволяет аутентифицировать разрешение на доступ пользователям еще до того, как они смогут получить доступ к вашим критически-важным приложениям. Злоумышленник, получивший доступ к вашим приложениям через незаконный сеанс, может исследовать вашу сеть, пытаться проводить атаки инъекции кода или даже передвигаться по вашей сети. Но лишенный возможности позиционировать свою сессию как легитимную, атакующий вас злоумышленник лишается большей части своего инструментария, становясь значительно более ограниченным в средствах.

 

Подписывайтесь на рассылку, делитесь статьями в соцсетях и задавайте вопросы в комментариях!

Вечный параноик, Антон Кочуков.


См. также:

Что такое DMZ в роутере

DMZ в роутере – это один из способов переадресации, которая необходима для работы некоторых игр и программ. Ниже разберем, в чем плюсы и минусы технологии, а также как настроить демилитаризованную зону на наиболее распространенных моделях роутеров.

Что такое DMZ в роутере и для чего нужна данная технология?

DMZ – это демилитаризованная зона между LAN и глобальной сетью, своеобразный буфер, сегмент сети, необходимый для корректного функционирования программ и сервисов, которым необходим постоянный доступ в интернет. К примеру, торрент-трекеров, мессенджеров или онлайн игр. Также DMZ в роутере поможет настроить камеру видеонаблюдения, к которой можно получить доступ по интернету.

Такая технология нужна, если компьютер соединен с интернетом не напрямую, а через маршрутизатор. При непосредственном подключении программы, использующие интернет, работают и без DMZ. Иногда вместо создания демилитаризованной зоны используют проброс портов маршрузитатора, но это часто бывает неудобно, а функция DMZ присутствует в большинстве современных роутеров и настраивать ее довольно просто.

При настроенном DMZ устройства, которым требуется доступ в интернет (компьютер с торрентом или онлайн-играми, либо видеокамера), становятся видны из внешней сети, как будто они соединены с глобальной сетью непосредственно. Для других девайсов в вашей домашней сети ничего не поменяется.

В общем, данная технология нужна для следующих целей:

  1. Для функционирования приложений, которым нужны открытые порты. Например, некоторые онлайн-игры. Такие программы встречаются редко, но все-таки бывают.
  2. Создание домашнего сервера, к примеру, игрового. В этом случае просто необходимо отделить сервер от других девайсов, находящихся в той же домашней сети, иначе к ним могут получить несанкционированный доступ другие пользователи глобальной сети, подключающиеся к вашему серверу.
  3. При игре по интернету на консолях, например, на XboX или PlayStation, также необходимы открытые порты. Иногда достаточно простой переадресации роутера, но иногда приходится прибегать и к DMZ.

Преимущества и недостатки

Основное преимущество технологии – простота настройки. На многих моделях роутеров достаточно просто найти пункт DMZ в веб-интерфейсе и активировать его. Но у данной функции есть и минусы.

Один из главных недостатков – ДМЗ не безопасен, как и проброс портов. Особенно опасна функция DMZ-хост, которая открывает не один порт, а несколько, делая возможным полный доступ к устройству из внешней сети. В некоторых больших фирмах делают отдельную сеть для этих целей, при этом из сети, созданной для DMZ, можно получить доступ к другим компьютерам только через еще один роутер.

Еще один недостаток – необходимость наличия у роутера белого IP-адреса. Без него технология работать не будет.

Настройка DMZ

Настройка DMZ на большинстве моделей современных роутеров несложная и осуществляется всего в несколько кликов. Общий алгоритм настройки следующий:

  1. Открываем веб-меню роутера через браузер, введя в верхней строке ip или символьный адрес устройства (который, как правило, написан на наклейке на маршрутизаторе наряду с другими сведениями).
  2. Прописываем авторизационные данные, т. е. логин и пароль (также указаны на этикетке, чаще всего это простая комбинация admin/admin).
  3. Настраиваем статичный ip-адрес для устройства, на котором будут открыты порты, в параметрах .
  4. Далее переходим в меню DMZ (как правило, оно находится в разделе под названием «Настройка интернета» или «Переадресация»). Включаем опцию и прописываем статичный ip-адрес девайса.
  5. В целях безопасности рекомендуется на всех устройствах, подключенных к домашней сети, установить последние актуальные обновления.

Настройка DMZ на роутере TP-Link

Чтобы включить опцию ДМЗ на роутере от производителя TP-Link, необходимо сделать следующее:

  1. Открываем веб-интерфейс маршрутизатора через любой удобный браузер, введя в адресной строке IP-адрес устройства (указывается на этикетке на корпусе) и .
  2. Далее находим в меню слева раздел «NAT переадресация» и кликаем по нему, чтобы развернуть.
  3. Щелкаем по пункту «DMZ».
  4. Сверху выбираем вкладку «Дополнительные настройки».
  5. Здесь нужно отметить галочкой соответствующий пункт, включающий функцию, а также прописать ip-адрес устройства, к которому нужен непосредственный доступ из внешней сети.

На других версиях прошивки TP-Link путь не сильно отличается.


Настройка DMZ на роутере D-Link

(универсальная инструкция)

В устройстве от фирмы D-Link можно также настроить демилитаризованную зону. Инструкция для этого следующая:

  1. Открываем веб интерфейс, введя адрес роутера и авторизационные данные в браузере.
  2. Переходим к разделу «Межсетевой экран», далее к подразделу «DMZ».
  3. Отмечаем галочкой первый пункт, чтобы включить опцию.
  4. Ниже указываем ip-адрес устройства, к которому нужно обеспечить доступ извне и открыть порты.

На более старых версиях прошивки порядок действий несколько отличается. Нужно зайти в веб-меню, далее выбрать в левом меню пункт «DMZ», сверху выбрать вкладку «Advanced» (чтобы получить доступ к дополнительным настройкам), а далее сделать все точно также: включить функцию и прописать IP.

Настройка DMZ на роутере Asus

На девайсе от фирмы Asus данная опция также включается в несколько простых шагов. Подробный порядок действий, как выделить сегмент локальной сети для доступа снаружи через настройки роутера Asus:

  1. Заходим в веб-меню настроек, авторизуемся.
  2. В меню слева находим раздал «Дополнительные настройки», подраздел «Интернет».
  3. Вверху кликаем по вкладке «DMZ».
  4. Включаем функцию и нажимаем применить.

Также на девайсах Asus есть функция, позволяющая обеспечить доступ к устройству из внешней сети даже при отсутствии белого ip-адреса – DDNS. Динамический сервер имен работает благодаря встроенной в маршрутизатор функции.

Настройка DMZ на роутере Zyxel Keenetic

В устройствах от этого производителя нет функции, которая называется DMZ. Но есть похожая опция с другим названием. Подробная инструкция:

  1. Открываем веб-меню настроек маршрутизатора, введя ip в браузере и прописав логин и пароль.
  2. В главном меню выбираем раздел «Безопасность».
  3. Далее переходим во вкладку «Межсетевой экран».
  4. Здесь нужно выбрать тип сети, к которой нужно обеспечить доступ, и затем добавить правило.
  5. В настройках правила не нужно менять ничего, кроме содержимого строки «IP-адрес назначения». В нее нужно прописать ip адрес устройства, к которому нужно обеспечить доступ. Также в строке протокол должен быть установлен TCP.
  6. Сохраняем настройки.
  7. Повторяем то же самое, но уже для другого протокола – UDP. В итоге должно получиться 2 правила.

На новых версиях прошивки Zyxel процесс несколько отличается:

  1. Заходим в веб-интерфейс.
  2. Слева находим пункт «Межсетевой экран» и добавляем новое правило.
  3. Активируем его, а данные прописываем точно также, как и на старой версии прошивки.

Итоги

Технология DMZ позволяет упростить доступ к устройству из интернета напрямую, а это нужно для должной работы сервера. Тем не менее, стоит быть осторожным, так как эта функция небезопасна.

DMZ и демилитаризованная зона — Роутеры

В компьютерной безопасности , A DMZ или демилитаризованная зона (иногда упоминаются как по периметру сеть или экранированной подсеть ) представляет собой физическую или логическая подсеть , который содержит и выставляет внешние обращенные услуги организации к ненадежной, как правило , больше, сети , таким как Интернет . Цель DMZ — добавить дополнительный уровень безопасности в локальную сеть (LAN) организации: внешний сетевой узел может получить доступ только к тому, что открыто в DMZ, в то время как остальная часть сети организации защищена брандмауэром . DMZ функционирует как небольшая изолированная сеть, расположенная между Интернетом и частной сетью.

Название происходит от термина « демилитаризованная зона» — зона между государствами, в которой военные операции не разрешены.

Обоснование

DMZ рассматривается как не принадлежащая ни к одной из сетей, граничащих с ней. Эта метафора применима к использованию компьютеров, поскольку DMZ действует как шлюз в общедоступный Интернет. Он не так безопасен, как внутренняя сеть, и не так небезопасен, как общедоступный Интернет.

В этом случае хозяева наиболее уязвимыми для атак являются те , которые предоставляют услуги для пользователей за пределами локальной сети , например, электронной почты , Web и системы доменных имен (DNS) серверов. Из-за увеличения вероятности того, что эти хосты подвергнутся атаке, они помещаются в эту конкретную подсеть, чтобы защитить остальную часть сети в случае взлома любого из них.

Хостам в DMZ разрешено иметь только ограниченное соединение с определенными хостами во внутренней сети, поскольку содержимое DMZ не так безопасно, как внутренняя сеть. Точно так же связь между хостами в DMZ и с внешней сетью также ограничена, чтобы сделать DMZ более безопасной, чем Интернет, и подходящей для размещения этих служб специального назначения. Это позволяет хостам в DMZ взаимодействовать как с внутренней, так и с внешней сетью, в то время как промежуточный брандмауэр контролирует трафик между серверами DMZ и клиентами внутренней сети, а другой брандмауэр будет выполнять некоторый уровень контроля для защиты DMZ от внешней сети. .

Конфигурация DMZ обеспечивает дополнительную защиту от внешних атак, но обычно не имеет отношения к внутренним атакам, таким как перехват сообщений через анализатор пакетов или спуфинг, например

спуфинг

электронной почты .

Также иногда хорошей практикой является создание отдельной засекреченной военизированной зоны (CMZ), милитаризованной зоны с усиленным контролем, состоящей в основном из веб-серверов (и подобных серверов, которые взаимодействуют с внешним миром, например, с Интернетом), которые не находятся в DMZ, но содержат конфиденциальную информацию о доступе к серверам в локальной сети (например, к серверам баз данных). В такой архитектуре DMZ обычно имеет брандмауэр приложений и FTP, в то время как CMZ размещает веб-серверы. (Серверы баз данных могут находиться в CMZ, в локальной сети или вообще в отдельной VLAN.)

Любая услуга, предоставляемая пользователям во внешней сети, может быть помещена в демилитаризованную зону. Самые распространенные из этих услуг:

  • Веб-серверы
  • Почтовые серверы
  • FTP серверы
  • VoIP серверы

Веб-серверам, которые обмениваются данными с внутренней базой данных, требуется доступ к серверу базы данных , который может быть недоступен для всех и может содержать конфиденциальную информацию. Веб-серверы могут связываться с серверами баз данных напрямую или через брандмауэр приложений из соображений безопасности.

Сообщения

электронной

почты и, в частности, база данных пользователей являются конфиденциальными, поэтому они обычно хранятся на серверах, к которым нельзя получить доступ из Интернета (по крайней мере, небезопасным образом), но к ним можно получить доступ с серверов электронной почты, которые доступны в Интернете.

Почтовый сервер внутри DMZ передает входящую почту на защищенные / внутренние почтовые серверы. Он также обрабатывает исходящую почту.

В целях безопасности, соблюдения правовых стандартов, таких как HIPAA , и целей мониторинга в бизнес-среде некоторые предприятия устанавливают прокси-сервер в демилитаризованной зоне. Это дает следующие преимущества:

  • Обязывает внутренних пользователей (обычно сотрудников) использовать прокси-сервер для доступа в Интернет.
  • Сниженные требования к пропускной способности доступа в Интернет, поскольку некоторый веб-контент может кэшироваться прокси-сервером.
  • Упрощает запись и мониторинг действий пользователей.
  • Централизованная фильтрация веб-контента.

Обратный прокси — сервер, как прокси — сервер, является посредником, но используется другой путь. Вместо того, чтобы предоставлять услугу внутренним пользователям, желающим получить доступ к внешней сети, он обеспечивает непрямой доступ внешней сети (обычно Интернет) к внутренним ресурсам. Например, доступ к приложениям вспомогательного офиса, таким как система электронной почты, может быть предоставлен внешним пользователям (для чтения электронной почты, находясь за пределами компании), но удаленный пользователь не будет иметь прямого доступа к своему почтовому серверу (только обратный прокси-сервер может физический доступ к внутреннему почтовому серверу). Это дополнительный уровень безопасности, который особенно рекомендуется, когда к внутренним ресурсам необходимо получить доступ извне, но стоит отметить, что этот дизайн по-прежнему позволяет удаленным (и потенциально злонамеренным) пользователям общаться с внутренними ресурсами с помощью прокси. Поскольку прокси-сервер функционирует как ретранслятор между недоверенной сетью и внутренним ресурсом: он также может пересылать вредоносный трафик (например, эксплойты на уровне приложений ) во внутреннюю сеть; поэтому возможности прокси-сервера для обнаружения и фильтрации имеют решающее значение для предотвращения использования внешних злоумышленников уязвимостей, имеющихся во внутренних ресурсах, которые открываются через прокси-сервер. Обычно такой механизм обратного прокси-сервера обеспечивается с помощью брандмауэра прикладного уровня, который фокусируется на конкретной форме и содержании трафика, а не просто контролирует доступ к определенным портам TCP и UDP (как это делал бы брандмауэр с фильтром пакетов ), но обратный прокси-сервер обычно не является хорошей заменой хорошо продуманной конструкции DMZ, поскольку он должен полагаться на постоянное обновление сигнатур для обновленных векторов атак.

Архитектура

Есть много разных способов создать сеть с DMZ. Два из самых основных методов — с одним брандмауэром , также известным как трехногая модель, и с двумя брандмауэрами, также известными как спина к спине. Эти архитектуры могут быть расширены для создания очень сложных архитектур в зависимости от требований сети.

Единый брандмауэр

Один брандмауэр с как минимум 3 сетевыми интерфейсами может использоваться для создания сетевой архитектуры, содержащей DMZ. Внешняя сеть формируется от ISP до межсетевого экрана на первом сетевом интерфейсе, внутренняя сеть формируется из второго сетевого интерфейса, а DMZ формируется из третьего сетевого интерфейса. Межсетевой экран становится единой точкой отказа для сети и должен быть в состоянии обрабатывать весь трафик, идущий как в DMZ, так и во внутреннюю сеть. Зоны обычно обозначаются цветами, например, фиолетовым для LAN, зеленым для DMZ, красным для Интернета (часто другой цвет используется для беспроводных зон).

Двойной брандмауэр

По мнению Колтона Фралика, наиболее безопасным подходом является использование двух межсетевых экранов для создания DMZ. Первый брандмауэр (также называемый брандмауэром «внешнего интерфейса» или «периметра») должен быть настроен так, чтобы разрешать трафик, предназначенный только для DMZ. Второй межсетевой экран (также называемый «внутренним» или «внутренним» межсетевым экраном) разрешает трафик в DMZ только из внутренней сети.

Эта установка считается более безопасной, поскольку потребуется взломать два устройства. Еще больше защиты обеспечивается, если два брандмауэра предоставляются двумя разными поставщиками, поскольку это снижает вероятность того, что оба устройства будут иметь одни и те же уязвимости безопасности. Например, дыра в безопасности, обнаруженная в системе одного поставщика, с меньшей вероятностью возникнет в системе другого. Одним из недостатков этой архитектуры является то, что она более дорогостоящая как с точки зрения покупки, так и с точки зрения управления. Практика использования разных межсетевых экранов от разных поставщиков иногда описывается как компонент стратегии безопасности « глубокоэшелонированной ».

Хост DMZ

Некоторые домашние маршрутизаторы относятся к хосту DMZ , что во многих случаях на самом деле является неправильным . Хост DMZ домашнего маршрутизатора — это единственный адрес (например, IP-адрес) во внутренней сети, на который отправляется весь трафик, который иначе не перенаправляется на другие хосты LAN. По определению, это не настоящая DMZ (демилитаризованная зона), поскольку маршрутизатор сам по себе не отделяет хост от внутренней сети. То есть хост DMZ может подключаться к другим хостам во внутренней сети, тогда как хосты в реальной DMZ не могут подключаться к внутренней сети с помощью брандмауэра, который их разделяет, если брандмауэр не разрешает соединение.

Брандмауэр может разрешить это, если хост во внутренней сети сначала запрашивает соединение с хостом в DMZ. Хост DMZ не обеспечивает ни одного из преимуществ безопасности, которые предоставляет подсеть, и часто используется как простой метод переадресации всех портов на другое устройство межсетевого экрана / NAT . Эта тактика (создание узла DMZ) также используется с системами, которые не взаимодействуют должным образом с обычными правилами межсетевого экрана или NAT. Это может быть связано с тем, что правило пересылки невозможно сформулировать заранее (например, варьируя номера портов TCP или UDP, а не фиксированный номер или фиксированный диапазон). Это также используется для сетевых протоколов, для которых маршрутизатор не имеет программирования для обработки (

туннели

6in4 или GRE являются типичными примерами).

Смотрите также

  • Бастионный хозяин
  • Экранированная подсеть
  • Сетевая архитектура Science DMZ DMZ для высокопроизводительных вычислений

Рекомендации

Нестандартный шаблон / шаблон без цитирования

  • SolutionBase: усиление защиты сети с помощью DMZ от Деб Шиндер из TechRepublic .
  • Эрик Майвальд. Сетевая безопасность: руководство для начинающих. Второе издание. Макгроу-Хилл / Осборн, 2003.
  • Межсетевые экраны Интернета: часто задаваемые вопросы, составлено Мэттом Кертином, Маркусом Ранумом и Полом Робертсоном

</h4></h3></ul></h3></ul>

Опубликовано 21.04.2014 · Обновлено 26.11.2016

ДМЗ или демилитаризованная зона (DMZ) — это технология защиты сети, в которой серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети и ограничены в доступе к основным сегментам сети с помощью межсетевого экрана (файрвола), для того, что бы, минимизировать ущерб во время взлома одного из сервисов, находящихся в зоне.

Конфигурация с одним файрволом

Схема с одним файрволом

В этой схеме DMZ внутренняя сеть и внешняя сеть подключаются к разным портам роутера (выступающего в роли файрвола), контролирующего соединения между сетями. Подобная схема проста в реализации, требует всего лишь одного дополнительного порта. Однако в случае взлома (или ошибки конфигурирования) маршрутизатора сеть оказывается уязвима напрямую из внешней сети.

Схема DMZ с одним файрволом

Конфигурация с двумя файрволами

В конфигурации с 2-мя файрволами DMZ подключается к двум маршрутизаторам, один из которых ограничивает соединения из внешней сети в DMZ, а второй контролирует соединения из DMZ во внутреннюю сеть. Подобная схема позволяет минимизировать последствия взлома любого из файрволов или серверов, взаимодействующих с внешней сетью — до тех пор, пока не будет взломан внутренний файрвол, злоумышленник не будет иметь произвольного доступа к внутренней сети.

Схема DMZ с двумя файрволами

Конфигурация с тремя файрволами

Существует редкая конфигурация с 3-мя файрволами. В этой конфигурации первый из них принимает на себя запросы из внешней сети, второй контролирует сетевые подключения ДМЗ, а третий — контролирует соединения внутренней сети. В подобной конфигурации обычно DMZ и внутренняя сеть скрываются за NAT (трансляцией сетевых адресов).

Одной из ключевых особенностей DMZ является не только фильтрация трафика на внутреннем файрволе, но и требование обязательной сильной криптографии при взаимодействии между активным оборудованием внутренней сети и DMZ. В частности, не должно быть ситуаций, в которых возможна обработка запроса от сервера в DMZ без авторизации. В случае, если ДМЗ используется для обеспечения защиты информации внутри периметра от утечки изнутри, аналогичные требования предъявляются для обработки запросов пользователей из внутренней сети.

Что такое DMZ в роутере, для чего нужна, как правильно настроить

Всем привет! Сегодня мы поговорим про DMZ: что это в роутере, для чего функция нужна и как её настроить на разных маршрутизаторах. Чтобы не грузить вас тяжелыми понятиями, я лучше расскажу на примере – так будет проще понять. Представим себе, что у вас дома есть камера видеонаблюдения, которая подключена к сети маршрутизатора. Аналогично к ней же подключены все компьютеры, ноутбуки и другие сетевые устройства из дома.

Теперь представим, что вы хотите уехать в отпуск и при этом из интернета иметь доступ к камере, чтобы следить за тем, что происходит у вас в квартире или доме. Конечно, для этого нужно пробрасывать порт в настройках маршрутизатор, и чаще всего используется 80 или 8080 порты. Но что если данные порты уже используются в сети?

В таком случае можно попробовать поиграть с настройками Firewall, но можно сделать куда проще и настроить DMZ в роутере. Тогда в DMZ-host добавляется IP адрес камеры, и она становится доступной из интернета. При этом остальная локальная сеть все также остается закрытой, а вот все устройства добавленные в DMZ как раз остаются общедоступными.

Я думаю, теперь куда понятнее, что такое DMZ хост в роутере. DMZ или DeMilitarized Zone – это выделенный участок локальной сети, к которой открыт доступ для внешнего доступа. Не нужно путать данный сегмент с гостевой сетью, так как при данной функции идет доступ как из интернета, так и из локальной среды. Также для данной сети сразу открываются все возможные порты, поэтому все такие устройства должны сами отвечать за безопасность. Как вариант нужно хотя бы установить логин и пароль для камеры.

Далее я расскажу про настройку демилитаризованной зоны в домашних роутерах. Если у вас будут какие-то вопросы, то пишите в комментариях.

Настройка

Прежде чем приступить к настройке DMZ скажу несколько моментов. В домашних маршрутизаторах нет полноценной возможности создать демилитаризованную зону, так как данные аппараты для этого не предназначены. Да – данная настройка есть, но она позволяет делать полностью открытыми порты только для одного сегмента сети. Но чаще всего этого становится достаточно. Например, если вам нужно иметь доступ к нескольким камерам, то лучше подключить их к видеорегистратору, на который вы и будете делать доступ.

Все настройки делаются в Web-интерфейсе, куда можно попасть, введя IP или DNS адрес интернет-центра в адресную строку любого браузера. Чаще всего используются адреса: 192.168.1.1 или 192.168.0.1. Также этот адрес можно посмотреть на этикетке под корпусом самого аппарата.

ВНИМАНИЕ! Также для доступа извне вам нужно чтобы у вас был «белый» IP адрес. Если вы не знаете, что это, то советую почитать эту статью.

TP-Link

Функция находится в разделе «Переадресация».

«Дополнительные настройки» – «NAT переадресация» – находим функцию, включаем, вводим IP адрес устройства и сохраняем параметры.

D-Link

Внизу выбираем «Расширенные настройки» и находим нашу функцию в разделе «Межсетевого экрана».

Сервис находим в разделе «Межсетевой экран».

Включаем функцию и вводим адрес устройства. Вы кстати можете выбрать адрес из списка, уже подключенных. В конце нажмите «Применить». В некоторых моделях вы можете увидеть функцию «NAT Loopback» – эту функция, которая позволяет проверять пакеты, уходящие из локальной сети во внешнюю (интернет) с помощью межсетевого экрана. Если у вас слабый аппарат, то включать её не стоит, так как она сильно нагружает процессор роутера.

Zyxel Keenetic

Прежде чем добавить подключенное устройство, вам нужно его зарегистрировать. Зайдите в раздел «Список устройств», там вы увидите два списка: «Незарегистрированные» и «Зарегистрированные» устройства. Для регистрации устройства нажмите по нужному аппарату.

Введите имя и нажмите на кнопку регистрации.

После этого данное устройство появится в списке «Зарегистрированных» – найдите его там и опять зайдите в настройки. Вам нужно установить галочку «Постоянный IP-адрес».

Заходим в «Переадресацию» и создаем правило:

  • Ставим галочку «Включить правило».
  • Описание – для удобства назовите «DMZ».
  • Вход – здесь нужно указать то подключение, через которое у вас идет интернет.
  • Выход – здесь указываем имя устройства, которое вы и добавляете в ДМЗ.
  • Протокол – устанавливаем параметр «TCP/UDP (все порты и ICMP)».
  • Расписание работы – тут можно установить режим работы, но чаще всего сервер «Работает постоянно».

Читайте также:  Ручная настройка прокси в браузерах

В разделе «Домашняя сеть» (имеет значок двух мониторов) переходим во вкладку «Устройства» и выбираем из списка тот аппарат, который у нас будет DMZ-хостом. Если устройство не подключено, вы можете его добавить – правда при этом вам нужно точно знать его MAC-адрес.

Вводим описание и обязательно ставим галочку «Постоянный IP-адрес». Также в строке «Доступ в Интернет» должно стоять значение «Разрешен». Нажимаем «Зарегистрировать».

Теперь переходим в раздел «Безопасность» и на вкладке «Трансляция сетевых адресов (NAT)» нажимаем по кнопке «Добавить правило».

Теперь нужно ввести следующие данные:

  • Описание – назовите как «DMZ» чтобы не перепутать, но название на самом деле может быть любым.
  • Интерфейс – здесь нужно выбрать именно то подключение, через которое у вас идет интернет. Эти данные можно посмотреть в разделе «Интернет».
  • Протокол – здесь ставим только одно значение: TCP/UDP (все порты и ICMP).
  • Перенаправить на адрес – тут выбираем наш сервер.

Нажимаем по кнопке «Сохранить».

Находим слева раздел «Интернет», далее переходим в соответствующую вкладку. Включаем функцию и вводим адрес хоста. В конце не забудьте нажать «Применить».

Netis

Нужная нам функция находится в разделе «Переадресация», далее включаем хост, вводим IP и «Сохраняемся».

Tenda

Заходим в «Расширенные настройки» и находим конфигурация хоста.

Переводим бегунок во включенное состояние и вводим последнюю цифру локальной машины, для которой все порты будут открыты.

Находим вкладку «Advanced».

Пролистываем до раздела «ДМЗ-хост» включаем (Enabled) и вводим адрес.

LinkSys

Конфигуратор по открытию всех портов находится в разделе «Application & Gaming». Включаем функцию (Enabled). Здесь настройки немного отличаются от других аппаратов. В строке «Source IP Address» можно установить диапазон внешних адресов, которые будут иметь доступ к выделенному устройству в сети. Чаще всего указывается параметр «Any IP Address» (Все IP адреса).

Для конфигурации в строке «Destination» указываем IP или MAC-адрес устройства. Вы также можете посмотреть все подключенные аппараты, нажав на кнопку «DHCP Client Table». После настройки нажмите на «Save Settings».

Источник

Настройка dmz для игр

Прежде чем приступать к настройке DMZ, мы рекомендуем выполнить предварительные рекомендации по конфигурации сетевого подключения, такие как Сброс настроек сетевого подключения или Направление сетевых портов. Если вышеупомянутые рекомендации не помогли разрешить затруднения, Вы можете попробовать поместить Вашу консоль в DMZ Вашего роутера.

Обратите внимание, что DMZ присуще некоторые ограничения в безопасности. Учитывая то, что, обычно, консоли не подвергаются риску в DMZ, Вам необходимо отметить, что консоль не будет находиться под защитой роутерного устройства. В случае, если у Вас есть сомнения по поводу безопасности Вашего интернет-соединения, мы рекомендуем не использовать приведенные инструкции. По тем же причинам мы настоятельно не рекомендуем использовать DMZ для компьютеров!

Обратите внимание, что возможно, Вам будет необходимо установить статичный локальный IP адрес для Вашей консоли PS4, чтобы убедиться в стабильной работе DMZ.

Способы конфигурации DMZ специфичны для каждой модели роутера и найти их можно в руководстве к устройству. Вы также можете связаться с Вашим интернет сервис провайдером для дополнительной помощи. В данной статье мы приведем общие понятие процесса конфигурации DMZ.

Как поместитьPlayStation4в DMZ

Для того, чтобы поместить консоль в DMZ Вам необходимо знать IPадрес консоли. Следовательно, Вам необходимо узнать статус подключения Вашего PlayStation в настройках. Ниже приведен пример того, как сделать:

— Перейдите в Настройки. — Затем, выберите Сеть > Просмотреть статус соединение.— Вы откроете страницу, которая отобразит информацию о конфигурации подключения PlayStation. Пожалуйста, запишите IPадрес и Шлюз, указанные на экране.

После чего, пожалуйста, перейдите в административную часть Вашего роутера. Для этого, откройте любой браузер (например, Google Chrome, Mozilla Firefox, Internet Explorer и т.д.) и впишите в адресную строку Шлюз, записанный ранее. Нажмите Enter. Загрузка может занять некоторое время, однако, в конечном итоге, Вы увидите страницу авторизации для администратора роутера.

Читайте также:  Ubuntu настройка beeline l2tp настройка

Страница авторизации потребует от Вас ввода имени пользователя и пароля к нему. Если Вы устанавливали эти данные ранее, пожалуйста, впишите их в соответствующие поля. В ином случае, имя пользователя и пароль будут использованы по умолчанию, как это установил производитель роутера. Проверьте Ваш роутер или руководство к нему, чтобы узнать имя пользователя и пароль.

Для некоторых моделей роутера необязательно наличие имени пользователя и пароля для того, чтобы авторизоваться в административном центре устройства. В таком случае, нажмите Enter, не заполняя эти поля, что позволит Вам перейти в административный центр роутера.

После успешной авторизации Вы сможете перейти к настройкам DMZ.

В интерфейсе Вашего роутера Вы обнаружите несколько навигационных меню и вкладок. Пожалуйста, найдите вкладку DMZ. Как только Вы найдёте необходимую вкладку, пожалуйста, впишите IP адрес консоли, записанный ранее.

Пожалуйста, нажмите Принять или Сохранить изменения и закройте страницу браузера. После чего, протестируйте Ваше подключение к серверу еще раз.

Если данная ситуация сохранится, пожалуйста, свяжитесь с нами.

Источник

Что такое DMZ в роутере и как настроить демилитаризованную зону

Функциональные возможности Wi-Fi роутера довольно широки, но некоторые опции этого сетевого устройства совсем незнакомы некоторым пользователям. Безусловно определенные функции в интерфейсе устройства рядовым юзерам ни к чему, но если нужно решить нетривиальные задачи, то знать о них просто необходимо. Например, геймерам, имеющим дома игровой сервер или обезопасившим себя системой видеонаблюдения, чтобы открыть доступ к DVR видеорегистратору следует знать, что такое DMZ в роутере и как настроить виртуальную зону.

Многие рекомендуют в таких случаях сделать проброс портов. Это действительно актуально, но в этом случае есть риск столкнуться с некоторыми проблемами. Нередко под видеорегистратор для веб-интерфейса используется 80-тый порт, который изменить нельзя и вместе с этим на маршрутизаторе он тоже занят, а значит проброс портов в этом случае неактуален. Есть бывалые ребята, которые перенаправляют сетевой поток с участием брандмауэра, но на мой взгляд лучше воспользоваться встроенной в роутер опцией DMZ.

DMZ — это аббревиатура от выражения DeMilitarized Zone, что переводиться как Демилитаризованная зона. По сути это специализированный локальный сегмент сети, который содержит в себе общедоступные сервисы с полным открытым доступом для внутренней и внешней сети. Одновременно с этим, домашняя (частная) сеть остается закрытой за сетевым устройством и никаких изменений в ее работе нет.

После активации этой функции, ДМЗ-хост будет доступен из Всемирной сети с полным контролем над своей безопасностью. То бишь, все открытые порты, находящиеся в этой зоне, будут доступны из Интернета и локальной сети по доверенному IP-адресу. Таким образом DMZ обеспечивает необходимый уровень безопасности в локальной сети и дает возможность свести к минимуму ущерб в случае атаки на общедоступный (добавленный в ДМЗ) IP. Как вы понимаете, атакующий имеет только доступ к устройству, которое добавлено в Демилитаризованную зону.

Если вы добавили в эту зону регистратор, то можно просто изменить пароль, а вот игровой сервер нуждается в дополнительной настройке контроля и фильтрации в брандмауэре. Следует сказать, что, например, для компьютера, который добавлен в качестве узла DMZ, нужно отключить функцию DHCP-клиента (автоматическое получение IP-адреса) и присвоить ему статический IP. Это необходимо сделать из-за того, что функция DHCP может менять IP-адрес устройства.

Как включить и настроить DMZ на Wi-Fi роутере / модеме.

Бюджетные модели этих сетевых устройств не имеют возможности создать полноценную зону для всех участников в нашем сегменте сети, но нам это и не нужно. Главное, что есть возможность добавить в Демилитаризованную зону один IP-адрес видимой станции. Этим действием, мы сделаем DMZ-хост и откроем доступ из внешней сети ко всем его доступным портам.

Зайдите в интерфейс маршрутизатора и в административной панели отыщите вкладку с названием DMZ. Например, у сетевых устройств от компании ASUS данная вкладка расположена в «Интернет» -> «DMZ».

На роутере компании TP-Link включить DMZ можно в разделе «Переадресация» (Forwarding) -> «DMZ».

К сожалению, от других производителей сетевых устройств для создания скриншота сейчас под рукой нет, но где найти эту функцию в других моделях на словах скажу. Компания D-Link расположила ее в «Межсетевом экране», а Zyxel Keenetic может добавить эту опции в параметрах NAT.

Читайте также:  Компрессор бас гитара настройки

Как видите включить DMZ на роутере достаточно просто. Желаю, чтобы различного рода атаки обходили вас стороной.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник

Что такое DMZ в роутере

Аббревиатура DMZ расшифровывается как DeMilitarized Zone, то есть «Демилитаризованная зона». Неожиданно и непонятно какое это отношение имеет к роутеру. Однако на самом деле это очень полезная в ряде случаев вещь. Об этом и пойдёт речь в данной статье.

Назначение и использование DMZ

DMZ – это сегмент сети, создаваемый для сервисов и программ, которым требуется прямой доступ в интернет. Прямой доступ необходим для торрентов, мессенджеров, онлайн-игр, некоторых других программ. А также без него не обойтись, если вы хотите установить камеру видеонаблюдения и иметь к ней доступ через интернет.

Если компьютер, на котором запущена программа, подключается к интернету напрямую, минуя роутер, то необходимости использовать DMZ нет. Но если подключение осуществляется через роутер, то «достучаться» до программы из интернета не получится, потому что все запросы будут получены роутером и не переправлены внутрь локальной сети.

Для решения этой проблемы обычно используют проброс портов на роутере. Об этом на нашем сайте есть отдельная статья. Однако это не всегда удобно и кто-то предпочитает настраивать DMZ. Если вы настроите DMZ на вашем роутере и добавите в неё нужный узел сети, например, ПК, на котором запущен игровой сервер или видеорегистратор, к которому подключена IP-камера, этот узел будет виден из внешней сети так, как будто он подключен к интернету напрямую. Для остальных устройств вашей сети ничего не изменится – они будут работать так же, как и до этого.

Следует внимательно относиться к этим всем настройкам. Так как и проброс портов и DMZ – это потенциальная дыра в безопасности. Для повышения безопасности в крупных компаниях зачастую создают отдельную сеть для DMZ. Для того, чтобы закрыть доступ из сети DMZ к другим компьютерам, используют дополнительный маршрутизатор.

Настройка DMZ на роутере

Роутеры позволяют добавить в DMZ только одно устройство. Роутер должен получать «белый» IP-адрес. Только в этом случае будет возможен доступ к нему из глобальной сети. Информацию об этом можно получить у вашего интернет провайдера. Некоторые провайдеры бесплатно выдают внешний IP-адрес, но зачастую за эту услугу требуется дополнительная плата.

Установка статического IP-адреса

Добавить в DMZ можно только компьютер, имеющий статический IP-адрес. Поэтому первым делом меняем его. Для этого открываем свойства сетевого подключения и в настройках TCP/IP прописываем статический IP-адрес в диапазоне адресов вашей сети. Например, если у вашего роутера IP 192.168.0.1, то для компьютера можно указать 192.168.0.10. Маска подсети стандартная – 255.255.255.0. А в поле «Шлюз» нужно указать адрес вашего роутера.

На этом настройка компьютера завершена и можно переходить к настройкам роутера.

Настройка роутера

Первым делом DMZ на роутере нужно включить, поскольку по умолчанию она всегда отключена.

Находим соответствующий пункт меню в веб-интерфейсе устройства:

  • На роутерах Asus нужная вкладка так и называется – DMZ.
  • На роутерах TP-Link откройте пункт «Переадресация», а в нём будет подпункт DMZ.
  • У D-Link ищите пункт «Межсетевой экран».

В любом случае на вкладке настроек нужно поставить галочку в поле «Включить». А рядом найти поле, которое называется «Адрес узла DMZ» или «Адрес видимой станции» (в зависимости от модели роутера могут быть другие варианты). В это поле вписываем статический адрес компьютера или другого устройства, которое нужно добавить в DMZ. В нашем случае это 192.168.0.10.

Сохраните настройки и перезапустите роутер. На этом всё: все порты на выбранном ПК открыты. Любая программа, которая использует входящие подключения, будет думать, что выходит в сеть напрямую. Все остальные программы будут работать в штатном режиме.

Ниже приведен пример настройки маршрутизатора с англоязычным интерфейсом.

Поэтому на устройстве, используемом в качестве узла DMZ, нужно обязательно установить файервол и антивирусную программу.

Источник

Используемые источники:

  • https://ru.qaz.wiki/wiki/dmz_(computing)
  • https://routers.in.ua/dmz/
  • https://allomart.ru/nastroyka-dmz-dlya-igr/

DMZ – что это в роутере, как настроить и включить демилитаризованную зону?

Всем привет! Сегодня мы поговорим про DMZ: что это в роутере, для чего функция нужна и как её настроить на разных маршрутизаторах. Чтобы не грузить вас тяжелыми понятиями, я лучше расскажу на примере – так будет проще понять. Представим себе, что у вас дома есть камера видеонаблюдения, которая подключена к сети маршрутизатора. Аналогично к ней же подключены все компьютеры, ноутбуки и другие сетевые устройства из дома.

Теперь представим, что вы хотите уехать в отпуск и при этом из интернета иметь доступ к камере, чтобы следить за тем, что происходит у вас в квартире или доме. Конечно, для этого нужно пробрасывать порт в настройках маршрутизатор, и чаще всего используется 80 или 8080 порты. Но что если данные порты уже используются в сети?

В таком случае можно попробовать поиграть с настройками Firewall, но можно сделать куда проще и настроить DMZ в роутере. Тогда в DMZ-host добавляется IP адрес камеры, и она становится доступной из интернета. При этом остальная локальная сеть все также остается закрытой, а вот все устройства добавленные в DMZ как раз остаются общедоступными.

Я думаю, теперь куда понятнее, что такое DMZ хост в роутере. DMZ или DeMilitarized Zone – это выделенный участок локальной сети, к которой открыт доступ для внешнего доступа. Не нужно путать данный сегмент с гостевой сетью, так как при данной функции идет доступ как из интернета, так и из локальной среды. Также для данной сети сразу открываются все возможные порты, поэтому все такие устройства должны сами отвечать за безопасность. Как вариант нужно хотя бы установить логин и пароль для камеры.

Далее я расскажу про настройку демилитаризованной зоны в домашних роутерах. Если у вас будут какие-то вопросы, то пишите в комментариях.

Настройка

Прежде чем приступить к настройке DMZ скажу несколько моментов. В домашних маршрутизаторах нет полноценной возможности создать демилитаризованную зону, так как данные аппараты для этого не предназначены. Да – данная настройка есть, но она позволяет делать полностью открытыми порты только для одного сегмента сети. Но чаще всего этого становится достаточно. Например, если вам нужно иметь доступ к нескольким камерам, то лучше подключить их к видеорегистратору, на который вы и будете делать доступ.

Все настройки делаются в Web-интерфейсе, куда можно попасть, введя IP или DNS адрес интернет-центра в адресную строку любого браузера. Чаще всего используются адреса: 192.168.1.1 или 192.168.0.1. Также этот адрес можно посмотреть на этикетке под корпусом самого аппарата.

Если у вас возникнут трудности со входом – смотрите эту инструкцию.

ВНИМАНИЕ! Также для доступа извне вам нужно чтобы у вас был «белый» IP адрес. Если вы не знаете, что это, то советую почитать эту статью.

TP-Link

Старая прошивка

Функция находится в разделе «Переадресация».

Новая прошивка

«Дополнительные настройки» – «NAT переадресация» – находим функцию, включаем, вводим IP адрес устройства и сохраняем параметры.

D-Link

Темная прошивка

Внизу выбираем «Расширенные настройки» и находим нашу функцию в разделе «Межсетевого экрана».

Светлая прошивка

Сервис находим в разделе «Межсетевой экран».

Включаем функцию и вводим адрес устройства. Вы кстати можете выбрать адрес из списка, уже подключенных. В конце нажмите «Применить». В некоторых моделях вы можете увидеть функцию «NAT Loopback» – эту функция, которая позволяет проверять пакеты, уходящие из локальной сети во внешнюю (интернет) с помощью межсетевого экрана. Если у вас слабый аппарат, то включать её не стоит, так как она сильно нагружает процессор роутера.

Zyxel Keenetic

Новая прошивка

Прежде чем добавить подключенное устройство, вам нужно его зарегистрировать. Зайдите в раздел «Список устройств», там вы увидите два списка: «Незарегистрированные» и «Зарегистрированные» устройства. Для регистрации устройства нажмите по нужному аппарату.

Введите имя и нажмите на кнопку регистрации.

После этого данное устройство появится в списке «Зарегистрированных» – найдите его там и опять зайдите в настройки. Вам нужно установить галочку «Постоянный IP-адрес».

Заходим в «Переадресацию» и создаем правило:

  • Ставим галочку «Включить правило».
  • Описание – для удобства назовите «DMZ».
  • Вход – здесь нужно указать то подключение, через которое у вас идет интернет.
  • Выход – здесь указываем имя устройства, которое вы и добавляете в ДМЗ.
  • Протокол – устанавливаем параметр «TCP/UDP (все порты и ICMP)».
  • Расписание работы – тут можно установить режим работы, но чаще всего сервер «Работает постоянно».

Старая прошивка

В разделе «Домашняя сеть» (имеет значок двух мониторов) переходим во вкладку «Устройства» и выбираем из списка тот аппарат, который у нас будет DMZ-хостом. Если устройство не подключено, вы можете его добавить – правда при этом вам нужно точно знать его MAC-адрес.

Вводим описание и обязательно ставим галочку «Постоянный IP-адрес». Также в строке «Доступ в Интернет» должно стоять значение «Разрешен». Нажимаем «Зарегистрировать».

Теперь переходим в раздел «Безопасность» и на вкладке «Трансляция сетевых адресов (NAT)» нажимаем по кнопке «Добавить правило».

Теперь нужно ввести следующие данные:

  • Описание – назовите как «DMZ» чтобы не перепутать, но название на самом деле может быть любым.
  • Интерфейс – здесь нужно выбрать именно то подключение, через которое у вас идет интернет. Эти данные можно посмотреть в разделе «Интернет».
  • Протокол – здесь ставим только одно значение: TCP/UDP (все порты и ICMP).
  • Перенаправить на адрес – тут выбираем наш сервер.

Нажимаем по кнопке «Сохранить».

ASUS

Находим слева раздел «Интернет», далее переходим в соответствующую вкладку. Включаем функцию и вводим адрес хоста. В конце не забудьте нажать «Применить».

Netis

Нужная нам функция находится в разделе «Переадресация», далее включаем хост, вводим IP и «Сохраняемся».

Tenda

V1-3

Заходим в «Расширенные настройки» и находим конфигурация хоста.

Переводим бегунок во включенное состояние и вводим последнюю цифру локальной машины, для которой все порты будут открыты.

V4

Находим вкладку «Advanced».

Пролистываем до раздела «ДМЗ-хост» включаем (Enabled) и вводим адрес.

LinkSys

Конфигуратор по открытию всех портов находится в разделе «Application & Gaming». Включаем функцию (Enabled). Здесь настройки немного отличаются от других аппаратов. В строке «Source IP Address» можно установить диапазон внешних адресов, которые будут иметь доступ к выделенному устройству в сети. Чаще всего указывается параметр «Any IP Address» (Все IP адреса).

Для конфигурации в строке «Destination» указываем IP или MAC-адрес устройства. Вы также можете посмотреть все подключенные аппараты, нажав на кнопку «DHCP Client Table». После настройки нажмите на «Save Settings».

Dmz на роутере, как настроить?

Понять, что такое технология DMZ применительно к роутерам – достаточно просто. Если из «внешней» сети приходит пакет на IP-адрес роутера, то есть, «внешний» IP, то без изменений он передается на адрес локальной машины. И – обратно: любой отправляемый вами пакет, «снаружи» видится так, как будто отправлен он с IP роутера. При этом меняется значение адреса (правильно говорить: «транслируется»), а значение порта (в паре IP-адрес: port) – не изменяется. Это и есть DMZ. Сложнее понять, зачем DMZ на роутере (то есть, когда включать – нужно, когда – нет).

На самом деле, DMZ-сервис нужен таким программам как ICQ, Skype и u-Torrent. Если компьютер соединить «напрямую» с провайдером (то есть, без роутера), DMZ не нужна. Но если есть роутер – нужно, просто, настроить все (так, как будет рассмотрено), и проблем – не возникает. Технология DMZ очень простая. Но за это – придется платить. Компьютер с ней может работать, обладая только «статическим» IP-адресом. Первым делом – настроим его.

Настройка компьютера

Заходим в папку «Сетевых подключений». Здесь, ищем «соединение» с роутером («подключение по локальной сети», «беспроводное соединение»). Правым кликом, вы открываете «Свойства».

Сетевые подключения


В «Свойствах» протокола TCP/IP (v4), настраивать – нужно следующим образом:

Протокол TCP/IP


То есть, вы знаете адрес web-интерфейса – тогда укажите его в качестве шлюза, для компьютера – придумайте номер (от 2 до 49), а маску – оставьте с последним «0». В нашем примере, IP роутера был 192.168.0.1 (и мы придумали IP для компьютера: 192.168.0.13).

Нажмите «ОК», на этом настройка компьютера для DMZ – завершена.

Лирическое отступление

В любом роутере – есть сервер DHCP. Он «раздает» всем ПК их IP-адреса (вида 192.168.0.хх, в примере для роутера с IP 192.168.0.1). Диапазон адресов, выдаваемых DHCP, можно менять (по умолчанию – это 100-200 либо 50-200). Все, что нужно было сказать – уже сказано. То есть, придумать «статический» порт для компьютера – можно, но, не увлекаясь большими значениями. И, до «50» – будет достаточно.

Настройка делается на каждом ПК, нет разницы, подключен он к роутеру «через wi-fi» или «проводом». Так делается на тех ПК, которым требуется DMZ (остальные – можно оставить на «авто»). В любой момент времени, по DMZ – может работать только один ПК вашей «локалки» (а какой из них именно – задается в настройках роутера).

Настройка роутера

Заходим на вкладку, отвечающую за DMZ. В разных роутерах – название разное, «Advanced» -> «DMZ», либо «Advanced» -> «Firewall-DMZ»:

Web интерфейс


Смысл в том, чтобы включить этот сервис (то есть, на «DMZ» выбрать «Enabled»). И – установить IP-адрес компьютера, который работает по DMZ. В нашем примере: 192.168.0.13 (как придумали ранее). После нажатия кнопки «Apply», либо «Save» с перезагрузкой, DMZ-сервис – работает.

И – что теперь?

Любая программа, используя связь с «внешней» сетью, будет думать, что работает на компьютере с «внешним» IP (выдаваемым вашим провайдером). Что – аналогично тому, как если бы вы подключили к «шнуру» провайдера сетевую карту ПК (без каких-либо роутеров).

Программам, таким как uTorrent, и ICQ – это «нравится». Все, что работало раньше (без роутера) – будет работать. При этом, DMZ-сервис – даст больше возможностей для атак из сети. Вот почему, на самом ПК, должен быть файервол (межсетевой экран, или – брандмауэр). Но это – рекомендация.

На самом же деле, DMZ – это сервис не самый удобный. Ту же «функциональность», к примеру, вы получаете, если включить сервис UPNP. Большинство современных программ (ICQ 6-й версии, новый u-Torrent) – могут работать по UPNP (смысл – тот же), но сетевые карты ПК – настраивать будет не нужно. Что лучше подходит, DMZ или UPNP – решает сам пользователь.

Предыдущая

МегафонWIFI роутер от компании мегафон

Следующая

ZyXELLTE роутер ZyXEL LTE6100 с поддержкой сетей LTE/4G

Безопасность: Настройка демилитаризованной зоны | Статья

Опубликовано:
16 июля 2015 в 09:32

22 11

Демилитаризованная зона (англ. Demilitarized Zone, DMZ) – это конфигурация сети, направленная на усиление безопасности сети организации, в которой открытые для общего доступа сервера находятся в отдельном изолированном сегменте сети. Данная концепция обеспечивает отсутствие контактов между открытыми для общего доступа серверами и другими сегментами сети в случае взлома сервера.

Как правило, в изолированном сегменте сети располагается сервер-ретранслятор, обеспечивающий перенаправление запросов из внешней сети в сеть организации. Примерами таких серверов могут служить ViPNet Coordinator и обратный прокси-сервер (Reverse proxy).

Обратный прокси-сервер (Reverse proxy)

В качестве Reverse proxy может быть использован любой веб-сервер (NGINX, Apache, IIS). Как правило, для продуктов DIRECTUM используется Reverse proxy на базе IIS.

Для настройки потребуются Application Request Routing и URL Rewrite, которые можно установить при помощи Web Platform Installer.

Для начала создаем веб-сайт, который будет принимать запросы из внешней сети. Для него необходимо указать соответствующие привязки (имя хоста и порт). Так как все веб-решения компании DIRECTUM предполагают работу с важной информацией, необходимо настроить сайт на использование HTTPS-соединения. Обычно для HTTPS-соединения используется 443 порт. Соответственно, данный порт необходимо указать в настройках DMZ-брандмауэра.
Следующим шагом добавляем правило перенаправления при помощи модуля URL Rewrite:

Если настройка осуществляется впервые, IIS сообщит о необходимости включения Reverse proxy-функциональности и предупредит, что Reverse proxy может как усилить защиту периметра организации, так и, наоборот, снизить безопасность, предоставив доступ внутренним сервисам организации из сети Internet.

После включения Reverse proxy-функциональности необходимо задать правила перенаправления:

В поле «Правила для входящего трафика» указывается адрес и порт сервиса для перенаправления, находящегося во внутренней сети организации. Напомню, что входящие адреса, запросы с которых будут перенаправлены, задаются выше в настройках привязок веб-сайта.

Для снижения нагрузки на DMZ-сервер можно включить SSL-разгрузку. В этом случае все внешние HTTPS-запросы будут перенаправлены по HTTP во внутреннюю сеть. Мы не рекомендуем применять такие подходы, чтобы не снижать общую безопасность схемы взаимодействия, поэтому в настройках брандмауэра внутренней сети также потребуется открыть 443 порт (или иной, указанный в правилах URLRewrite).

Пример настройки:

Сервер веб-приложения DIRECTUM располагается во внутренней сети организации и имеет один интерфейс: 192.168.1.2/255.255.255.0.

Брандмауэры сети DMZ и внутренней сети настраиваются на разрешение входящих и исходящих соединений по порту 443 протокола HTTP.

Для обеспечения дополнительной защиты рекомендуется ограничить доступ к веб-серверу DIRECTUM из внутренней сети и разрешить сетевые соединения только с необходимыми службами (СУБД, сервер сеансов, Workflow и т.д.). Для этого следует настроить правила брандмауэра веб-сервера DIRECTUM для входящих и исходящих соединений и разрешить соединения по следующим портам:

  • протокол TCP/IP;
  • для связи с SQL сервером – по умолчанию порт 1433;
  • для связи с сервером с установленной службой Сервер сеансов – по умолчанию порт 32300;
  • для связи с сервером с установленной службой WorkFlow – по умолчанию порт 32310;
  • для работы сервера веб-доступа по протоколу HTTPS – порт 443;
  • протокол UDP/IP: для разрешения имен NetBIOS – по умолчанию порты 137-139.

Указан минимальный набор портов и протоколов связи. При использовании в продуктивной среде возможно расширение разрешающих правил. К примеру, для работы служб файловых хранилищ понадобится дополнительно открыть порты 445 и 32320 по протоколу TCP.

Вместо заключения

В этой небольшой статье были рассмотрены практические шаги, с помощью которых можно повысить уровень безопасности сети организации. Для того чтобы ознакомиться с другими средствами обеспечения безопасности следите за тегом безопасность. 

что это в роутере, настройка зоны DMZ

Обычный роутер может вас удивить, и в этой статье речь как раз об одной из таких функций. Я расскажу о нестандартном разделе в настройках: DMZ что это в роутере и как его настроить.

Зачем нужен DMZ и что это такое

Предположим, вам нужно подключить оборудование, которое будет доступно из любой точки мира, например регистратор видеокамеры или даже игровой сервер. Но крайне важно сохранить безопасность остальной сети: вашего компьютера, телефона, принтера и так далее. Для этого у вас есть два варианта.

  1. Назначить общедоступному оборудованию отдельный порт и выполнить так называемую проброску порта. Но если порт, который использует устройство, уже занят, то нужно прописать перенаправление с помощью фаервола. При этом тоже есть свои нюансы. Конечно, эта операция вполне осуществима. Но для неподготовленного пользователя она может превратиться в «танцы с бубном».
  2. Просто настроить отдельную сетевую область – DMZ.

Что такое DMZ в роутере? DMZ расшифровывается как Demilitarized Zone – демилитаризованная зона. По аналогии с военной терминологией, это область, в которую можно спокойно заходить без оружия и без злого умысла. То есть это такая зона вашей локальной сети, которая открыта для внешнего доступа, и для внутреннего.

Действительно, это простой способ для того, чтобы открыть для публичного доступа веб-камеру. Вы можете установить на ней пароль, и, введя IP-адрес, который сами определили, получить к ней доступ из другого города, со своего телефона и так далее. Но если вы собираетесь определить в эту зону целый компьютер, будьте осторожны. Все его порты окажутся в свободном доступе, что упростит атаку на него. Антивирусы и фаервол – обязательные пункты для установки на ПК в этом случае.

Как настроить функцию

Настройка «демилитаризованной зоны» вашей сети – очень простая задача. Главный пункт инструкции – найти DMZ в роутере. Всё остальное выполняется в несколько кликов.

  • Перейдите в веб-панель маршрутизатора. Для этого введите в адресной строке браузера 192.168.1.1 или 192.168.0.1.
  • Введите логин и пароль. Обычно это «труднозапоминаемое» сочетание «admin» и «admin», которое я рекомендовал бы сменить. Возможны и другие варианты – проверьте наклейку на дне роутера. Там может быть указан другой логин и пароль.

  • Теперь найдите пункт «DMZ». Например, для устройств Asus перейдите в «Интернет» и затем выберите нужный пункт. В роутерах TP-Link – пункт «Перенаправление» и подпункт «DMZ». В девайсах D-Link – «Расширенные» (Advanced) либо «Межсетевой экран».

  • Разрешите использование DMZ, выбрав «Enabled» или «Включить».
  • Введите IP-адрес устройства.
  • Сохраните изменения и перезагрузите роутер.

Дополнительные нюансы настройки DMZ

Итак, теперь вы можете получить доступ к девайсу, например камере наблюдения, извне. Но как это сделать? Тут возникают дополнительные нюансы:

Нюанс 1. У маршрутизатора должен быть внешний IP-адрес, к которому можно обратиться. Он называется «белый адрес». Это зависит от вашего провайдера. Некоторые предоставляют его сразу, другие – за дополнительную плату. Выяснить этот адрес можно у провайдера, либо он может быть указан на той же наклейке снизу девайса.

Нюанс 2. Если вы добавляете в «демилитаризованную зону» компьютер, то у него должен быть статический IP-адрес, который вы и пропишете в описанной выше инструкции. Поэтому сначала назначьте ему постоянный адрес:

  • Зайдите в Свойства сетевых подключений, далее в настройки TCP/IP.

  • Пропишите статический IP-адрес, который не пересекается с динамично назначаемыми адресами.
  • Проверить, какие адреса назначаются динамически, можно на вкладке «Настройка DHCP» в интерфейсе роутера.

  • Например, если адрес маршрутизатора – 192.168.0.1, а диапазон DHCP начинается от  192.168.0.100, то для компьютера можно указать 192.168.0.25. В поле «Шлюз» необходимо отметить адрес маршрутизатора.

Нюанс 3. В некоторых моделях роутеров нужно отключить опцию «Virtual Servers». Одновременно они работать не будут.

Теперь вы знаете всю информацию о DMZ. Если вы сделаете всё грамотно, то получите очень удобный инструментарий. Таким образом можно подключить небольшой сервер, даже разместить тестовый сайт. Помните о безопасности и используйте эту опцию «с умом», не открывая доступ к важному оборудованию.

Как настроить сервер DMZ по умолчанию на моем маршрутизаторе NETGEAR? | Ответ

Функция сервера DMZ по умолчанию полезна при использовании некоторых онлайн-игр и приложений для видеоконференций, несовместимых с преобразованием сетевых адресов (NAT). Маршрутизатор запрограммирован на распознавание некоторых из этих приложений и правильную работу с ними, но другие приложения могут работать некорректно.В некоторых случаях один локальный компьютер может правильно запустить приложение, если IP-адрес этого компьютера введен в качестве сервера DMZ по умолчанию.

Серверы

DMZ представляют угрозу безопасности. Компьютер, назначенный сервером DMZ по умолчанию, теряет большую часть защиты брандмауэра и подвергается атакам из Интернета. В случае компрометации компьютер-сервер DMZ может быть использован для атаки других компьютеров в вашей сети.

Маршрутизатор обычно обнаруживает и отклоняет входящий трафик из Интернета, который не является ответом на один из ваших локальных компьютеров или службу, которую вы настроили на странице Переадресация портов / Запуск порта.Вместо того, чтобы отбрасывать этот трафик, вы можете указать, что маршрутизатор перенаправляет трафик на один компьютер в вашей сети. Этот компьютер называется сервером DMZ по умолчанию.

Для настройки сервера DMZ по умолчанию :

  1. Запустите веб-браузер на компьютере или мобильном устройстве, подключенном к сети вашего маршрутизатора.
  2. Введите http://www.routerlogin.com.
    Откроется окно входа в систему.
  3. Введите имя пользователя и пароль маршрутизатора.
    Имя пользователя — admin.Пароль по умолчанию — пароль. Имя пользователя и пароль чувствительны к регистру.
    Отображается домашняя страница BASIC.
  4. Выберите РАСШИРЕННЫЙ> Настройка> Настройка WAN .
    Откроется страница настройки WAN.
  5. Установите флажок Сервер DMZ по умолчанию .
  6. Введите IP-адрес.
  7. Нажмите кнопку Применить .
    Ваши настройки сохранены.

Последнее обновление: 18.01.2017 | Идентификатор статьи: 1118

Построение DMZ самостоятельно — Даниэль Мисслер

В конце концов, если вы достаточно заинтересованы в информационной безопасности, вы зададитесь вопросом, что такое DMZ и почему вы должны или не должны ее иметь.DMZ — это аббревиатура от De-Militarized Zone, и в «реальном» мире это место между двумя враждебными образованиями, такими как Северная и Южная Корея. Однако в сообществе безопасности это отдельная ненадежная сеть, в которой должны быть размещены ящики, обслуживающие общедоступные службы.

Это буферная зона между полностью ненадежной сетью (например, Интернет) и относительно надежной сетью (например, вашей частной локальной сетью). Основной причиной внедрения DMZ является разделение ваших публичных и частных активов, чтобы компрометация в публичной области не приводила автоматически к компрометации и ваших частных активов.

Опции

Есть два основных способа реализовать DMZ для личного использования. Первый — это использование трех или более сетевых адаптеров, а именно:

  1. 1 сетевая карта для WAN (ваш шлюз в Интернет; все приходит и проходит через эту сетевую карту)
  2. 1 сетевая карта для локальной сети (за этой сетевой картой находится то место, где у вас есть все ваши личные активы, то есть файловые серверы, контроллеры домена, коллекции сомнительных материалов и т. д.)
  3. 1 сетевая карта для DMZ (сюда вы помещаете любую машину, к которой вы хотите разрешить подключение людей в Интернете, т.е.е. веб-серверы, ftp-серверы, почтовые серверы, игровые серверы и т. д.)

Это один из методов создания DMZ, но он не является предпочтительным. Эта конфигурация позволяет обеспечить безопасность как вашей DMZ, так и вашей LAN в одной системе. Если ваша машина, на которой установлены все три из этих сетевых адаптеров, будет скомпрометирована, то же самое будет с вашей DMZ и вашей частной сетью. По сути, вы позволяете Интернету «соприкасаться» с той же машиной, которая определяет, насколько безопасна ваша внутренняя локальная сеть, и, хотя риск довольно низок, это не идеальная ситуация.

The Sandwich
Лучше всего это сделать с помощью трех отдельных сетей — Интернет, DMZ и LAN. Для этого используются два брандмауэра — один на границе вашей глобальной сети (который обычно обрабатывает ваше соединение), а другой — на границе вашей внутренней сети. Допустим, у вас есть широкополосный маршрутизатор (например, Linksys, Netgear, Dlink или что-то еще) и брандмауэр на основе программного обеспечения OSS (например, Astaro, M0n0wall и т. Д.).

Вы помещаете маршрутизатор на границу (прямо за модемом) и подключаете сторону LAN этого маршрутизатора к концентратору или коммутатору.К этому концентратору или коммутатору (вашему концентратору / коммутатору DMZ) вы используете один из портов для подключения вашего хоста-бастиона / общедоступного сервера (ов). Эта машина (или машины) запускает службы, к которым вы хотите, чтобы люди могли подключаться извне. Это может быть веб-сайт, FTP-сервер или многопользовательская игра, такая как WCIII или Counterstrike.

Вы хотите, чтобы эта машина была усилена (желательно очень хорошо), что означает, что она полностью пропатчена и работает как можно меньше служб. Однако, как правило, вы хотите, чтобы все, что помещено в DMZ, было устойчиво к атакам из Интернета, поскольку публичный доступ является причиной того, что вы размещаете это в первую очередь.Как усилить защиту серверов, которые вы помещаете в свою демилитаризованную зону, выходит за рамки этой статьи, но достаточно сказать, что вы хотите их заблокировать — не работают ненужные службы, применены все обновления и т. Д. к тому же коммутатору (коммутатору DMZ) вы собираетесь подключить другой сетевой кабель, который идет к вашему внутреннему брандмауэру (вашему брандмауэру Linux / BSD).

Важно отметить, что вы хотите, чтобы ваш самый мощный межсетевой экран находился как можно ближе к вашей локальной сети; или, другими словами, вам нужен самый слабый брандмауэр на вашей границе.Это может показаться нелогичным, но обычно это правильный путь. По сути, вам нужен самый мощный и настраиваемый межсетевой экран, защищающий вашу локальную сеть, а не DMZ.

Что касается вашего внутреннего брандмауэра, в нем будут две сетевые карты — одна для стороны DMZ и одна для стороны частной LAN. Подключите кабель, идущий от вашего коммутатора DMZ, к стороне DMZ внутреннего брандмауэра (внешний интерфейс), а с другой стороны брандмауэра (сторона частной локальной сети) вы подключаете кабель к другому концентратору / коммутатору, который является всей вашей локальной сетью. компьютеры будут подключаться к.

Если это сбивает с толку, подумайте об этом так:

Интернет -> Модем
Модем -> Маршрутизатор
Маршрутизатор -> DMZ Switch
DMZ Switch -> WEB / FTP / Game Server
DMZ Switch -> Firewall External NIC
Межсетевой экран Внутренняя сетевая карта -> Коммутатор LAN
Коммутатор LAN -> Системы LAN

Что это дает нам

Итак, давайте посмотрим на безопасность, которую предлагает эта установка. На границе у вас есть трансляция NAT, которая передает только те порты, которые вам нужны, чтобы публика могла использовать серверы в вашей DMZ.Допустим, у вас есть веб-сервер, FTP-сервер и игровой сервер для игры FooAttack. На пограничном маршрутизаторе / межсетевом экране вы передаете порты 80, 21 и 5347 (порт сервера FooAttack). Все другие попытки подключения к вашему внешнему IP-адресу прекращаются на вашей границе; только те три порта, которые указаны выше, разрешены из-за NAT.

Природа NAT диктует, что только обратный трафик (трафик является частью соединения, исходящего изнутри устройства NAT) будет разрешен обратно в сеть NAT.Этот побочный эффект NAT, хотя и не является его первоначальной или основной целью, является довольно мощной функцией безопасности. Если ваше пограничное устройство поддерживает фильтрацию любого типа в дополнение к NAT, вы можете дополнительно заблокировать свою сеть, ограничив, кто может и не может подключаться к хостам в вашей DMZ.

Этот первый пограничный слой, хоть и хорош, но является лишь частью общей системы безопасности DMZ. Настоящая прелесть этой установки заключается в том, что произойдет, если кто-то * действительно * захватит машину в вашей демилитаризованной зоне.Представьте, что у вас есть установка, как я изложил выше, но без вашего ведома на веб-сервере, который вы используете, есть серьезная уязвимость. Итак, вы предлагаете веб-контент всему Интернету, а кто-то запускает соответствующий эксплойт против вашей машины и укореняет его. Что теперь?

Сейчас ничего. Ваш второй, более мощный брандмауэр (тот, который они все еще * вне *) — не пропускает * никакого * трафика из внутренней DMZ в локальную сеть. (Фактически, вы должны иметь его там, где он даже не будет отвечать на ICMP с машин DMZ, поэтому есть вероятность, что они даже не узнают, что он там.) И теперь, вместо того, чтобы иметь возможность прыгать по вашей сочной внутренней локальной сети, как они планировали, они застряли в центре совершенно ненадежной и непривилегированной сети, в которой нет ничего, кроме того, что вы все равно предназначали для публичного просмотра. .

Это DMZ.

Даже если бы они знали, где находится внутренний брандмауэр, он бы даже не подумал о передаче попыток подключения из DMZ. Этот внутренний уровень защиты представляет собой NAT, точно так же, как ваш первый уровень, только нет портов, проходящих внутрь, как из Интернета в DMZ.Ваш второй брандмауэр на самом деле не знает, что делать с пакетами, которые предназначены для инициирования с ним новых соединений, поэтому он просто их отбрасывает.

Единственный трафик, который будет проходить через этот брандмауэр, — это трафик, который вы специально запрашиваете, чтобы разрешить его, разговаривая с машиной за пределами этого брандмауэра, т. Е. Когда вы переходите в /., Это позволит проникнуть веб-контенту * back * к вам, чтобы вы могли просмотреть страницу, но если кто-то попытается инициировать новое соединение с вами, он будет отключен.И NAT, и SPI предоставляют вам такую ​​защиту, каждый по-своему.

Заключение

Итак, чтобы подвести итог, представьте, что кто-то сканирует вокруг в поисках веб-демонов, которые можно разорвать, и они находят вашего. Многие неопытные злоумышленники могут предположить, что вы запускаете что-то на своем общедоступном IP-адресе, как если бы ваша основная рабочая станция находится прямо в Интернете и на ней работает веб-демон. Таким образом, они подключаются к нему, получают веб-страницу, а затем спешат выкопать свой любимый инструмент HTTP-эксплойтов, который написал кто-то другой.Чего они не знают, так это того, что они на самом деле подключаются к частному IP в вашей демилитаризованной зоне.

Для Интернета у него нет «настоящего» IP-адреса. Если бы вы не прошли через этот порт на пограничном устройстве, они бы вообще ничего не увидели с помощью своего сканирования. Но предположим, что они действительно видят вашего веб-демона, потому что вы передаете порт 80 через хост DMZ, на котором запущен веб-сайт, и оказывается, что в нем есть уязвимость. Они запускают свой эксплойт и получают root на вашем компьютере. Это вызывает у них огромную радость, и они спешат рассказать обо всем своим приятелям, потому что думают, что они Алан Кокс.

Дело в том, что им особо нечего праздновать. Все, что у них есть, — это базовый сервер, на котором нет ничего ценного — ни важной информации, ни истории просмотров, ни личной информации — ничего. Фактически, все, что у вас есть, — это контент, который вы хотели, чтобы публика увидела в первую очередь (который также надежно сохранен в вашей внутренней сети и / или на съемном носителе).

Итак, у них есть root-права на машине, они пингуются в вашей DMZ и вскоре обнаруживают, что там не так много. Если они сообразительны, они сделают ifconfig (или ipconfig, если вы так качаете) и обнаружат, что они находятся в частной подсети, но это им ничего не даст.Скорее всего, оттуда они либо загрузят мусор в вашу систему, либо попытаются уничтожить его.

В любом случае это не имеет значения. В тот момент, когда вы обнаруживаете, что произошло (tripwire, snort, что угодно…), вы просто вытаскиваете вилку, переустанавливаете коробку и восстанавливаете резервную копию. Через несколько минут у вас будет совершенно новая система, готовая снова подключиться к сети, и во время этого процесса ваша частная локальная сеть ни разу не подвергалась опасности. В этом преимущество использования DMZ.

Надеюсь, это базовое описание общей концепции было кому-то полезно.Если у вас есть какие-либо вопросы о DMZ или любых других темах безопасности, не стесняйтесь обращаться ко мне:

[Первоначально опубликовано в марте 2003 года на NewOrder]

wiki.ipfire.org — Настройка DMZ

Демилитаризованная зона или DMZ позволяет вашим серверам отвечать на общедоступные IP-адреса. Разница между размещением сервера в демилитаризованной зоне (оранжевый) и размещением непосредственно в общедоступной (красный) сети заключается в том, что вы можете ограничить входящий и исходящий трафик на сервер. И вы используете брандмауэр, чтобы ограничить доступ, чтобы нежелательный трафик никогда не попадал на ваши серверы.[\ t] * // ‘ inet 10.8.6.1 маска сети 255.255.255.0 широковещательная передача 0.0.0.0

Если вы получаете сообщение об ошибке orange0: ошибка при получении информации об интерфейсе: устройство не найдено , вернитесь к настройке и добавьте ОРАНЖЕВУЮ сеть.

inet addr — это адрес маршрутизатора DMZ. А маска — это маска подсети для сети DMZ.

Настройка простого веб-сервера

Получите доступ к веб-серверу и настройте Сеть, как показано в таблице ниже.

Примечание. Ниже приведены примеры для этой статьи.Пожалуйста, установите адреса вашего веб-сервера по своему усмотрению.

Описание Адрес Примечание
IP-адрес 10.8.6.5 Пример веб-сервера
Маска подсети 255.255.255.240 Маска из ifconfig выше (разрешает четырнадцать IP-адресов в DMZ)
Адрес маршрутизатора 10.8.6.1 IP-адрес (inet addr) из ifconfig выше
DNS-сервер 9.9.9.9 Внешний DNS-сервер. Не используйте DNS-сервер IPFire.

Простой веб-сервер в DMZ

Примечания:

• Нет DHCP-сервера , доступного в IPFire DMZ.
• Каждое клиентское устройство настроено со статическим IP-адресом.
• Убедитесь, что маска подсети клиента соответствует настройке для сети IPFire ORANGE.
• В демилитаризованной зоне IPFire нет DNS-сервера .
• DNS для каждого клиента должен быть настроен на внешний DNS-сервер.
• Прочтите это, чтобы убедиться, что вы понимаете, какая сеть имеет доступ к / из DMZ.

Создать правило брандмауэра DMZ

Для сети DMZ необходимо одно правило брандмауэра. Это правило брандмауэра будет использовать NAT для преобразования внешнего IP-адреса в IP-адрес брандмауэра, позволяя внутреннему серверу DMZ (оранжевый) отвечать.

Чтобы создать правило, перейдите в меню Firewall > Firewall Rules и нажмите New rule :

  1. Источник
  2. NAT
    • Использовать преобразование сетевых адресов (NAT) > NAT назначения (перенаправление портов)
  3. Назначение
    • Адрес назначения (IP-адрес или сеть) > [введите IP-адрес веб-сервера]
  4. Протокол

Доступ

Для доступа к веб-серверу DMZ:

  http: // 10.8.6.5 # доступ к оранжевому через зеленый или синий
-или-
http://81.3.27.38 # доступ через Интернет с IP-адреса в Интернете
-или-
http://myDDNShostname.org # доступ через Интернет с использованием имени хоста динамического DNS
  


TL; DR — Хотите изменить внешний порт с 80 на 8180?

Я вижу от 100 до 200 попыток доступа к порту 80 каждый день. Поэтому я хотел спрятать свой веб-сервер за портом 8180. Это НЕ делает вещи более безопасными. Это просто немного их скрывает.Защищать от неизвестности не получается!

Чтобы изменить правило, перейдите в меню Firewall > Firewall Rules и щелкните карандаш Edit. Затем перейдите по адресу:

  1. Протокол
    • TCP
      • Порт назначения: > 80
      • Внешний порт (NAT): > 8180

Доступ через порт 8180

Для доступа к веб-серверу DMZ:

  http: // 10.8.6.5 # доступ к оранжевому через зеленый или синий
-или-
http://81.3.27.38:8180 # доступ через Интернет с IP-адреса в Интернете
-или-
http://myDDNShostname.org:8180 # доступ через Интернет с использованием динамического DNS имени хоста
  

Готово!

Ссылки

Как создать базовую сеть DMZ (демилитаризованной зоны) в OPNsense

Введение

DMZ (демилитаризованная зона) — это сегментированная часть сети, которая используется для размещения всех общедоступных веб-сайтов и служб.Цель состоит в том, чтобы защитить внутреннюю сеть от внешних угроз. Это эффективная стратегия для минимизации публичного доступа к вашим критически важным активам, а также для ограничения ущерба, причиняемого, когда злоумышленник может проникнуть в вашу сеть. Здесь можно найти отличное определение DMZ.

Я получил отзыв от посетителя этого сайта, который заметил на моих снимках экрана, что у меня интерфейс «DMZ», и хотел узнать, как я создал сеть DMZ. Я подумал, что это отличная тема для обсуждения.Во время исследования реализаций DMZ при написании этого руководства я наткнулся на красивую статью о реализации базовой DMZ, а также о реализации более продвинутой и безопасной DMZ (для другого полезного справочного материала щелкните здесь). Базовый пример DMZ — это в значительной степени подход, который я использовал в своей домашней сети — частично из-за неопытности, а частично из-за минимизации затрат на покупку дополнительного оборудования. Я ограничиваю объем этого руководства базовым примером DMZ, поскольку я предполагаю, что многие пользователи домашних сетей будут использовать один маршрутизатор / брандмауэр для управления несколькими логическими / физическими сетями.

Базовая реализация DMZ является более экономичной и более простой в реализации вариантом из-за того, что для приобретения, настройки и обслуживания требуется меньше аппаратного / программного обеспечения. Однако компромисс — меньшая безопасность. Под меньшей безопасностью я имею в виду, что кто-то должен взломать ваш маршрутизатор / брандмауэр до такой степени, чтобы он имел полную видимость всех ваших сетей, включая внутренние частные сети. Если происходит такой компромисс, у вас уже есть большие проблемы. В зависимости от качества вашего маршрутизатора / брандмауэра это может оказаться легкой задачей для злоумышленника.При таком подходе вы, по сути, кладете все яйца в одну корзину. Я не думаю, что для пользователя домашней сети этот факт сам по себе должен побудить вас отказаться от использования одного маршрутизатора / брандмауэра для вашей сети. Это по-прежнему намного безопаснее, чем использование одной сети и предоставление доступа к различным портам на сервере в Интернет с помощью стандартного маршрутизатора потребительского уровня, который практически не получает обновлений безопасности.

Расширенная реализация DMZ решает проблему компрометации ваших внутренних частных сетей более эффективно, поскольку злоумышленнику придется взломать второй брандмауэр или, возможно, устройство за вторым брандмауэром, прежде чем может произойти дальнейшее проникновение в вашу сеть.Устройства за вторым межсетевым экраном будут практически невидимы для сети DMZ, особенно если весь трафик из сети DMZ отбрасывается между DMZ и вашей внутренней сетью (ами). (Важно отметить, что вы также можете отбросить трафик между DMZ и вашей внутренней сетью (ами) с помощью базового подхода DMZ, но если ваш единственный маршрутизатор / брандмауэр скомпрометирован, злоумышленник с гораздо большей вероятностью будет отслеживать трафик или пытаться взломать устройства в вашей внутренней сети, поскольку злоумышленник может видеть все ваши настроенные сети, интерфейсы, устройства и правила брандмауэра.) .

Два подхода к реализации базовой DMZ

Существует как минимум два подхода, которые вы можете рассмотреть при реализации базовой DMZ с использованием одного маршрутизатора / межсетевого экрана. Я полагаю, что есть другие подходы, но я ограничиваю это обсуждение двумя немного разными подходами. Если ваш маршрутизатор / брандмауэр имеет более одного порта Ethernet, вы можете разместить устройства или сетевые коммутаторы на отдельных физических портах. Два физических порта можно настроить для работы в разных физических сетях / подсетях.Некоторые преимущества этого подхода заключаются в том, что вам не нужно знать, как настраивать VLAN или иметь оборудование, поддерживающее VLAN, поэтому настройка проста. Кроме того, вы можете уменьшить некоторые потенциальные узкие места, поскольку используется меньше портов по сравнению с VLAN, где магистральные порты могут передавать трафик для нескольких сетей по одному и тому же каналу. Однако это можно уменьшить различными способами (как указано ниже). Несколько отрицательных аспектов использования двух отдельных физических сетей заключаются в том, что вам необходимо приобретать больше физических коммутаторов для каждой создаваемой сети (если, возможно, вы не могли бы использовать изоляцию портов на одном коммутаторе, но это могло бы стать беспорядочным / запутанным), и устройства, которые находятся в одной сети, должны использовать один и тот же сетевой коммутатор.Если ваши сетевые коммутаторы физически удалены, проложенные кабели могут стать проблемой, особенно если вам нужно изменить сеть устройства — вам нужно будет проложить новый кабель к другому сетевому коммутатору в другом месте. Это одна из причин, по которой были созданы VLAN, поскольку у вас есть возможность располагать устройства где угодно, но существовать в одних и тех же сетях, используя любой коммутатор, имеющий правильную конфигурацию VLAN.

Если вы используете только один порт на вашем маршрутизаторе / межсетевом экране (конфигурация «маршрутизатор на флешке»), вы можете создать DMZ, используя VLAN.Когда вы создаете VLAN, вы создаете отдельные логические сети, которые могут совместно использовать одни и те же существующие физические порты. Гибкость VLAN дает множество преимуществ, включая экономию на сетевом оборудовании. Вам не нужно покупать новый коммутатор каждый раз, когда вы хотите создать новую сеть. Также ваши виртуальные сети могут охватывать разные коммутаторы, что очень приятно. Нет необходимости прокладывать все кабели к одному и тому же коммутатору в одной и той же сети. Вместо этого вы можете подключить их к ближайшему переключателю.Имейте в виду, что потенциальным недостатком является то, что вы можете создать узкие места, если у вас много трафика, проходящего через одну ссылку. Вы можете улучшить ситуацию, используя агрегацию каналов (LAG) или используя магистральный порт с большей пропускной способностью (например, канал 10 Гбит / с).

Примечание: Вы по-прежнему можете использовать VLAN, а также несколько портов на вашем маршрутизаторе / брандмауэре, но это то же самое, что и подход логической / VLAN, за исключением того, что вы используете VLAN через несколько портов на маршрутизаторе / брандмауэре. Это может помочь устранить некоторые узкие места без использования агрегации каналов, но агрегация каналов все равно будет лучше, если у вас есть потребности в высокой пропускной способности.

Ниже приведены схемы двух подходов:



Физический сетевой подход

По умолчанию OPNsense настроит интерфейс WAN и LAN, если обнаружит, что ваше сетевое устройство имеет более одного порта Ethernet. Для простоты я предполагаю, что у вас уже настроены интерфейсы по умолчанию. Вам потребуется создать дополнительный интерфейс для сети DMZ. Вам понадобится третий порт Ethernet, чтобы создать другую физическую сеть.В этом примере физической сети используются 3 порта: 1 для WAN, 1 для LAN и 1 для сети DMZ.

Назначить интерфейс DMZ

Чтобы назначить новый интерфейс для сети DMZ, перейдите на страницу «Интерфейсы> Назначения». Внизу страницы вы увидите раздел «Новый интерфейс».

Выберите соответствующий физический порт из раскрывающегося списка. В моем примере я выбрал «igb2», который является третьим портом Ethernet, поскольку нумерация начинается с нуля. Интерфейс «igb2» может отличаться в зависимости от конфигурации вашего оборудования.Введите «Описание» для интерфейса. Это будет отображаться на левой боковой панели. Затем нажмите кнопку «+», чтобы назначить интерфейс.

Подход логической сети

Если вы реализуете подход логики / VLAN, при назначении интерфейса необходимо предпринять дополнительный шаг. Вы должны сначала создать интерфейс VLAN, прежде чем вы сможете его назначить.

Создание интерфейса VLAN

Чтобы создать интерфейс VLAN, перейдите на страницу «Интерфейсы> Другие типы> VLAN».Нажмите кнопку «Добавить», чтобы открыть страницу интерфейса VLAN.

Выберите родительский интерфейс, для которого вы хотите создать интерфейс VLAN. Этот интерфейс является физическим портом Ethernet, который вы хотите использовать в VLAN. Вы можете создать несколько VLAN на одном родительском / физическом порте. VLAN позволяют создавать множество логических сетей, существующих в одной физической сети. В моем примере я использовал интерфейс «igb1», который является вторым портом Ethernet. В этом примере логической сети вам нужно всего 2 порта: 1 для WAN и 1 для сетей LAN / DMZ.Сети LAN и DMZ будут совместно использовать второй порт.

Обратите внимание, что я предполагаю, что у вас уже настроен интерфейс WAN / LAN по умолчанию, поэтому локальная сеть уже должна быть создана на интерфейсе «igb1». Интерфейс «igb1» может отличаться в зависимости от назначения портов Ethernet на вашем оборудовании.

Введите номер тега VLAN. Обычно я предпочитаю использовать тот же номер, что и подсеть для VLAN, но вам не обязательно использовать это соглашение. В моем примере я использую 192.168.20.0 для DMZ, поэтому я выбрал «20» в качестве тега VLAN. Вы можете выбрать «приоритет VLAN» для сетевого трафика, что может быть полезно, если у вас перегруженная сеть. В противном случае это, вероятно, не сильно поможет. Возможно, для приложения потоковой передачи / VOIP может быть более важным использовать приоритет VLAN. Введите «Описание» для интерфейса VLAN. Это имя будет видно при назначении интерфейса, так что назовите его чем-нибудь полезным. Мне нравится называть VLAN таким же, как назначенное имя интерфейса, чтобы было легче сопоставить VLAN с интерфейсами.Это также делает конфигурацию VLAN более согласованной во всем веб-интерфейсе. Нажмите «Сохранить», чтобы сохранить конфигурацию интерфейса VLAN.

Назначить интерфейс DMZ VLAN

Назначение логического интерфейса / интерфейса VLAN очень похоже на физический интерфейс, за исключением того, что вы выбираете интерфейс DMZ VLAN вместо физического в раскрывающемся списке.


Настройка VLAN на сетевом коммутаторе

При использовании подхода логической сети / VLAN вам потребуется настроить VLAN на сетевом коммутаторе с тем же идентификатором / тегом VLAN.В нашем примере DMZ использует идентификатор / тег VLAN, равный 20. Из-за количества коммутаторов на рынке и различий в том, как настраивать VLAN, я не буду описывать это подробно, но я хотел бы упомянуть, что вы должны настроить VLAN на вашем сетевом коммутаторе, чтобы этот подход работал должным образом. Это еще одна причина, по которой я упомянул, что настройка двух физических сетей менее сложна. Вы можете использовать базовые неуправляемые коммутаторы для физических сетей, но для логических сетей, использующих VLAN, вы должны использовать коммутаторы с поддержкой VLAN.

Одним из важных шагов при создании VLAN на вашем коммутаторе является установка порта на коммутаторе, где ваш маршрутизатор подключен к тегированному / транковому порту, чтобы он мог переносить весь трафик VLAN. В OPNsense вам не нужно беспокоиться о настройке порта маршрутизатора, на котором коммутатор подключен к тегированному / транковому порту, поскольку OPNsense знает, как это правильно сделать с вашими интерфейсами VLAN.

Если вам нужен краткий справочник по VLAN для сетевых коммутаторов, я написал о создании VLAN на управляемом коммутаторе TP-Link L2 (партнерская ссылка).

Общие шаги для обоих подходов

После назначения интерфейса DMZ остальные шаги остаются такими же. Физический и логический интерфейс обрабатываются одинаково. Даже назначение интерфейсов очень похоже, но я подумал, что важно объяснить этот шаг отдельно, чтобы дать четкое объяснение для обоих подходов, поскольку подход логической сети / VLAN требует дополнительного шага перед назначением интерфейса. Не только создание остального интерфейса одинаково, но и правила брандмауэра одинаковы для обоих подходов! Интерфейс DMZ упоминается в правилах брандмауэра одинаково для физической и логической сети.

Настройка и включение интерфейса DMZ

После назначения интерфейса DMZ он будет указан в меню боковой панели «Интерфейсы». Щелкните интерфейс «[DMZ]», чтобы настроить интерфейс.

Установите флажки «Включить интерфейс» и «Запретить удаление интерфейса». Параметр «Запретить удаление интерфейса» предотвращает удаление интерфейса со страницы «Назначения». Это может быть полезной защитой, чтобы вы случайно не испортили конфигурацию сети.Вы можете заметить на логическом интерфейсе / интерфейсе VLAN, что имя устройства немного отличается от имени на снимке экрана. Он покажет «igb2_vlan20» вместо «igb2», что нормально, потому что это указывает на то, что интерфейс VLAN используется вместо физического интерфейса. Я не хотел возиться с двумя разными скриншотами, когда имя устройства — единственная небольшая разница. «Описание» уже должно быть заполнено «DMZ», так как вы добавили его при назначении интерфейса. Затем выберите «Статический IPv4» в поле «Тип конфигурации IPv4».Вы также можете включить IPv6, но для простоты я показываю только IPv4.

Если вы прокрутите вниз на той же странице дальше, вы должны увидеть конфигурацию IPv4 теперь, когда вы выбрали тип конфигурации «Статический IPv4».

Введите IP-адрес самого интерфейса, в данном примере 192.168.20.1. Чтобы указать диапазон сетевых адресов на интерфейсе, выберите «24» в раскрывающемся списке, чтобы указать, что это / 24 сеть с диапазоном адресов 192.168.20.0-192.168.20.255 (где используемые адреса: 192.168.20.1-192.168.20.254). Наконец, нажмите кнопку «Сохранить», чтобы сохранить изменения интерфейса. Вам также нужно будет нажать кнопку «Применить изменения» вверху страницы, чтобы активировать изменения.

Включение DHCP на интерфейсе DMZ

Многие пользователи захотят включить DHCP для назначения адресов, поэтому это не нужно делать вручную на каждом отдельном устройстве в сети. Перейдите на страницу «Службы> DHCPv4> [DMZ]», чтобы настроить DHCP для сети DMZ.

Установите флажок «Включить DHCP-сервер в интерфейсе DMZ». Затем введите «192.168.20.100» в поле «от» и «192.168.20.200» в поле «до». Вы можете выбрать разные диапазоны. Если вы планируете использовать статические IP-адреса, оставьте для них место. Вы должны убедиться, что ваши статические IP-адреса не перекрывают диапазон адресов DHCP, поскольку могут возникнуть конфликты IP-адресов. Кроме того, не начинайте диапазон с «192.168.20.1», поскольку это адрес интерфейса DMZ и будет действовать как IP-адрес шлюза для устройств в сети DMZ.Нажмите кнопку «Сохранить», чтобы сохранить и включить DHCP для сети DMZ.

Создание статической аренды DHCP (необязательно)

Если вы используете сервер (ы) и размещаете различные службы, вы, вероятно, захотите использовать статические IP-адреса, чтобы вы могли использовать переадресацию портов и добавить соответствующие правила брандмауэра. Я предпочитаю использовать статические сопоставления DHCP, а не переходить к каждому устройству и вручную настраивать параметры IP-адреса. Он позволяет управлять всеми статическими IP-адресами из интерфейса централизованного управления.Вы можете добавить новую статическую аренду DHCP со страницы «Services> DHCPv4> [DMZ]», но я предпочитаю перейти на страницу «Services> DHCPv4> Leases». Причина, по которой я предпочитаю страницу «Аренда», заключается в том, что есть кнопка «+», которую вы можете использовать для добавления новой статической аренды DHCP, и она предварительно заполнит MAC-адрес на странице «Статическое сопоставление DHCP». В любом случае вам нужно перейти на страницу «Аренда», чтобы скопировать MAC-адрес (или перейти к самому устройству, чтобы найти MAC-адрес для ввода), поэтому имеет смысл добавить новую статическую аренду со страницы «Аренда».Это удобный ярлык, который вы можете использовать.

С учетом сказанного, нажмите кнопку «+» для устройства, которому вы хотите создать статическое сопоставление DHCP.

После этого откроется страница «Статическое сопоставление DHCP» с предварительно заполненным MAC-адресом.

Введите «IP-адрес» для сервера / устройства, а затем «Имя хоста» для устройства. Вы можете быть более креативными с именем хоста, чем в моем примере. Введенное имя хоста фактически переопределит имя хоста, установленное в системе, так что имейте это в виду.Если вам нравится имя хоста, настроенное на вашем сервере, просто введите то же имя хоста, чтобы вы могли ссылаться на свой сервер с других устройств в сети по имени, которое вы предпочитаете. Тот факт, что имя хоста можно переопределить, может быть полезным, если в вашей сети есть устройства, которые, похоже, не позволяют вам изменить их имя хоста по умолчанию. Если у вас ОКР или вам нужно обращаться к устройству проще, чем какое-то случайно сгенерированное имя, вы можете использовать статические сопоставления DHCP для очистки этих имен хостов (но это также означает, что теперь у них будет статический IP-адрес, что обычно не должно быть проблемой. ).

Правила межсетевого экрана

На этом этапе у вас должно быть 3 сети / интерфейса: WAN, LAN и DMZ. Последний важный шаг — настроить правила брандмауэра, чтобы сетевой трафик был должным образом изолирован. Есть несколько способов создания правил брандмауэра, и некоторые из них будут зависеть от того, какие услуги вы планируете размещать. Кроме того, это зависит от того, насколько строгим вы хотите быть со своим сетевым трафиком. Я собираюсь объяснить базовый подход, который я использовал для настройки своих сетей, особенно когда я впервые учился писать правила брандмауэра.Этот подход хорошо работает, когда у вас есть несколько VLAN / сетей, потому что вам не нужно вручную добавлять новый диапазон IP-адресов сети для изоляции каждой сети каждый раз, когда вы создаете новую VLAN / сеть.

Общая идея такова: разрешить определенный трафик через сетевой интерфейс / шлюз, заблокировать любой конкретный трафик во внутренние / внешние сети, разрешить определенный трафик для устройств в других внутренних сетях, заблокировать доступ ко всем другим внутренним сетям для изоляции сетевого трафика, и разрешить все остальное (разрешить доступ в Интернет).

Что касается последнего правила «разрешить все остальные», это то место, где вы могли бы более строго разрешить определенные типы трафика, такие как HTTP / HTTPS и т. Д., Но если вы получаете доступ к большому количеству служб на разных портах, это может потратьте некоторое время, чтобы определить все, что вам нужно разрешить. Это то, что я хочу в конечном итоге сделать в своей сети, чтобы я мог закрепить все более надежно.

Правила брандмауэра должны быть упорядочены от наиболее конкретных правил к наименее конкретным правилам, поскольку правила оцениваются сверху вниз в списке.После срабатывания правила для данного пакета данных дальнейшие правила для этого пакета не обрабатываются. В зависимости от того, что вы разрешаете или блокируете, порядок очень важен. Иногда вам нужно будет разрешить трафик перед блокировкой трафика, в то время как в других случаях вы захотите заблокировать трафик, прежде чем разрешать другой трафик.

Ниже приведен базовый набор правил, которые вы, возможно, захотите реализовать для сети DMZ, которая обеспечивает изоляцию между DMZ и LAN. Сеть DMZ не может получить доступ ни к чему в сети LAN, что защищает вас от атак, исходящих из DMZ:

  1. Разрешить доступ к внутреннему DNS-серверу
  2. Блокировать доступ к другим внутренним / внешним DNS-серверам
  3. Разрешить доступ к сетевому интерфейсу DMZ
  4. Заблокировать доступ ко всем другим внутренним / частным сетям
  5. Разрешить доступ ко всему остальному трафику

Для сети LAN необходимо иметь аналогичный набор правил.В целях иллюстрации я предполагаю, что у вас есть веб-сервер в вашей демилитаризованной зоне, к которому вы хотите, чтобы ваша локальная сеть имела доступ, чтобы в локальной сети было дополнительное правило, разрешающее этот сетевой трафик. Следующие правила блокируют все, от сети LAN до сети DMZ, за исключением доступа к веб-серверу в DMZ:

  1. Разрешить доступ к внутреннему DNS-серверу
  2. Блокировать доступ к другим внутренним / внешним DNS-серверам
  3. Разрешить доступ к LAN сетевой интерфейс
  4. Разрешить доступ к серверу в DMZ для HTTPS
  5. Блокировать доступ ко всем другим внутренним / частным сетям
  6. Разрешить доступ ко всему остальному трафику

Чтобы минимизировать повторение, я буду описывать только правила DMZ, за исключением одной LAN правило для доступа к веб-серверу DMZ, поскольку правила аналогичны.Вы просто указываете в правилах другую сеть. Итак, приступим!

Разрешить доступ к внутреннему DNS-серверу

Чтобы разрешить доступ к вашему несвязанному DNS-серверу OPNsense (который является DNS-сервером по умолчанию в OPNsense), вам необходимо разрешить порт 53 на «DMZ-адресе». Вам не нужно разрешать доступ к IP-адресу вашего маршрутизатора, который, как я предполагаю, 192.168.1.1. Поскольку вы создали отдельные сети, IP-адрес интерфейса действует как IP-адрес шлюза, поскольку это то, что служба DHCP предоставляет каждому из своих клиентов.«Адрес DMZ» в нашем примере — 192.168.20.1, это то, что вы настроили для интерфейса.

Опция Значение
Действие Пройдено
Интерфейс DMZ
Протокол TCP / 9016 UDP 9015 Протокол TCP / UDP 901 Протокол TCP / UDP 901 Порт источника любой
Назначение DMZ-адрес
Порт назначения 53 (DNS)
Описание Разрешить внутреннему DNS-серверу
другой внутренний DNS
Блокировать доступ серверы

Если вы хотите контролировать доступ к DNS для фильтрации / блокировки DNS, вам необходимо запретить несанкционированным пользователям или устройствам использовать альтернативный DNS-сервер.Это правило блокирует все остальные DNS-серверы. Пользователи-мошенники будут вынуждены использовать правильный DNS-сервер, а для мошеннических устройств они обычно будут использовать DNS-серверы, настроенные в сети по умолчанию. Однако могут быть устройства с жестко запрограммированными DNS-серверами Google, и если вы их заблокируете, они не смогут разрешиться. Похоже, что некоторые устройства Google могут попадать в эту категорию (возможно, они хотят отслеживать использование…). В этой ситуации вы захотите перенаправить DNS-запросы, а не блокировать их. Это возможно с использованием правила переадресации портов NAT.Я не пробовал делать это, так как блокировка ложных DNS-серверов отлично работает в моей сети. Конечно, имейте в виду, что есть и другие нестандартные DNS-порты, и если используется DoH (DNS over HTTPS), DNS-запросы все равно могут выходить из сети, потому что HTTPS обычно всегда разрешен. Эта блокировка предназначена в основном для мошеннических устройств и начинающих пользователей, а не для технически подкованных пользователей-мошенников, потому что они могут найти способ обойти брандмауэр. Если у вас есть злонамеренный инсайдер, у вас уже есть большие проблемы.

Опция Значение
Действие Блок
Интерфейс DMZ
Протокол TCP / 9016 UDP 901 Протокол TCP / UDP 901 Порт источника любой
Назначение любой
Порт назначения 53 (DNS)
Описание Блокировать все остальные внутренние / внешние DNS-серверы
Разрешить доступ к сети DM interface

Это правило разрешает доступ к сетевому интерфейсу DMZ.Вы можете проверить связь с интерфейсом, и, если хотите, вы также можете получить доступ к веб-администрированию OPNsense с адреса интерфейса DMZ (но вы, конечно, можете заблокировать доступ с помощью другого правила, что неплохо для DMZ, поскольку вы разрешаете общедоступный доступ к вашему серверу (-ам)). Кроме того, это правило необходимо из-за следующего ниже правила брандмауэра, которое блокирует все частные сети. Без него сеть не имела бы доступа к Интернету, поскольку IP-адрес интерфейса / шлюза был бы заблокирован (см. Более подробное объяснение ниже).

DMZ
Опция Значение
Действие Пройдено
Интерфейс DMZ
Протокол
Протокол Источник Источник любой
Назначение Адрес DMZ
Порт назначения любой
Описание Разрешить доступ к сетевому интерфейсу DMZ
Блокировать доступ ко всем другим частным сетям
Чтобы изолировать сеть DMZ от других внутренних сетей, вам необходимо заблокировать доступ к ним.Самый простой способ — заблокировать все диапазоны частных IP-адресов, потому что при добавлении новых сетей вам не нужно обновлять список сетей для блокировки. Это гарантирует, что вы не забудете заблокировать любые новые сети, что является хорошей гарантией безопасности вашей сети.

Обратите внимание, что сама сеть DMZ использует частные IP-адреса, но вам не нужно беспокоиться о том, что правило блокирует что-либо в самой сети DMZ, потому что трафик между устройствами в одной сети остается в одной сети.Маршрутизация локального трафика в другие сети не требуется. Это означает, что вам не нужно исключать саму сеть DMZ при создании этого правила для сети DMZ. Однако вам необходимо разрешить доступ к IP-адресу интерфейса, чтобы разрешить доступ в Интернет, что было объяснено в правиле выше.

Если вы плохо знакомы с сетями, важно отметить, что вы не можете использовать правила брандмауэра в своем маршрутизаторе для блокировки доступа между двумя устройствами в одной сети. Вы можете заблокировать трафик между двумя разными сетями только тогда, когда трафик проходит между сетями.Чтобы трафик проходил между двумя физическими или логическими сетями, он должен быть маршрутизирован — это то, что маршрутизаторы делают лучше всего!

Если вы хотите заблокировать доступ между двумя устройствами в одной сети, вы можете использовать брандмауэры, установленные на самих устройствах. Если вы не можете установить брандмауэр на устройство, вам придется разместить их в разных сетях, чтобы предотвратить доступ.

9
Опция Значение
Действие Блок
Интерфейс DMZ
Протокол 9016 / UDP Протокол 9016 / UDP Порт источника любой
Назначение Частные сети
Порт назначения любой
Описание Заблокировать все остальные внутренние / частные сети
Я использовал псевдоним правила брандмауэра под названием «PrivateNetworks».Вы не увидите вариант «PrivateNetworks» в своих правилах, пока не создадите псевдоним. Псевдонимы удобны, когда вы многократно используете определенные значения. Это также помогает сделать правила более читабельными. Псевдонимы могут помочь уменьшить количество правил, которые вам нужно создать, поскольку они позволяют объединить несколько значений в один псевдоним.

Чтобы создать псевдоним, перейдите на страницу «Брандмауэр> Псевдонимы» и нажмите кнопку «+» в правом нижнем углу таблицы списка псевдонимов. Введите имя, например «PrivateNetworks».Вы захотите выбрать «Сеть (и)» в качестве «Типа». Введите 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 в качестве сетей. Сюда входят все диапазоны частных IP-адресов IPv4.

Разрешить доступ ко всему остальному трафику

Наконец, вы можете разрешить весь остальной трафик, который позволит вам получить доступ к любой внешней сети для обеспечения доступа в Интернет. Вы можете быть более строгим с этим правилом, но это правило будет действовать больше как потребительский маршрутизатор, который позволяет вам получить доступ ко всему в Интернете.Вы можете использовать это в качестве отправной точки, и вы можете отслеживать свой трафик, чтобы видеть, какие порты вы используете больше всего, и позволять только этим портам блокировать вещи дальше. В сети DMZ это, вероятно, было бы хорошей идеей, но если это ваша игровая сеть, например, вас может раздражать, если вам нужно разрешить доступ ко всем портам для всех ваших игр.

DMZ
Опция Значение
Действие Пройдено
Интерфейс DMZ
Протокол
Протокол Источники любой
Назначение любой
Порт назначения любой
Описание Разрешить доступ ко всему остальному трафику

9 сервер в DMZ для HTTPS

Это позволяет любому устройству в сети LAN получить доступ к веб-серверу в DMZ с IP-адресом 192.168.20.10. Я рекомендую создать псевдоним для вашего сервера, если вы планируете ссылаться на него в нескольких правилах. Это также делает правила более читабельными. Если у вас есть несколько служб, размещенных на одном сервере, но на разных портах, вы можете создать псевдоним с несколькими портами. Затем вы должны использовать псевдоним, а не конкретный номер порта. Использование псевдонима избавляет от необходимости создавать 3 отдельных правила для 3 разных номеров портов. Такой же подход можно использовать, если у вас несколько веб-серверов. Вы можете поместить их все в одно правило, используя псевдонимы.

9019 полностью функционирующая сеть DMZ! Имейте в виду, что эта конфигурация, хотя и более безопасна, чем плоская / одиночная сеть, все же более уязвима для атак, чем более продвинутая DMZ.Ваша внутренняя локальная сеть подвержена более высокому риску атаки, если ваш единственный маршрутизатор / брандмауэр скомпрометирован. Однако для более продвинутой домашней сети с довольно безопасной платформой, такой как OPNsense, которая получает частые обновления, этот подход может быть вполне достаточным для ваших домашних сетевых потребностей!


Как настроить DMZ на pFSense

В этом руководстве мы собираемся установить и настроить DMZ на нашем pFSense. DMZ (Демилитиризованная зона) помогает вам раскрыть ваши веб-сервисы и обеспечивает относительную безопасность этих сервисов.DMZ отделена от LAN, поэтому вы одновременно сохраняете безопасность своих ресурсов LAN.

По сути, DMZ — это просто еще одна (но отдельная) локальная сеть на вашем маршрутизаторе, за исключением того, что вы открываете эту сеть для Интернета.

Прежде чем мы начнем

Вот диаграмма DMZ, которую я скопировал из очень хорошей презентации pFSense, которую можно найти здесь — https://www.netgate.com/resources/videos/creating-a-dmz-on-pfsense.html. Она подробна и объясняет все аспект DMZ очень хорошо…

Возьмем, к примеру, веб-сервер с рисунка выше для этого руководства.Итак, вы хотите разместить и открыть свой веб-сайт в Интернете из своей сети.

Было бы очень плохо, если бы вы просто развернули этот веб-сервер в своей локальной сети и предоставили доступ к нему из Интернета. Если у вас есть нарушение безопасности на вашем веб-сервере или неправильная конфигурация на веб-сервере, ваши локальные компьютеры / серверы (файловый сервер, приложения, базы данных) также будут раскрыты.

Вот здесь-то и вступает в игру DMZ. Мы настроим интерфейс LAN на 192.168.1.0/24 , и именно здесь находятся наша внутренняя сеть и службы.Мы также настроим другую / отдельную локальную сеть, которую мы назовем DMZ. DMZ будет иметь диапазон адресов 10.10.1.0/24 . DMZ и LAN разделены межсетевым экраном.

В каждом сценарии эти сети также должны быть физически разделены, а не на одном коммутаторе. Маршрутизатор должен быть единственной точкой, где встречаются эти две сети. Ни на одной из машин не должно быть двух сетевых адаптеров для подключения к обеим сетям, потому что это противоречит цели.

Я делаю это внутри виртуализации (Hyper-V), поэтому я создал два виртуальных частных коммутатора.Один называется LABPrivateNet и предназначен для локальной сети, а другой — LABDMZNet — также частный коммутатор, предназначенный для DMZ.

Также у меня есть внешний коммутатор, который подключен к глобальной сети, и этот коммутатор назначен только pFSense с общедоступным IP-адресом.

Обычно вам не нужен доступ из DMZ в LAN. Есть определенные ситуации, в которых вы хотите это сделать, и это если вы получаете некоторые данные на веб-интерфейсе, который находится в DMZ, и эти данные должны попасть в серверную часть.Например, отправка / получение электронной почты или данных с клиентского портала … Но в этой ситуации вы просто пропустите нужный порт на сервер в локальной сети, который должен общаться.

Конфигурация

Я сделаю это внутри Hyper-V, поскольку мы уже установили там pFSense.

Виртуальные коммутаторы

Виртуальные коммутаторы на Hyper-V (вы можете реплицировать это на любое другое решение виртуализации)

Внешний коммутатор — только на pFSense — доступ в Интернет (фиксированный общедоступный IP-адрес)

LABPrivateNet — частные сети только для виртуальных машин — внутренняя локальная сеть

LABDMZNet — частная сеть только для машин внутри DMZ.

Назначение NIC (сетевой карты)

pFSense имеет три сетевые карты, которые подключены к следующим коммутаторам — External, LABPrivateNet и LABDMZNet

.

LABPrivateNet находится на 192.168.1.0/24

LABDMZNet находится на 10.10.1.0/24

Внешняя сеть имеет фиксированный публичный IP-адрес.

Машины в сетях

Внутренняя ЛВС

Внутри LABPrivate Net У меня есть две машины — Windows 10 Pro, которая является сетевым клиентом, и LABDC, которая является машиной Windows Server 2019.

К обеим машинам подключена только сеть LabPrivateNet

LABDC имеет IP 192.168.1.2, а машина Win10Client имеет IP 192.168.1.3

DMZ

A имеет только один компьютер в сети DMZ, и это LABWeb1, основанный на Windows Server 2019

Эта машина имеет только один сетевой адаптер, помещенный в LABDMZNet, и имеет IP-адрес 10.10.1.2/24

У меня есть простой веб-сервер, поэтому мы можем его протестировать.

Мы также протестируем общие файловые ресурсы между LAN и DMZ, чтобы вы могли увидеть, как работает блокировка / разрешение трафика между LAN и DMZ.

Хорошо, приступим к работе.

Конфигурация DMZ

Я уже выполнил руководство по установке и настройке pFSense, поэтому я не буду повторять всю настройку интерфейса. Я предполагаю, что у вас установлен pFSense и настроены интерфейсы WAN и LAN.

В части настройки я уже упоминал, что создал сеть DMZ для виртуальной машины pFSense.

Теперь мы собираемся настроить это внутри pFSense.

В интерфейсе LAN pFSense находится на https: // 192.168.1.1, поэтому мы войдем туда для администрирования нашего pFSense

Перейти к интерфейсу | Задания

Вы должны увидеть, что помимо порта WAN и LAN у вас теперь есть еще один доступный порт, нажмите Добавить

Нажмите «Сохранить»

А теперь нажмите на созданный интерфейс OPT1

Мы включим интерфейс , изменим имя с OPT1 на DMZ , в разделе «Тип конфигурации IPv4» выберите Статический IPv4 , а в статической конфигурации IPv4 я добавлю IP 10.10.1.1 с 24-битной маской подсети

Наконец, я оставлю непроверенными все в разделе «Зарезервированные сети», хотя мы могли бы блокировать богонные сети и даже частные сети, но только в том случае, если вам не нужен доступ к DMZ из локальной сети. Это должно оставаться включенным, если вы планируете получать доступ к службам из LAN в DMZ, особенно если у вас только один общедоступный IP-адрес. Вам нужно будет настроить разделение DNS и доступ из локальной сети в DMZ через локальную сеть (это в сценарии, когда у вас есть только один общедоступный IP-адрес, через который обе сети выходят в Интернет)

Сохранить

После того, как вы нажмете «Сохранить», в верхней части экрана появится кнопка «Применить изменения».

Создание правил брандмауэра для DMZ

Мы создали сеть DMZ, но машина LABWeb1, которая находится внутри сети DMZ, не может получить доступ в Интернет / поиск обновлений…

Все эти конфигурации зависят от вас и зависят от ваших потребностей.Я бы не советовал подключать все порты к Интернету, а вместо этого определите точные порты и разрешите им проходить через брандмауэр.

Межсетевой экран | Правила | DMZ

Список пуст, и вы не можете ничего делать в сети с машин внутри DMZ.

Вот несколько хороших рецептов конфигурации для настройки брандмауэра LAN / DMZ — https://docs.netgate.com/pfsense/en/latest/recipes/example-basic-configuration.html#setup-isolating-lan-and-dmz- каждый с неограниченным доступом в Интернет

Мы просто разрешим трафик на порты 80, 443 (HTTP, HTTPS) и 53 (DNS), если мы хотим получить доступ в Интернет, обновление Windows…

Выберите Добавить в нижней части брандмауэра | Экран правил

Пройдем вместе для правила HTTPS 443, остальное то же самое, просто выберите другой порт

Мы пропустим это правило, выберем DMZ в качестве интерфейса, нам также нужны IPv4 и TCP.

Под источником выберем DMZ net

В разделе «Назначение» мы выберем любой и диапазон портов назначения HTTPS 443. Все остальные параметры я оставил как есть и нажал «Сохранить

».

Применить изменения

Вы можете повторить это для портов 80 и 53. Для DNS (порт 53) вам нужно будет выбрать TCP / UDP! Вот как выглядят мои правила для DMZ, и теперь мой веб-сервер может выходить в Интернет.

Вам не нужно выполнять эти правила, все зависит от вас, это было больше, чтобы показать вам, как это делается и где это делается, если вы хотите, чтобы машины внутри зоны DMZ имели доступ к службам за пределами сети DMZ.

Я бы определенно не рекомендовал разрешить все правило, вместо этого разрешите нужные вам службы через брандмауэр DMZ.

Настройка веб-сервера в зоне DMZ

Хорошо, я поднял веб-сервер внутри DMZ.

Я создал простую «страницу» test.htm, на которой написано «тестирование сети» и содержит одно слово — DMZ

Я также уже назначил общедоступный статический IP-адрес pFSense своему общедоступному DNS, чтобы Интернет мог получить доступ к моему веб-сайту и моему test.htm по имени.

И если я попробую свой домен с test.htm — не повезло

Конечно, потому что мы должны пропускать веб-трафик из Интернета на наш веб-сервер внутри DMZ.

Хорошо, прежде чем мы это сделаем, мы сначала сделаем еще кое-что.

Перейти к межсетевому экрану | Псевдонимы и в разделе IP выберите Добавить

.

Под именем я ввел веб-сервер (поскольку он будет указывать на мой веб-сервер), тип — это хост, а под IP я ввел 10.10.1.2 (IP-адрес моего веб-сервера внутри DMZ).Вы также можете заполнить Описание, оно поможет вам распознать, что есть к чему.

Сохранить и применить

Я сделал то же самое для виртуальной машины LABDC, которая находится внутри локальной сети с IP-адресом 192.168.1.2. Нам это понадобится позже.

Вот как выглядят мои IP псевдонимы в итоге.

Вы также можете создавать псевдонимы для IP-адресов, URL-адресов… Это облегчит вам жизнь позже, когда вы создадите правила.

Хорошо, после того, как мы закончили с псевдонимами, вернемся в меню Firewall | выберите NAT

Выбрать переадресацию порта | Добавить

Интерфейс: WAN, Семейство адресов: IPv4, Протокол: TCP, Назначение: WAN-адрес, Диапазон портов назначения: HTTP

Мы можем оставить исходный код пустым, так как мы хотим, чтобы наш веб-сайт был доступен из всего Интернета

Redirect target IP: Один хост, затем в поле Address начните вводить веб-сервер (псевдоним, который мы ввели ранее) — он должен предложить вам псевдоним, который вы ввели.Целевой порт перенаправления: http

Все остальное оставлю по умолчанию и сохраню | Применить

Так теперь выглядит наше правило

Создавая правило NAT для переадресации портов, мы автоматически также создали правило брандмауэра для этого на интерфейсе WAN

С этим правилом все, что приходит из Интернета в поисках веб-сайта (HTTP 80), будет направлено на нашу машину 10.10.1.2 (веб-сервер). Все идет нормально.

Давайте проверим, работает ли это сейчас

Да, мой простой веб доступен из Интернета !!

Это здорово.

Однако есть небольшая проблема. Эта веб-страница не будет доступна из нашей локальной сети. Он не будет доступен, потому что и LAN, и DMZ используют один и тот же общедоступный IP-адрес в этом сценарии, поэтому, указывая LAN на www.informaticar.net/test.htm, мы указываем его LAN на тот же общедоступный IP-адрес, который он использует, и он не будет Работа.

Итак, контроллер домена в локальной сети указывает на брандмауэр после того, как я вошел на www.informaticar.net/test.htm. Это не то, что делать.

Есть много способов решить эту ситуацию — от назначения нескольких общедоступных IP-адресов, выполнения всевозможных операций с DNS (на pFSense, на машинах с файлами хостов…)

Я собираюсь решить эту проблему с помощью метода Split DNS.

В локальной сети на машине LABDC я установил службу DNS. Внутри DNS-сервера на LABDC я создал новую зону прямого просмотра с именем informaticar.net

.

Внутри этой зоны я добавил новую запись A с именем www с IP-адресом 10.10.1.2

Кроме того, чтобы это сработало, вам нужно изменить настройку DNS-сервера сетевой карты, так что теперь в моей локальной сети каждая машина имеет настройку DNS 192.168.1.2.

В зависимости от конфигурации pFSense, возможно, вам придется открыть порт в правилах брандмауэра LAN для DMZ на порт 80.

После изменения настроек DNS я смог подключиться к своему веб-серверу даже из локальной сети. DNS может занять некоторое время, чтобы наверстать упущенное, так что наберитесь терпения.

Хорошо, мы решили это.

Проверка изоляции между DMZ и LAN

Я создам простой файловый ресурс на веб-сервере в DMZ, чтобы мы могли протестировать и посмотреть, как это работает, и сможет ли DMZ получить доступ к файлам в локальной сети и наоборот…

Это мои правила брандмауэра

Интерфейс WAN

Правила LAN

Правила DMZ

Таким образом, согласно этим правилам, и LAN, и DMZ могут подключаться к Интернету, а к веб-серверу, находящемуся внутри DMZ, можно получить доступ из Интернета.

Кроме того, сеть LAN может подключаться к протоколам HTTP и HTTPS внутри DMZ.

На практике и в производственных системах этот способ является хорошим, здесь нет правила разрешить все, и с его помощью вы можете легко контролировать, что происходит между сетями.

Хорошо, давайте откроем простой файловый ресурс в DMZ, я расскажу о каталоге c: \ temp.

Итак, общий путь \\ 10.10.1.2 \ temp

Давайте попробуем получить к нему доступ из локальной сети.

Недоступно — это хорошо.

Давайте теперь создадим два правила на стороне LAN в сети.

Итак, я создал два простых правила для локальной сети.

Я добавил правила для порта 445 (TCP) и 139 (TCP / UDP) из локальной сети на веб-сервер (10.10.1.2). Таким образом, это правило не будет работать даже для других машин в сети DMZ. Машины из локальной сети будут иметь доступ к общим файловым ресурсам только на веб-сервере (10.10.1.2) внутри DMZ

.

Давай проверим.

Работает! Я даже могу создать файл, так как каждый может писать в этот файловый ресурс.

Я так же сделал и наоборот. Я создал общий каталог внутри LAN на LANDC и попытался получить к нему доступ с веб-сервера в DMZ — мне не удалось.

Этот файловый ресурс работал, если я обращался к нему из локальной сети.

Итак, это все. Простой тест, работает ли ваш брандмауэр и достаточно ли хорошо вы разделяете трафик между LAN и DMZ.

Потому что, если эти две сети могут получить доступ друг к другу без ограничений, то DMZ не имеет смысла.

Заключение

Мы настроили простую DMZ для нашего веб-сервера — она ​​работает.Мы можем получить к нему доступ из Интернета, а также из внутренней локальной сети с разделенным DNS. LAN и DMZ также контролируются и разделяются без возможности доступа DMZ или сети LAN ко всем ресурсам между собой без настройки надлежащих правил межсетевого экрана.

Заявление об ограничении ответственности

Как создать настройку VLAN с использованием DMZ (внутренняя + гостевая)

Несмотря на то, что Airtame может одновременно обрабатывать только одно соединение WiFi и одно соединение Ethernet, существуют различные методы, позволяющие вашим внутренним и гостевым пользователям осуществлять потоковую передачу на один Airtame устройства без необходимости переключать используемый Wi-Fi.

Метод, представленный в этой статье, является наиболее рекомендуемым, поскольку он наиболее безопасен, и вся безопасность обеспечивается вашим брандмауэром с использованием «демилитаризованной зоны » или DMZ. Airtame будет иметь 1 IP-адрес, который будет доступен из вашей внутренней и гостевой сети. Установка и конфигурация будут отличаться от поставщика к поставщику, но общие шаги следующие:

  1. Создайте новую VLAN на вашем брандмауэре, создайте IP-адресацию для этой новой подсети и назначьте эту VLAN новой зоне трафика на вашем брандмауэре. , д.g DMZ.

  2. Теперь создайте правила безопасности в базе правил межсетевого экрана. Правила должны разрешать доступ только из зон внутренней и / или гостевой сети в новую зону трафика. Не рекомендуется разрешать трафик между вашими внутренними сетями и гостевыми сетями. На рисунке ниже показано, какие порты должны быть открыты для новой зоны трафика.

Обратите внимание, что Airtame и Airtame Cloud используют временные метки, предоставляемые серверами NTP.Это означает, что необходим доступ к серверу NTP.

3. После добавления применимых правил брандмауэра вам необходимо настроить маршрутизацию на вашем брандмауэре / устройстве безопасности. Процесс для этого будет отличаться от поставщика к поставщику. Ниже приведены ссылки на руководства по настройке от различных поставщиков.

Настройка статических маршрутов для устройств безопасности Palo Alto
Настройка статических маршрутов для устройств безопасности CheckPoint
Настройка статических маршрутов для устройств безопасности Cisco

4.Следующим шагом будет настройка сетевых служб, таких как DHCP и DNS, на вашем брандмауэре. Действия по настройке зависят от поставщика, поэтому обязательно ознакомьтесь с руководствами администратора. Ниже вы можете найти ссылки от различных поставщиков.

Настройка DHCP на устройствах Palo Alto
Настройка DNS на устройствах Palo Alto

Настройка DHCP на устройствах CheckPoint
Настройка DNS на устройствах CheckPoint

Настройка DHCP на устройствах безопасности Cisco
Настройка DNS на устройствах безопасности Cisco


Вы можете писать на с помощью синего окна чата в правом нижнем углу или отправьте электронное письмо на адрес [адрес электронной почты защищен], и мы будем здесь, чтобы помочь вам.


Если у вас возникнут технические проблемы, не забудьте включить журналы устройства Airtame в свое сообщение.

для обновлений продукта, чтобы оставаться в курсе будущих функций.

DMZ для чайников | ZDNet

Вы заказали новый брандмауэр и хотите как можно скорее запустить его в своей сети. Ваша первая реакция, вероятно, состоит в том, чтобы оставить позади каждого клиента и сервер. Это нормально для небольшой компании, но более крупной компании следует подумать о создании сети безопасности периметра, называемой демилитаризованной зоной (DMZ), которая отделяет внутреннюю сеть от внешнего мира.

DMZ — лучшее место для вашей публичной информации. Таким образом клиенты, потенциальные клиенты и посторонние могут получить необходимую им информацию о вашей компании без доступа к внутренней сети. Ваша конфиденциальная и служебная информация компании должна храниться за вашей демилитаризованной зоной во внутренней сети. Серверы в демилитаризованной зоне не должны содержать конфиденциальную коммерческую тайну, исходный код или служебную информацию. Нарушение ваших серверов DMZ должно в худшем случае вызвать раздражение в виде простоя, пока вы восстанавливаетесь после нарушения безопасности.

Вот примеры систем для DMZ:

  • Веб-сервер, на котором хранится общедоступная информация.
  • Внешний интерфейс сервера транзакций электронной коммерции, через который размещаются заказы. Держите серверную часть, где вы храните информацию о клиентах, за брандмауэром.
  • Почтовый сервер, который пересылает внешнюю почту внутрь.
  • Службы аутентификации и серверы, позволяющие выйти во внутреннюю сеть.
  • Конечные точки VPN.
  • Шлюзы приложений.
  • Тестовые и промежуточные серверы.

Обычно в демилитаризованной зоне развертываются такие службы, как HTTP для общего использования, безопасный SMTP, безопасный FTP и безопасный Telnet. Если вы используете брандмауэр для блокировки всех входящих HTTP-соединений, направленных во внутреннюю сеть, люди извне не смогут просматривать вашу внутреннюю сеть. После блокировки внешнего HTTP отделы вашей организации могут безопасно развертывать веб-серверы исключительно для внутреннего использования.

Если вы хотите развернуть защищенный FTP и защищенные хосты-бастионы Telnet, которые имеют встроенные механизмы аутентификации, такие как S / Key или идентификаторы токенов на основе времени, ваша DMZ — это место для их размещения.Поскольку электронная почта начинается с прохождения через общедоступные сети, она изначально небезопасна. Имея шлюз SMTP в вашей демилитаризованной зоне, который передает электронную почту во внутренний почтовый концентратор, вы можете разместить потенциально зараженную общедоступную электронную почту на шлюзе SMTP, инокулировать ее антивирусным программным обеспечением, а затем безопасно поместить ее во внутреннюю почту. концентратор, настроенный для получения «очищенной» почты от вашего защищенного SMTP-шлюза.

Чтобы создать DMZ, ваш брандмауэр должен иметь три сетевых интерфейса, как это обычно бывает в настоящее время.Один интерфейс идет внутрь вашей сети, один — в ненадежный Интернет, а третий — в демилитаризованную зону. DMZ состоит из серверов, которые необходимо подключать за пределами брандмауэра. Серверы, содержащие критически важные данные, защищены межсетевым экраном (см. Рисунок 1).

При настройке набора правил брандмауэра вы хотите наложить жесткие ограничения на трафик, который вы пропускаете во внутреннюю сеть, и использовать другие и, возможно, менее строгие правила для вашей DMZ.Например, вы можете разрешить HTTP для веб-сервера в вашей DMZ, но не разрешить HTTP для вашей внутренней сети. Системы в демилитаризованной зоне должны быть максимально надежно заблокированы. Вы можете использовать устройства блокировки приложений, чтобы предотвратить несанкционированное поведение в вашей демилитаризованной зоне, и у вас может быть установлена ​​система обнаружения вторжений в вашей демилитаризованной зоне. Вы можете довольно просто контролировать машины в DMZ, потому что вы знаете, какие порты необходимо использовать, и как широкая публика или ваши внутренние сотрудники должны использовать серверы DMZ.

Напротив, вам нужны строго ограничительные правила брандмауэра для трафика, идущего во внутреннюю сеть, по разным причинам. Во-первых, поскольку безопасность обычно является второстепенным, часто бывает так, что безопасность вашей внутренней сети обычно находится в каком-то туманном или неизвестном состоянии, поэтому вам необходимо создать барьер проникновения. Во-вторых, пользователи внутри вашей сети захотят максимальной гибкости и, следовательно, будут отвергать внутренние механизмы безопасности, насколько это возможно.По сути, вам необходимо защитить этих пользователей и их системы от их собственной наивности.

Мне нравится аналогия, которую я слышал, как Кристиан Бирнс, вице-президент по стратегиям глобальной безопасности META Group, на недавней конференции по безопасности произнес: «Вы не можете вскипятить океан, но вы можете вскипятить кастрюлю с водой». Другими словами, вы не сможете защитить все системы в своей сети, но вы можете защитить небольшую группу систем — те, что находятся в вашей демилитаризованной зоне.

Достаточно защитить несколько систем, чтобы создать периметр безопасности вокруг вашей внутренней сети.Если ваша внутренняя сеть разрослась до состояния размером с океан, установка DMZ — это проект безопасности, имеющий определенную область действия, и это то, что вы можете превратить в историю успеха в области безопасности.

Лаура Тейлор — технический директор и основатель Relevant Technologies. Г-жа Тейлор имеет 17-летний опыт работы в сфере ИТ с акцентом на информационную безопасность. Она работала директором по информационной безопасности в Navisite и ИТ-директором Schafer Corp., подрядчика по разработке оружия для Министерства обороны.

.

Добавить комментарий

Ваш адрес email не будет опубликован.

Опция Значение
Действие Пройдено
Интерфейс LAN
Протокол TCP Порт источника Порт источника TCP
любой
Назначение 192.168.20.10
Порт назначения HTTPS
Описание Разрешить доступ к веб-серверу в сети DMZ