D-Link
Вопрос: Что такое DMZ и как настраивать эту функцию на Интернет- маршрутизаторах D-Link серии DI-XXX?Ответ:
DMZ — (Demilitarized Zone) — это дополнительная возможность Интернет- маршрутизаторов серии DI-XXX, предназначенная для предоставления доступа к внутренним (то есть находящимися за маршрутизатором и защищенных NAT-ом) серверам (таким, как почтовый, WWW, FTP) пользователям из Интернет. Но, в отличие от «Virtual Servers», когда отображается только один порт, в данном случае запрос извне на любой порт внешнего (WAN) интерфейса отображается на такой же порт компьютера, указанного в настройках DMZ.
То есть, все открытые порты на этом компьютере доступны снаружи.
Это может создать угрозу безопасности для данного компьютера, поэтому на данном компьютере возможно будет необходимо установить программный межсетевой экран для защиты. Рекомендуется использовать данный метод только тогда, когда другими способами не удается обеспечить правильную работу сервисов на этом компьютере.
Например, для работы некоторых игровых серверов требуется обеспечить отображение большого количества портов или адреса портов назначаются таким сервером динамически в широком диапазоне.
Для настройки DMZ нужно настроить подключение к Интернет- маршрутизатору по локальной сети, подключиться web-браузером по IP-адресу Интернет- маршрутизатора, ввести имя и пароль для входа на страницу настроек (согласно прилагаемой к нему документации).
После этого перейти на закладку Advanced -> DMZ
(далее шаги настройки и снимки экрана приводятся на примере DI-604H F/W V3.06b01 , для других устройств все настраивается аналогичным образом).
Увидим следующую страничку (рис.1)
- Выбираем — «Enabled
- Указываем IP-адрес компьютера, который назначается в DMZ
- Нажимаем кнопку «Apply» — после этого появляется сообщение о перезагрузке, после чего через некоторое время снова появляется эта страничка, где мы видим, что наши настройки задействованы.
Поздравляем, настройка соединения завершена.
Проверить работоспособность можно, обратившись из Интернета на внешний адрес вашего маршрутизатора (адрес WAN-порта)
ВНИМАНИЕ ! Необходимо отключать функцию «Virtual Servers»! DMZ и виртуальные серверы — «Virtual Servers» вместе работать не будут!
Что такое DMZ на ротуере и как включить эту функцию
Функциональные возможности Wi-Fi роутера довольно широки, но некоторые опции этого сетевого устройства совсем незнакомы некоторым пользователям. Безусловно определенные функции в интерфейсе устройства рядовым юзерам ни к чему, но если нужно решить нетривиальные задачи, то знать о них просто необходимо. Например, геймерам, имеющим дома игровой сервер или обезопасившим себя системой видеонаблюдения, чтобы открыть доступ к DVR видеорегистратору следует знать, что такое DMZ в роутере и как настроить виртуальную зону.
Многие рекомендуют в таких случаях сделать проброс портов. Это действительно актуально, но в этом случае есть риск столкнуться с некоторыми проблемами. Нередко под видеорегистратор для веб-интерфейса используется 80-тый порт, который изменить нельзя и вместе с этим на маршрутизаторе он тоже занят, а значит проброс портов в этом случае неактуален. Есть бывалые ребята, которые перенаправляют сетевой поток с участием брандмауэра, но на мой взгляд лучше воспользоваться встроенной в роутер опцией DMZ.
DMZ — это аббревиатура от выражения DeMilitarized Zone, что переводится как Демилитаризованная зона. По сути это специализированный локальный сегмент сети, который содержит в себе общедоступные сервисы с полным открытым доступом для внутренней и внешней сети. Одновременно с этим, домашняя (частная) сеть остается закрытой за сетевым устройством и никаких изменений в ее работе нет.
После активации этой функции, ДМЗ-хост будет доступен из Всемирной сети с полным контролем над своей безопасностью. То бишь, все открытые порты, находящиеся в этой зоне, будут доступны из Интернета и локальной сети по доверенному IP-адресу. Таким образом DMZ обеспечивает необходимый уровень безопасности в локальной сети и дает возможность свести к минимуму ущерб в случае атаки на общедоступный (добавленный в ДМЗ) IP. Как вы понимаете, атакующий имеет только доступ к устройству, которое добавлено в Демилитаризованную зону.
Если вы добавили в эту зону регистратор, то можно просто изменить пароль, а вот игровой сервер нуждается в дополнительной настройке контроля и фильтрации в брандмауэре. Следует сказать, что, например, для компьютера, который добавлен в качестве узла DMZ, нужно отключить функцию DHCP-клиента (автоматическое получение IP-адреса) и присвоить ему статический IP. Это необходимо сделать из-за того, что функция DHCP может менять IP-адрес устройства.
Как включить и настроить DMZ на Wi-Fi роутере / модеме.
Бюджетные модели этих сетевых устройств не имеют возможности создать полноценную зону для всех участников в нашем сегменте сети, но нам это и не нужно. Главное, что есть возможность добавить в Демилитаризованную зону один IP-адрес видимой станции. Этим действием, мы сделаем DMZ-хост и откроем доступ из внешней сети ко всем его доступным портам.
Зайдите в интерфейс маршрутизатора и в административной панели отыщите вкладку с названием DMZ. Например, у сетевых устройств от компании ASUS данная вкладка расположена в «Интернет» -> «DMZ».
На роутере компании TP-Link включить DMZ можно в разделе «Переадресация» (Forwarding) -> «DMZ».
К сожалению, от других производителей сетевых устройств для создания скриншота сейчас под рукой нет, но где найти эту функцию в других моделях на словах скажу. Компания D-Link расположила ее в «Межсетевом экране», а Zyxel Keenetic может добавить эту опции в параметрах NAT.
Как видите включить DMZ на роутере достаточно просто. Желаю, чтобы различного рода атаки обходили вас стороной.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Читайте также
Поделитесь в соцсетях:
4
0
А если ip-адресс не белый?
0
0
Вопрос: только один IP адрес можно вводить для этой зоны?
5
0
То есть после активации DMZ всякие пробросы портов уже не имеют смысла?
12
0
Какой ip адрес нужно указать
0
0
Вы извините, но тогда бы статья имела совсем другой заголовок. А в чём собственно сложность?
0
0
Нармас
1
0
Так что же не показал, как этим пользоваться? Включить пол дела, а как войти?
1
0
Спасибо за критику. Учтём. Мы полагали, что многим знакомо значение этого слова, но видимо ошибались. Дополню в комментарии. Демилитаризованная зона — сегмент сети, который имеет общедоступные сервисы и отделяет их от частных. К общедоступным можно отнести, например, сервер, который физически находится в локальной сети, но должен быть доступен из внешней сети Интернет. Одновременно с этим, другие локальные клиенты изолированы от внешнего доступа. Такой подход создает дополнительный уровень безопасности и в случае атаки, киберприступнику будет сложно получить доступ к изолированным клиентам, нежели к устройству находящемуся в демилитаризованной зоне (то есть в пограничной зоне). Всего доброго!
2
0
Спасибо за информацию. Но перевод демилитаризированная, ничего не даёт… Если переводите так переводите на Русский, а не тоже слово только на кирилице…
DMZ — что это в роутере и как его правильно настроить
Аббревиатура DMZ расшифровывается как DeMilitarized Zone, то есть «Демилитаризованная зона». Неожиданно и непонятно какое это отношение имеет к роутеру. Однако на самом деле это очень полезная в ряде случаев вещь. Об этом и пойдёт речь в данной статье.
Назначение и использование DMZ
DMZ – это сегмент сети, создаваемый для сервисов и программ, которым требуется прямой доступ в интернет. Прямой доступ необходим для торрентов, мессенджеров, онлайн-игр, некоторых других программ. А также без него не обойтись, если вы хотите установить камеру видеонаблюдения и иметь к ней доступ через интернет.
Если компьютер, на котором запущена программа, подключается к интернету напрямую, минуя роутер, то необходимости использовать DMZ нет. Но если подключение осуществляется через роутер, то «достучаться» до программы из интернета не получится, потому что все запросы будут получены роутером и не переправлены внутрь локальной сети.
Для решения этой проблемы обычно используют проброс портов на роутере. Об этом на нашем сайте есть отдельная статья. Однако это не всегда удобно и кто-то предпочитает настраивать DMZ. Если вы настроите DMZ на вашем роутере и добавите в неё нужный узел сети, например, ПК, на котором запущен игровой сервер или видеорегистратор, к которому подключена IP-камера, этот узел будет виден из внешней сети так, как будто он подключен к интернету напрямую.
Следует внимательно относиться к этим всем настройкам. Так как и проброс портов и DMZ — это потенциальная дыра в безопасности. Для повышения безопасности в крупных компаниях зачастую создают отдельную сеть для DMZ. Для того, чтобы закрыть доступ из сети DMZ к другим компьютерам, используют дополнительный маршрутизатор.
Настройка DMZ на роутере
Роутеры позволяют добавить в DMZ только одно устройство. Роутер должен получать «белый» IP-адрес. Только в этом случае будет возможен доступ к нему из глобальной сети. Информацию об этом можно получить у вашего интернет провайдера. Некоторые провайдеры бесплатно выдают внешний IP-адрес, но зачастую за эту услугу требуется дополнительная плата.
Установка статического IP-адреса
Добавить в DMZ можно только компьютер, имеющий статический IP-адрес. Поэтому первым делом меняем его. Для этого открываем свойства сетевого подключения и в настройках TCP/IP прописываем статический IP-адрес в диапазоне адресов вашей сети. Например, если у вашего роутера IP 192.168.0.1, то для компьютера можно указать 192.168.0.10. Маска подсети стандартная – 255.255.255.0. А в поле «Шлюз» нужно указать адрес вашего роутера.
Следует обратить внимание, что IP-адрес, заданный компьютеру не должен быть в диапазоне адресов, раздаваемых DHCP сервером.На этом настройка компьютера завершена и можно переходить к настройкам роутера.
Настройка роутера
Первым делом DMZ на роутере нужно включить, поскольку по умолчанию она всегда отключена.
Находим соответствующий пункт меню в веб-интерфейсе устройства:
- На роутерах Asus нужная вкладка так и называется – DMZ.
- На роутерах TP-Link откройте пункт «Переадресация», а в нём будет подпункт DMZ.
- У D-Link ищите пункт «Межсетевой экран».
В любом случае на вкладке настроек нужно поставить галочку в поле «Включить». А рядом найти поле, которое называется «Адрес узла DMZ» или «Адрес видимой станции» (в зависимости от модели роутера могут быть другие варианты). В это поле вписываем статический адрес компьютера или другого устройства, которое нужно добавить в DMZ. В нашем случае это 192.168.0.10.
Сохраните настройки и перезапустите роутер. На этом всё: все порты на выбранном ПК открыты. Любая программа, которая использует входящие подключения, будет думать, что выходит в сеть напрямую. Все остальные программы будут работать в штатном режиме.
Ниже приведен пример настройки маршрутизатора с англоязычным интерфейсом.
Создание DMZ удобный способ упростить работу нужных программ, однако следует иметь в виду, что открытый доступ к ПК повышает риски сетевых атак и заражения вирусами.
Поэтому на устройстве, используемом в качестве узла DMZ, нужно обязательно установить файервол и антивирусную программу.
Что такое DMZ в роутере и как это настроить?
Сегодня я расскажу об очень полезной функции для тех, кто держит дома игровой сервер, либо надо открыть доступ к регистратору камер видео-наблюдения из внешней сети. Как правило, для этих целей обычно приходится пробрасывать порты, но иногда можно столкнуться с рядом сложностей. Например, когда на на видео-регистраторе под веб-интерфейс используется порт 80 и сменить его нельзя, а на WiFi-роутере он тоже занят и прокинуть его не получится. Некоторые админы прибегают к перенаправлению с помощью файрвола. Но есть способ проще — просто добавить IP в специальную зону DMZ на роутере. После этого доступ к устройству из-вне будет открыт полностью. Давайте остановимся на этом подробнее.
Демилитаризованная зона — DMZ (DeMilitarized Zone) — это специальный сегмент локальной сети в который выводятся сервисы, к которым должен быть открыт полный доступ как из внутренней сети, так и из внешней. При этом частная сеть по-прежнему закрыта за роутером. Никаких отличий в её работе не будет. А вот ДМЗ-хост теперь полностью доступен из Интернета и обеспечивает свою безопасность сам. Иными словами все его открытые порты видны из вне по «белому» IP-адресу. В случае с регистратором достаточно просто изменить использующийся по-умолчанию пароль, а вот если это игровой сервер, то стоит уделить особое внимание настройкам межсетевого экрана.
Настройка Демилитаризованной Зоны на роутере или модеме
Простые недорогие маршрутизаторы организовать полноценную Демилитаризованную Зону для целого сегмента не могут, да от устройств этого класса такого и не требуется. Зато они позволяют вывести в неё только один из узлов сети, сделав из него DMZ-хост, открыв во внешнюю сеть все его доступные порты. А нам это и нужно! Как это сделать?
Запускаем браузер, вводим ip-адрес роутера (обычно это 192.168.1.1 или 192.168.0.1) и попадаем в веб-конфигуратор. А дальше надо в меню найти раздел «DMZ». У устройств от Asus — это вкладка в разделе «Интернет»:
На TP-Link — это подпункт раздела «Перенаправление» (Forwarding):
У роутеров D-Link эта функция находится в Межсетевом экране. На некоторых моделях, у Zyxel Keenetic например, она может быть расположена в параметрах NAT.
Алгоритм дальнейших действий прост — надо включить функцию, поставив соответствующую галочку.
Ниже будет поле, в которое необходимо ввести IP-адрес сервера, компьютера или видео-регистратора, который мы выведем в ДМЗ.
Применяем настройки. Готово!
DMZ – что это в роутере, настройка и использование
Владельцы домашних Wi-Fi-роутеров иногда могут столкнуться с тем, что некоторые программы или игры работают с ограничениями. В некоторых случаях советуется использовать переадресацию в маршрутизаторе. Существует несколько способов переадресации, каждый из которых имеет некоторые преимущества и недостатки. Одним из таких является DMZ. В большинстве моделей сетевых устройств этот пункт присутствует в параметрах, но далеко не каждый знает, что это такое и для чего его использовать. Если вы тоже не знаете, эта информация для вас.
Что такое DMZ
Является физическим или виртуальным сервером, служащим как буфер между локальной сетью и интернетом. Применяется для предоставления пользователям локальной сети услуг электронной почты, удалённых серверов, веб-приложений и других программ, которые требуют доступ во Всемирную паутину. Для доступа к внутренним ресурсам извне нужно пройти процедуру авторизации, попытка войти для не авторизованных пользователей успехом не увенчается. В большинстве случаев это настройка маршрутизатора.
Название происходит от английской аббревиатуры, обозначающей демилитаризованную зону как барьер между враждующими территориями. Эта технология применяется, когда вы создаёте домашний сервер, доступ к которому должен осуществляться с любого компьютера, подсоединённого к интернету. Настоящая демилитаризованная зона используется в больших корпоративных сетях с высоким уровнем внутренней защиты. Домашние модели роутеров полностью открывают компьютер для доступа к интернету.
В каких случаях используется DMZ
Учитывая открытость компьютера, метод считается довольно опасным, поэтому стоит использовать его, когда другие методы переадресации не дают нужного результата.
- Для работы приложений, требующих открытие всех доступных портов. Таковых мало, но они встречаются.
Команда netstat -a позволяет узнать, какие порты (подключения) являются открытыми
- Хостинг домашнего сервера. Иногда нужно расположить общедоступный ресурс у себя дома, поэтому эта настройка будет незаменимой для отделения сервера от локальной сети.
- Использование игровых консолей. В большинстве моментов автоматическая настройка переадресации роутера позволяет использовать консоли для игры онлайн без дополнительных манипуляций. Но в некоторых случаях только DMZ даст желаемый эффект.
Настройка DMZ в роутере
Чтобы DMZ успешно работал в вашей сети, настройка маршрутизатора должна быть выполнена корректно. Это абсолютно не сложно. Войдите в установки через веб-интерфейс. Обычно IP-адрес, логин и пароль входа указывают на самом роутере или в его инструкции. Следующий алгоритм и рекомендации представляют собой общий принцип действия.
- В зависимости от производителя, этот раздел может находиться либо во вкладке «Настройка интернета», либо «Переадресация».
- Первым делом в установках DHCP-сервера нужно присвоить статичный адрес устройству, на котором будет организован сервер;
- После этого во вкладке DMZ активируйте пункт «Включить» и добавьте присвоенный IP-адрес, сохраните и перезагрузите устройство;
- Побеспокойтесь о том, чтобы на всех устройствах сети были установлены актуальные обновления безопасности, так как, несмотря на удобство, они подвержены дополнительному риску.
- Для внешнего доступа у вас должен быть «белый» IP адрес.
Далее в статье мы представляем более подробное руководство для различных моделей, чтобы окончательно развеять любые вопросы по точной наладке данной опции.
TP-Link
В старой версии прошивки эта функция расположена в разделе «Переадресация», который можно открыть на контрольной панели слева. Чтобы произвести активацию, установите флажок напротив соответствующей строчки «Включить». После этого не забудьте сохранить изменения.
В новой версии перейдите во пути «Дополнительные настройки» → «NAT переадресация» → «DMZ». Затем включите её, введите IP адрес устройства и сохраните.
D-Link
Нужную нам опцию можно найти в категории «Межсетевой экран». В светлой версии она находится в левой области рабочего окна, а для темной нужно предварительно выполнить переход в «Расширенные настройки».
После чего производим включение функции, вводим IP-адрес (или выбираем из готового списка) и нажимаем на «Применить».
Важно! Владельцы некоторых моделей могут увидеть параметр «NAT Loopback», предоставляющий возможность проверять пакеты, которые отправляются из локальной сети во внешнюю. Не рекомендуем применять, если у вас слабый ПК, так как во время его работы происходит существенная нагрузка на процессор.
ASUS
Слева выбираем раздел «Интернет», а далее вкладку «DMZ». Активируем функцию, заполняем «IP адрес видимой станции» и щёлкаем на «Применить».
Zyxel Keenetic
Новая прошивка. В первую очередь устройство следует зарегистрировать. Для этого перейдите в «Список устройств» и кликните по нужному аппарату. В следующем окне введите имя и подтвердите регистрацию. После этих манипуляций ваше устройство появится в перечне зарегистрированных, снова найдите его и откройте настройки. В открывшемся диалоге установите флажок напротив строки «Постоянный IP-адрес». Далее перейдите в «Переадресацию» и создайте новое правило со следующими параметрами:
- Устанавливаем галочку в поле «Включить правило».
- Описание — любое.
- Вход — укажите используемое в настоящее время Интернет-подключение.
- Выход — название устройства, добавляемое в ДМЗ.
- Протокол — выбираем пункт «TCP/UDP (все порты и ICMP)».
- Расписание работы —установите режим на свой выбор, однако обычно сервер «Работает постоянно».
Старая прошивка. В меню «Домашняя сеть» (иконка двух мониторов) откройте вкладку «Устройства» и кликните на свой гаджет, который станет хостом. В этом разделе также можно добавить устройство, если вы знаете его MAC-адрес. При регистрации не забудьте включить «Постоянный IP-адрес», в строчке «Доступ в интернет» задать значение «Разрешен» и сохранить изменения. После этих действий совершите переход в раздел «Безопасность» → «Трансляция сетевых адресов» и нажмите на «Добавить правило». Здесь вам нужно заполнить следующие пункты:
- Описание — на ваш выбор.
- Интерфейс — выберите то соединение, через которое реализован доступ к Интернет.
- Протокол — здесь может быть только единственное значение «TCP/UDP (все порты и ICMP)».
- Перенаправить на адрес — пропишите свой сервер.
Tenda
V1-3: Выполните вход в «Расширенные настройки» и найдите конфигурацию хоста. Перетащите ползунок в состояние «Вкл.» и пропишите последнее число локальной машины, для которой будут доступны абсолютно все порты.
V4: Перейдите по вкладке» Advanced» и пролистайте страничку до пункта «DMZ Host», затем установите флажок напротив «Enable» и введите адрес хоста.
LinkSys
Для того чтобы попасть в меню открытия портов, зайдите в «Application & Gaming». Затем включите параметр «Enebled», в пункте «Source IP Address» установите перечень тех адресов, для которых вы хотите предоставить доступ к выбранному устройству. Советуем выбирать «Any IP Address» (Все IP адреса). В строке «Destination» укажите IP или MAC адрес. Кроме того, нажав по кнопке «DHCP Client Table», вы можете увидеть все подключенные аппараты. Завершите настройку сохранением настроек «Save Settings».
Заключение
Теперь вы знаете, что такое DMZ и как происходит настройка. Обычно в домашних условиях его применять практически не приходится.
Используете ли вы эту технологию на своём роутере? Для каких целей? Приглашаем оставлять комментарии.
Настройка DMZ Хоста На Роутере за 5 Минут
В этой статье я расскажу, что такое DMZ хост или сервер на роутере. А также как открыть порты с помощью функции DMZ. Раз вы уже читаете эту статью, то наверняка вы уже знаете, что такое виртуальный сервер и для чего это нужно делать. Если нет, то читаем тут. Если коротко — то открыть порт на роутере нужно в том случае, когда вы с компьютера обмениваетесь файлами с другими пользователями интернета. Например, для работы запущенного на домашнем ПК FTP-сервера, либо торрент-клиента, либо сетевой игры. В этой статье мы научимся открывать сразу все порты при помощи так называемого DMZ-хоста на примере роутеров TP-Link, Asus, Zyxel Keenetic и Tenda
DMZ — что это в роутере?
DMZ («демилиторизованная зона») — это технология, с помощью которой можно открыть абсолютно все порты на одном конкретном устройстве
Как использовать сервер DMZ на маршрутизаторе?
С помощью описанного выше методы мы с помощью роутера открываем лишь один порт для одного устройства в сети. Через DMZ-хост можно открыть сразу несколько портов. Однако, делать это нужно лишь в крайних случаях, так как в таком случае устройство оказывается абсолютно открытым для доступа из интернета. Однако иногда это делать необходимо, например, для настроек просмотра камер видеонаблюдения, подключенных через регистратор, или для организации игрового сервера.
Приведу пример — часто при подключении регистратора видеонаблюдения по умолчанию используется порт 80 и поменять его в настройках просто невозможно. В то же самое время на маршрутизаторе этот порт также занят и перенаправить его не получится. В этом случае на помощь приходит DMZ-хост на роутере.
Виртуальный сервер DMZ на роутере Tenda
В wifi роутерах Tenda функция открытия портов называется «Виртуальный сервер». В админке ее можно найти в разделе «Дополнительные настройки — Виртуальный сервер»
Но сначала необходимо назначить статический IP адрес для компьютера, на который вы хотите сделать перенаправление портов, иначе при следующем включении по DHCP роутер может присвоить ему другой адрес и все наши настройки собьются. Как это сделать, читайте тут.
Когда за компьютером зарезервирован определенный адрес, вписываем его в разделе «Виртуальный сервер» в ячейке «Внутренний IP адрес».
И далее заполняем:
- Порт локальной сети — выбираем из списка наиболее подходящий под наши нужды из выпадающего списка — ftp, http, pop3, SMTP и так далее…
- WAN порт — указываем тот же, что и в предыдущем случае
- Протокол — ставим TCP&UDP
И нажимаем кнопку «Добавить»
После сохранения настроек, порт через роутер Tenda откроется и мы сможем без проблем предоставить доступ из интернета к тем или иным ресурсам на компьютере.
Активация DMZ хоста на wifi роутере Tenda находится в «Дополнительных настройках». Здесь все просто — переводим тумблер во включенное положение и вписываем IP адрес компьютера или иного устройства, на котором мы хотим открыть все порты
Настройка DMZ на роутере TP-Link
Функция DMZ на роутере TP-Link в новой версии веб-интерфейса находится в «Дополнительных настройках» в разделе «NAT переадресация — DMZ». Здесь все просто — включаем его галочкой и указываем IP адрес компьютера, на котором откроются все порты.
Показать результатыПроголосовало: 27137
DMZ-хост на роутере Asus
На маршрутизаторе Asus настройка DMZ хоста идентична, а находится она в основном разделе меню «Интернет»
Настройка DMZ Zyxel Keenetic
На роутере Zyxel Keenetic тоже имеется подобная функция, но она не называется DMZ, а скрыта в разделе «Безопасность — Межсетевой экран».
Сначала выбираем здесь тип сети, в которую хотим разрешить доступ — это Home Network (Домашняя сеть)
И далее нажимаем на кнопку «Добавить правило»
Далее оставляем все по умолчанию, кроме одного пункта — «IP адрес назначения». Здесь нужно выбрать «Один» и в текстовом поле написать IP адрес компьютера, на котором надо открыть все порты. Обратите внимание, что в графе «Протокол» сейчас выбираем TCP.
Делаем все, как на картинке ниже:
И жмем на кнопку «Сохранить». После этого добавляем еще одно правило — точно такое же, только для протокола «UDP». В итоге должна получиться вот такая картина
На обновленной линейке Keenetic DMZ настраивается тоже в рубрике «Межсетевой экран». Жмем тут «Добавить правило»
Включаем его галочкой и прописываем все то же самое, как и в старой версии Zyxel
Для расширения кругозора также советую прочитать инструкцию от компании Зайксель.
Видео по настройке DMZ Host на маршрутизаторе
Цены в интернете
Александр
Выпускник образовательного центра при МГТУ им. Баумана по специальностям «Сетевые операционные системы Wi-Fi», «Техническое обслуживание компьютеров», «IP-видеонаблюдение». Автор видеокурса «Все секреты Wi-Fi»
Задать вопрос
Что такое функция DMZ в роутере и как ее настроить
В большинстве случаев подключение компьютеров к интернету осуществляется через роутер, однако ничто не мешает подключить ПК и напрямую по Ethernet. Такой подход может иметь свои преимущества, например, при размещении домашнего игрового сервера или прямого обращения из интернета к видеорегистраторам. А вот в случае использования роутера все запросы из интернета не пройдут дальше маршрутизатора, маскирующего подключенные к нему устройства локальной сети.
Поэтому администраторы часто прибегают к такому решению как проброс портов, то есть открытию прямого доступа к физическому устройству или установленному на ПК программному обеспечению в локальной сети. Этот вполне рабочий способ, однако, не лишен недостатков. Если используемый внутренним устройством порт окажется занятым роутером, то проброс становится невозможным. Существуют обходные решения, но гораздо удобнее воспользоваться функцией DMZ, имеющейся в большинстве маршрутизаторов. DMZ или демилитаризованная зона — это область сети, которая содержит общедоступные сервисы, при этом домашняя сеть пользователя остается закрытой.
Примечание: как и проброс портов, использование DMZ создает потенциальную угрозу безопасности, поэтому не стоит использовать ее без нужды.
Настройка демилитаризованной зоны
Возможности обычных домашних роутеров в плане настройки зоны DMZ ограничены, отвести под нее целый сегмент сети вряд ли получится, зато вы можете добавить в нее одно устройство. При этом ваш роутер должен получать «белый», то есть уникальный IP-адрес, кроме того, добавляемое в демилитаризованную зону устройство должно иметь статический IP-адрес. Узнать, «белый» или «серый» у вас IP можно у провайдера, скорее всего это будет «серый» адрес, поскольку количество уникальных IP в глобальной сети ограничено. Выдача провайдерами «белых» IP поддерживается, но услуга эта в основном платная.
Если в DMZ добавляется ПК, на нём нужно установить статический IP.
Для этого в свойствах сети открываем протокол TCP/IP v4, включаем радиокнопку «Использовать следующий IP-адрес» и вводим такие данные:
• IP-адрес — IP в диапазоне вашей сети. Если IP роутера, допустим, 192.168.0.1, можно прописать адрес 192.168.0.76 или с другим двухзначным числом в конце;
• Маска подсети — стандартная 255.255.255.0;
• Основной шлюз — IP вашего роутера, узнать его можно командой ipconfig в командной строке.
Следующий этап — настройка роутера.
Заходим по адресу 192.168.0.1 или 192.168.1.1 в административную панель и ищем настройку DMZ.
В разных моделях маршрутизаторов она может располагаться в разных местах, в роутерах D-Link, например, она находится в разделе «Межсетевой экран».
Включив использование DMZ, пропишите или выберите в списке устройство, которое хотите добавить в демилитаризованную зону.
После сохранения настроек и перезагрузки роутера все порты будут открыты, а использующие входящие подключения программы на ПК станут считать, что имеют доступ в интернет напрямую.
Что такое демилитаризованная зона и зачем ее использовать?
Демилитаризованная зона (DMZ) — это сеть периметра, которая защищает внутреннюю локальную сеть (LAN) организации от ненадежного трафика.
Обычное значение DMZ — это подсеть, которая находится между общедоступным Интернетом и частными сетями. Он предоставляет внешние сервисы ненадежным сетям и добавляет дополнительный уровень безопасности для защиты конфиденциальных данных, хранящихся во внутренних сетях, с использованием брандмауэров для фильтрации трафика.
Конечная цель DMZ — предоставить организации доступ к ненадежным сетям, таким как Интернет, при сохранении безопасности своей частной сети или LAN. Организации обычно хранят внешние службы и ресурсы, а также серверы для системы доменных имен (DNS), протокола передачи файлов (FTP), почты, прокси, передачи голоса по Интернет-протоколу (VoIP) и веб-серверов в демилитаризованной зоне.
Эти серверы и ресурсы изолированы, и им предоставляется ограниченный доступ к локальной сети, чтобы гарантировать, что к ним можно будет получить доступ через Интернет, но не к внутренней локальной сети.В результате подход DMZ затрудняет хакеру прямой доступ к данным организации и внутренним серверам через Интернет.
Компании, у которых есть общедоступный веб-сайт, который используют клиенты, должны сделать свой веб-сервер доступным из Интернета. Это означает подвергнуть риску всю их внутреннюю сеть. Чтобы предотвратить это, организация может заплатить хостинг-фирме за размещение веб-сайта или их общедоступных серверов на брандмауэре, но это повлияет на производительность.Таким образом, вместо этого общедоступные серверы размещаются в отдельной и изолированной сети.
Сеть DMZ обеспечивает буфер между Интернетом и частной сетью организации. DMZ изолирована шлюзом безопасности, например межсетевым экраном, который фильтрует трафик между DMZ и LAN. DMZ защищена другим шлюзом безопасности, который фильтрует входящий трафик из внешних сетей.
Он идеально расположен между двумя брандмауэрами, а настройка брандмауэра DMZ гарантирует, что входящие сетевые пакеты будут отслеживаться брандмауэром или другими инструментами безопасности, прежде чем они попадут на серверы, размещенные в DMZ.Это означает, что даже если опытный злоумышленник сможет обойти первый брандмауэр, он также должен получить доступ к защищенным службам в демилитаризованной зоне, прежде чем он сможет нанести ущерб бизнесу.
Если злоумышленник может проникнуть через внешний брандмауэр и скомпрометировать систему в демилитаризованной зоне, он также должен пройти через внутренний брандмауэр, прежде чем получить доступ к конфиденциальным корпоративным данным. Высококвалифицированный злоумышленник вполне может взломать безопасную демилитаризованную зону, но ресурсы внутри нее должны подавать сигналы тревоги, которые обеспечивают множество предупреждений о том, что нарушение происходит.
Организации, которым необходимо соблюдать нормативные акты, такие как Закон о переносимости и подотчетности в медицинском страховании (HIPAA), иногда устанавливают прокси-сервер в демилитаризованной зоне. Это позволяет им упростить мониторинг и запись активности пользователей, централизовать фильтрацию веб-контента и гарантировать, что сотрудники используют систему для получения доступа к Интернету.
Что такое DMZ и как настроить узел DMZ
Что такое DMZ
DMZ (демилитаризованная зона) на домашнем маршрутизаторе относится к узлу DMZ.Строго говоря, это не настоящая DMZ. Хост DMZ домашнего маршрутизатора — это хост во внутренней сети, на котором все порты UDP и TCP открыты и доступны, за исключением тех, которые перенаправляются иным образом. Они часто используются как простой метод для перенаправления всех портов на другое устройство межсетевого экрана / NAT.
Как настроить узел DMZ
Шаг 1: Вход на страницу управления
Откройте веб-браузер и введите IP-адрес устройства в адресной строке (по умолчанию 192.168.1.1 / 192.168.0.1 / 192.168.0.254). Нажмите Enter .
Имя пользователя и пароль по умолчанию: admin . Нажмите ОК , чтобы войти в устройство.
Шаг 2: Настройте DMZ
Для беспроводных маршрутизаторов и маршрутизаторов 3G (зеленый графический интерфейс)
Нажмите: Пересылка > DMZ > Включение / отключение . Введите IP-адрес хост-устройства (здесь в качестве примера используется 192.168.0.100), затем нажмите Сохранить .
Для беспроводных маршрутизаторов и 3G-маршрутизаторов (синий графический интерфейс)
Щелкните Advanced > Forwarding > DMZ > Enable / Disable . Введите IP-адрес хост-устройства (здесь в качестве примера используется 192.168.0.100), затем нажмите Сохранить .
Шаг 3: Перезагрузите маршрутизатор, чтобы изменения вступили в силу.
Для маршрутизаторов ADSL
Синий графический интерфейс
Нажмите: Пересылка > DMZ > Включение / отключение .Введите IP-адрес хост-устройства (здесь в качестве примера используется 192.168.1.100), затем нажмите Сохранить .
Оранжевый графический интерфейс
Щелкните Advanced Setup > NAT > DMZ > Включить / отключить . Введите IP-адрес хост-устройства (здесь в качестве примера используется 192.168.1.100), затем нажмите Сохранить .
Примечание. Выключите и перезагрузите маршрутизатор, чтобы настройки вступили в силу.
Что такое DMZ в сети?
Что такое DMZ в сети?В компьютерных сетях DMZ или демилитаризованная зона — это физическая или логическая подсеть, которая отделяет локальную сеть (LAN) от других ненадежных сетей — обычно общедоступного Интернета. DMZ также известны как сети периметра или экранированная подсеть s.
Любая услуга, предоставляемая пользователям в общедоступном Интернете, должна быть размещена в сети DMZ.Обычно там находятся внешние серверы, ресурсы и службы. Некоторые из наиболее распространенных из этих услуг включают Интернет, электронную почту, систему доменных имен, протокол передачи файлов и прокси-серверы.
Серверы и ресурсы в DMZ доступны из Интернета, но остальная часть внутренней LAN остается недоступной. Такой подход обеспечивает дополнительный уровень безопасности локальной сети, поскольку ограничивает возможность хакера получить прямой доступ к внутренним серверам и данным из Интернета.
Хакеры и киберпреступники могут получить доступ к системам, в которых запущены службы на серверах DMZ.Эти серверы должны быть усилены, чтобы противостоять постоянным атакам. Термин DMZ происходит от географической буферной зоны, которая была создана между Северной Кореей и Южной Кореей в конце Корейской войны.
Почему так важны DMZ?
DMZ обеспечивают уровень сегментации сети, который помогает защитить внутренние корпоративные сети. Эти подсети ограничивают удаленный доступ к внутренним серверам и ресурсам, что затрудняет доступ злоумышленников к внутренней сети.Эта стратегия полезна как для индивидуального использования, так и для крупных организаций.
Компании размещают приложения и серверы, доступные в Интернете, в демилитаризованной зоне, отделяя их от внутренней сети. DMZ изолирует эти ресурсы, поэтому, если они будут скомпрометированы, атака вряд ли приведет к раскрытию, повреждению или потере.
Как работает DMZ?DMZ функционируют как буферная зона между общедоступным Интернетом и частной сетью. Подсеть DMZ развернута между двумя межсетевыми экранами.Затем все входящие сетевые пакеты проверяются с помощью брандмауэра или другого устройства безопасности, прежде чем они попадут на серверы, размещенные в DMZ.
Сетевая DMZ находится между двумя межсетевыми экранами, создавая полузащищенную буферную зону между Интернетом и корпоративной локальной сетью.Если лучше подготовленные злоумышленники проходят через первый межсетевой экран, они должны затем получить несанкционированный доступ к службам в демилитаризованной зоне, прежде чем они смогут нанести какой-либо ущерб. Эти системы, вероятно, будут защищены от таких атак.
Наконец, если предположить, что хорошо обеспеченные ресурсами злоумышленники захватят систему, размещенную в демилитаризованной зоне, они все равно должны прорваться через внутренний брандмауэр, прежде чем они смогут достичь уязвимых корпоративных ресурсов. Определенные злоумышленники могут взломать даже самую безопасную архитектуру DMZ. Однако атакованная демилитаризованная зона вызовет срабатывание сигнализации, что даст специалистам по безопасности достаточно предупреждений, чтобы предотвратить полное нарушение их организации.
Каковы преимущества использования DMZ?Основным преимуществом DMZ является то, что она предлагает пользователям из общедоступного Интернета доступ к определенным безопасным службам, сохраняя при этом буфер между этими пользователями и частной внутренней сетью.Этот буфер дает несколько преимуществ безопасности, включая следующие:
- Контроль доступа . Сеть DMZ обеспечивает контроль доступа к службам за пределами периметра сети организации, доступ к которым осуществляется из Интернета. Он одновременно вводит уровень сегментации сети, который увеличивает количество препятствий, которые пользователь должен преодолеть, прежде чем получить доступ к частной сети организации. В некоторых случаях DMZ включает в себя прокси-сервер, который централизует поток внутреннего — обычно служебного — интернет-трафика и упрощает запись и мониторинг этого трафика.
- Предотвращение сетевой разведки . DMZ также не позволяет злоумышленнику обнаруживать потенциальные цели в сети. Даже если система в DMZ скомпрометирована, внутренний брандмауэр по-прежнему защищает частную сеть, отделяя ее от DMZ. Такая установка затрудняет внешнюю активную разведку. Хотя серверы в демилитаризованной зоне являются общедоступными, они поддерживаются другим уровнем защиты. Открытое лицо DMZ не позволяет злоумышленникам увидеть содержимое внутренней частной сети.Если злоумышленникам удастся скомпрометировать серверы в демилитаризованной зоне, они все равно будут изолированы от частной сети внутренним барьером демилитаризованной зоны.
- Защита от спуфинга Интернет-протокола (IP) . В некоторых случаях злоумышленники пытаются обойти ограничения контроля доступа, подменяя авторизованный IP-адрес, чтобы выдать себя за другое устройство в сети. DMZ может задерживать потенциальных IP-спуферов, в то время как другая служба в сети проверяет легитимность IP-адреса, проверяя, доступен ли он.
DMZ были важной частью сетевой безопасности предприятия почти на протяжении всего периода использования межсетевых экранов. Они используются по тем же причинам: для защиты чувствительных организационных систем и ресурсов. Сети DMZ часто используются для следующих целей:
- изолировать и держать потенциальные целевые системы отдельно от внутренних сетей;
- сокращать и контролировать доступ к этим системам внешних пользователей; и
- размещают корпоративные ресурсы , чтобы сделать некоторые из них доступными для авторизованных внешних пользователей.
В последнее время предприятия предпочитают использовать виртуальные машины или контейнеры для изоляции частей сети или определенных приложений от остальной корпоративной среды. Облачные технологии в значительной степени избавили многие организации от необходимости иметь внутренние веб-серверы. Многие из внешней инфраструктуры, когда-то расположенной в корпоративной DMZ, мигрировали в облако, например, приложения «программное обеспечение как услуга».
Архитектура и проектирование сетей DMZСуществуют различные способы создания сети с DMZ.Двумя основными методами являются использование одного или двух межсетевых экранов, хотя большинство современных демилитаризованных зон разработаны с двумя межсетевыми экранами. Этот подход можно расширить для создания более сложных архитектур.
Один межсетевой экран с как минимум тремя сетевыми интерфейсами может использоваться для создания сетевой архитектуры, содержащей DMZ. Внешняя сеть формируется путем подключения общедоступного Интернета — через подключение к Интернет-провайдеру — к межсетевому экрану на первом сетевом интерфейсе. Внутренняя сеть формируется из второго сетевого интерфейса, а сама сеть DMZ подключена к третьему сетевому интерфейсу.
Различные наборы правил брандмауэра для мониторинга трафика между Интернетом и DMZ, LAN и DMZ, LAN и Интернетом жестко контролируют, какие порты и типы трафика разрешены в DMZ из Интернета, ограничивают возможность подключения к определенным хостам во внутренней сети и предотвращать незапрошенные подключения к Интернету или внутренней локальной сети из DMZ.
Более безопасный подход к созданию сети DMZ — это конфигурация с двумя брандмауэрами, в которой развернуты два брандмауэра, а сеть DMZ расположена между ними.Первый брандмауэр — также называемый брандмауэром периметра — настроен так, чтобы разрешать только внешний трафик, предназначенный для DMZ. Второй, или внутренний, межсетевой экран разрешает трафик только из DMZ во внутреннюю сеть.
Подход с двумя брандмауэрами считается более безопасным, поскольку два устройства должны быть скомпрометированы, прежде чем злоумышленник сможет получить доступ к внутренней локальной сети. Меры безопасности можно настроить специально для каждого сегмента сети. Например, система обнаружения и предотвращения вторжений в сеть, расположенная в демилитаризованной зоне, может быть настроена на блокировку всего трафика, кроме запросов безопасности протокола передачи гипертекста на порт 443 протокола управления передачей.
Примеры DMZНекоторые из различных способов использования DMZ включают следующее:
- Облачные сервисы. Некоторые облачные службы, такие как Microsoft Azure, используют гибридный подход к безопасности, в котором DMZ реализуется между локальной сетью организации и виртуальной сетью. Этот метод обычно используется в ситуациях, когда приложения организации работают частично локально и частично в виртуальной сети. Он также используется там, где необходимо проверять исходящий трафик или когда требуется детальный контроль трафика между виртуальной сетью и локальным центром обработки данных.
- Домашние сети. DMZ также может быть полезна в домашней сети, в которой компьютеры и другие устройства подключены к Интернету с помощью широкополосного маршрутизатора и настроены в LAN. Некоторые домашние маршрутизаторы включают функцию хоста DMZ. Это можно сравнить с подсетью DMZ, используемой в организациях с гораздо большим количеством устройств, чем можно найти в доме. Функция хоста DMZ назначает одно устройство в домашней сети для работы вне межсетевого экрана, где оно действует как DMZ, в то время как остальная часть домашней сети находится внутри межсетевого экрана.В некоторых случаях в качестве хоста DMZ выбирается игровая консоль, чтобы брандмауэр не мешал игре. Кроме того, консоль является хорошим кандидатом в качестве узла DMZ, поскольку она, вероятно, содержит менее конфиденциальную информацию, чем персональный компьютер.
- Промышленные системы управления (ИСУ). DMZ обеспечивают потенциальное решение рисков безопасности АСУ ТП. Промышленное оборудование, такое как газотурбинные двигатели или АСУ ТП, объединяется с информационными технологиями (ИТ), что делает производственные среды более интеллектуальными и эффективными, но при этом создает большую поверхность угроз.Большая часть промышленного или операционного технологического (OT) оборудования, подключенного к Интернету, не предназначена для защиты от атак, как это делают ИТ-устройства. DMZ может обеспечить повышенную сегментацию сети, которая может затруднить для программ-вымогателей или других сетевых угроз преодоление разрыва между ИТ-системами и их более уязвимыми аналогами OT.
DMZ — это фундаментальная часть сетевой безопасности. Эти подсети создают многоуровневую структуру безопасности, которая снижает вероятность атаки и ее серьезность, если она произойдет.Они используются для изоляции внешних приложений компании от корпоративной сети. Если система или приложение подключены к общедоступному Интернету, их следует поместить в демилитаризованную зону.
Узнайте, как разместить приманку в DMZ , чтобы привлечь вредоносный трафик, удержать его подальше от внутренней сети и позволить ИТ-специалистам изучить его поведение.
Что такое функция демилитаризованной зоны (DMZ) на моем маршрутизаторе NETGEAR? | Ответ
Эта статья содержит список ссылок, которые можно найти в онлайн-базе знаний NETGEAR, чтобы помочь вам настроить функцию демилитаризованной зоны (DMZ) на различных маршрутизаторах NETGEAR.
По умолчанию брандмауэр на маршрутизаторе NETGEAR блокирует все попытки устройств в Интернете подключиться к устройствам в вашей локальной сети. Это называется входящим трафиком. Если вы хотите, чтобы устройства в Интернете могли подключаться к устройствам в вашей локальной сети (например, у вас есть IP-камера или FTP-сервер, к которому вы хотите иметь доступ из любого места в Интернете), у вас будет для изменения конфигурации маршрутизатора. У вас есть три варианта:
- Универсальный Plug and Play (UPnP).Если маршрутизатор и устройство в вашей локальной сети поддерживают UPnP, требуемая конфигурация маршрутизатора выполняется автоматически.
- Перенаправление портов (также известное как правила брандмауэра для входящего трафика). Вы создаете правила переадресации портов, которые просматривают заголовок каждого входящего пакета и либо блокируют его, либо перенаправляют на указанные устройства в вашей локальной сети, в зависимости от исходного IP-адреса, номера TCP-порта назначения и других характеристик пакета. Пакеты с разными характеристиками можно пересылать на разные устройства в вашей локальной сети.Для получения дополнительной информации см. Что такое переадресация портов?
- DMZ. Если вы просто хотите перенаправить весь входящий трафик на одно устройство в вашей локальной сети, вы можете добиться этого, создав правило перенаправления портов. Однако это правило по-прежнему будет проверять заголовок каждого входящего пакета, что приведет к неэффективной обработке вычислительной мощности маршрутизатора. Лучше использовать функцию DMZ, которая есть в большинстве маршрутизаторов NETGEAR. Это просто перенаправит весь входящий трафик на один указанный IP-адрес в вашей локальной сети, не утруждая себя просмотром заголовка каждого пакета.
Примечание. Когда вы используете DMZ для пересылки всего входящего трафика на устройство в вашей локальной сети, это устройство теряет всю защиту брандмауэра маршрутизатора. Он полностью открыт для доступа в Интернет и должен быть способен защитить себя от атак.
Резолюция статей:
Включение сервера DMZ на домашних маршрутизаторах NETGEAR
Включение DMZ на маршрутизаторе ProSAFE / ProSECURE
Настройка DMZ на маршрутизаторах NETGEAR
Как создать DMZ на старых маршрутизаторах NETGEAR
Как настроить сервер DMZ по умолчанию на моем маршрутизаторе Nighthawk?
Открытие портов для интернет-игр и приложений на маршрутизаторах NETGEAR
Последнее обновление: 15.10.2020 | Идентификатор статьи: 25891
Что такое DMZ (сеть)?
В области компьютерной безопасности сеть DMZ (иногда называемая «демилитаризованной зоной») функционирует как подсеть, содержащая открытые внешние сервисы организации.Он действует как открытая точка для ненадежных сетей, обычно в Интернете.
Цель DMZ — добавить дополнительный уровень безопасности в локальную сеть организации. Защищенный и контролируемый сетевой узел, выходящий за пределы внутренней сети, может получить доступ к тому, что открыто в DMZ, в то время как остальная часть сети организации находится в безопасности за брандмауэром.
При правильной реализации сеть DMZ дает организациям дополнительную защиту при обнаружении и устранении нарушений безопасности до того, как они достигнут внутренней сети, где хранятся ценные активы.
Назначение DMZ
Сеть DMZ существует для защиты хостов, наиболее уязвимых для атак. Эти хосты обычно включают службы, которые распространяются на пользователей за пределами локальной сети, наиболее распространенными примерами являются электронная почта, веб-серверы и DNS-серверы. Из-за повышенного потенциала для атаки они помещаются в отслеживаемую подсеть, чтобы помочь защитить остальную часть сети в случае их взлома.
Хосты в демилитаризованной зоне имеют жестко контролируемые права доступа к другим службам во внутренней сети, поскольку данные, проходящие через демилитаризованную зону, не так безопасны.Вдобавок ко всему, связь между хостами в демилитаризованной зоне и внешней сетью также ограничена, чтобы помочь увеличить защищенную пограничную зону. Это позволяет хостам в защищенной сети взаимодействовать с внутренней и внешней сетями, в то время как межсетевой экран разделяет и управляет всем трафиком, совместно используемым между DMZ и внутренней сетью. Как правило, дополнительный брандмауэр отвечает за защиту DMZ от всего, что находится во внешней сети.
Все сервисы, доступные пользователям при общении из внешней сети, могут и должны быть помещены в DMZ, если таковая используется.Наиболее распространенные услуги:
- Веб-серверы: Веб-серверы, отвечающие за поддержание связи с внутренним сервером базы данных, возможно, потребуется поместить в DMZ. Это помогает обеспечить безопасность внутренней базы данных, в которой часто хранится конфиденциальная информация. Затем веб-серверы могут взаимодействовать с внутренним сервером базы данных через брандмауэр приложения или напрямую, при этом попадая под защиту DMZ.
- Почтовые серверы: отдельных сообщений электронной почты, а также база данных пользователей, созданная для хранения учетных данных и личных сообщений, обычно хранятся на серверах без прямого доступа к Интернету.Таким образом, почтовый сервер будет построен или размещен внутри DMZ для взаимодействия с базой данных электронной почты и доступа к ней, не подвергая ее непосредственному воздействию потенциально опасного трафика.
- FTP-серверы: Они могут размещать критически важный контент на сайте организации и обеспечивать прямое взаимодействие с файлами. Поэтому FTP-сервер всегда должен быть частично изолирован от критических внутренних систем.
Конфигурация DMZ обеспечивает дополнительную защиту от внешних атак, но обычно не имеет отношения к внутренним атакам, таким как перехват сообщений через анализатор пакетов или спуфинг через электронную почту или другие средства.
Конструкции DMZ
Есть множество способов построить сеть с DMZ. Двумя основными методами являются одиночный брандмауэр (иногда называемый трехсторонней моделью) или двойные брандмауэры. Каждая из этих систем может быть расширена для создания сложных архитектур, отвечающих требованиям сети:
- Один межсетевой экран: Скромный подход к сетевой архитектуре предполагает использование одного межсетевого экрана с минимум 3 сетевыми интерфейсами. DMZ будет размещена внутри этого межсетевого экрана.Уровень операций следующий: внешнее сетевое устройство устанавливает соединение с провайдером, внутренняя сеть подключается вторым устройством, а соединения в DMZ обрабатываются третьим сетевым устройством.
- Двойной брандмауэр: Более безопасный подход — использовать два брандмауэра для создания DMZ. Первый брандмауэр (называемый «интерфейсным» брандмауэром) настроен так, чтобы разрешать только трафик, предназначенный для DMZ. Второй межсетевой экран (называемый «внутренним» межсетевым экраном) отвечает только за трафик, который проходит из DMZ во внутреннюю сеть.Эффективным способом дальнейшего повышения защиты является использование межсетевых экранов, созданных отдельными поставщиками, поскольку они с меньшей вероятностью будут иметь одни и те же уязвимости в системе безопасности. Хотя эта схема более эффективна, ее реализация в большой сети может оказаться более затратной.
Когда и как настраивать узел DMZ для домашнего использования
ХостDMZ для домашних маршрутизаторов — довольно простой вариант настройки. Однако обычные параметры маршрутизатора или всплывающая подсказка обычно не говорят вам, насколько это может быть опасно при настройке узла DMZ.В этом простом для понимания руководстве мы рассмотрим все, что вам нужно знать о DMZ и о том, когда настраивать общий узел DMZ для обычного домашнего использования.
Что такое DMZ и узел DMZ и их различие
Настоящая DMZ — это, по сути, часть вашей сети, доступная для Интернета, но не связанная с остальной частью вашей внутренней сети. Однако большинство домашних маршрутизаторов предлагают настройку DMZ или настройки хоста DMZ. Эти настройки позволяют вам просто подключить один компьютер или одно устройство к Интернету.
Проблема в том, что этот конкретный компьютер все еще может взаимодействовать с остальной частью вашей внутренней сети. Это означает, что если «узел DMZ» был взломан и заражен компьютерным вирусом или интернет-вредоносным ПО, это может повлиять на остальные устройства в вашей домашней сети.
Таким образом, когда вы настраиваете «домашний» DMZ или хост DMZ, вы должны быть очень осторожны. Фактически, вам вообще не следует использовать функцию DMZ домашнего маршрутизатора, если вы можете этого избежать.
Следует отметить, что DMZ или DMZ Host не улучшают скорость или задержку соединения вашего маршрутизатора с сервером.Это просто мера безопасности (или ее отсутствие), которая решает, будут ли устройства полностью открыты для Интернета.
Быть хостом DMZ означает, что у него будут открыты все порты маршрутизатора и он будет отвечать на интернет-запросы и эхо-запросы. Хотя на вашем ПК или сервере может быть другой программный брандмауэр, маршрутизатор действует как ваша первая линия защиты. Будучи хостом DMZ, вы открыты для атак, которые ваш маршрутизатор в противном случае мог бы заблокировать с помощью обычного межсетевого экрана маршрутизатора.
Альтернатива хосту DMZ
Вместо использования функции хоста DMZ с вашим маршрутизатором, настройка переадресации портов — гораздо лучшая альтернатива, чем прямой хост DMZ.Это связано с тем, что настройка хоста DMZ на вашем маршрутизаторе для обычного ПК или MAC обычно считается НЕ безопасной и надежной.
Когда на самом деле использовать маршрутизатор DMZ Host
1. Используйте узел DMZ в качестве последней меры в качестве инструмента устранения неполадок.
Если вы просто не можете получить переадресацию портов или правильно настроили маршрутизатор, чтобы разрешить определенный вид туннелирования или соединений. Вы можете временно использовать DMZ, чтобы узнать, не является ли причиной проблемы маршрутизатор или настройки вашего сервера. Однако перед этим вы должны убедиться, что машина DMZ обновлена со всеми исправлениями безопасности.
2. Используйте узел DMZ для приложений, требующих открытия случайного порта.
Вы можете застрять на узле DMZ, если имеете дело с приложением, которое требует открытия всех портов. Убедитесь, что на вашем устройстве DMZ установлены все обновления безопасности.
3. Когда вам нужно разместить домашний веб-сервер
Хотя лучше размещать веб-серверы и перенаправлять только порты, необходимые для веб-сервера. Вы можете разместить свой веб-сервер в DMZ маршрутизатора.Но вы можете использовать два домашних маршрутизатора, чтобы разделить веб-сервер и внутреннюю сеть, чтобы создать «настоящую DMZ». Однако настройка выходит за рамки этого общего руководства по DMZ.
4. Используйте DMZ Host для игровых консолей
Хотя в большинстве случаев правильная переадресация портов и настройки NAT маршрутизатора могут обеспечить идеальное соединение для ваших игровых консолей, таких как Xbox One, Xbox 360, ps3, ps4 или Nintendo. Иногда у вас все еще могут быть проблемы. Поместите свои игровые приставки в демилитаризованную зону, когда все остальное не поможет.
Фактическая настройка хоста DMZ с маршрутизатором
Использовать статический IP-адрес
Назначьте статический IP-адрес устройству, которое вы хотите стать узлом DMZ. Это важно, чтобы ваш маршрутизатор не назначал случайный IP-адрес машине, которую вы не хотите использовать в DMZ.
Убедитесь, что устройства обновлены последними исправлениями безопасности
Помещение устройства в режим DMZ может представлять серьезную угрозу безопасности, если вы не знаете, что делаете. Обязательно обновите это устройство всеми последними исправлениями, чтобы отражать наиболее распространенные атаки.
Введите статический IP-адрес, назначенный как узел DMZ
С настройкой узла DMZ введите локальный IP-адрес для машины, которую вы хотите сделать DMZ. С его помощью вы должны завершить большинство основных настроек хоста DMZ маршрутизатора.
Рассмотрите возможность установки «True DMZ»
Если вы настраиваете персональный игровой сервер или веб-сервер, который требует от вас использования DMZ, подумайте о приобретении двух маршрутизаторов и настройте зону «истинной DMZ», чтобы ваш сервер был заблокирован из внутренней сети.В большинстве случаев это может помочь вам в обеспечении безопасности вашей сети.
Поддержка DMZ
Поддержка (демилитаризованной зоны) может быть включена на вкладке «Брандмауэр» в интерфейсе управления Exinda.
Функция DMZ Exinda SD- позволяет пользователю указать адрес локального компьютера, который был обозначен как DMZ.Указанный IP-адрес называется «IP-адрес DMZ». Когда Exinda SD-WAN получает пакет из Интернета через любой из портов WAN, Exinda SD-WAN пересылает пакет на указанный адрес DMZ, если ни одно из правил переадресации портов не применяется к данному пакету.
Если правила переадресации портов не указаны и указан IP-адрес DMZ, то все пакеты, полученные через порт WAN, пересылаются на локальный компьютер с указанным IP-адресом DMZ.Следует отметить, что если указано одно или несколько правил переадресации портов, они имеют приоритет над пересылкой трафика в DMZ, если функция DMZ включена. Более того, следует отметить, что любая переадресация портов, которая происходит в результате включения функции, имеет приоритет над любыми правилами переадресации портов.
Настройка DMZ полезна, если в локальной сети есть несколько компьютеров, но только один из них (обозначенный как DMZ) желательно иметь прямой доступ через Интернет.Обычно поддержка DMZ должна быть отключена при запуске Exinda SD-WAN в режиме Pass Through, поскольку DMZ уже будет реализована в унаследованной сети.
Функцию DMZ можно настроить, щелкнув статус Включено или Отключено для DMZ в таблице конфигурации и выбрав соответствующий переключатель.