Для чего используется DMZ в домашнем беспроводном маршрутизаторе?

Насколько я понимаю, используя DMZ, вы выставляете все порты хост-компьютера в Интернет. Для чего это хорошо?

DMZ хорош, если вы хотите запустить домашний сервер, к которому можно получить доступ извне вашей домашней сети (например, веб-сервер, ssh, vnc или другой протокол удаленного доступа). Как правило, вы захотите запустить брандмауэр на компьютере сервера, чтобы убедиться, что только порты, которым конкретно требуется, разрешен доступ с общедоступных компьютеров.

Альтернативой использованию DMZ является настройка переадресации портов. С переадресацией портов вы можете разрешить только определенные порты через ваш маршрутизатор, а также можете указать некоторые порты для перехода на разные машины, если за вашим маршрутизатором работает несколько серверов.

Пожалуйста, будь осторожен. DMZ в корпоративной / профессиональной среде (с высокопроизводительными межсетевыми экранами) отличается от домашнего беспроводного маршрутизатора (или других маршрутизаторов NAT для домашнего использования). Возможно, вам придется использовать второй маршрутизатор NAT для получения ожидаемой безопасности (см. Статью ниже).

В 3 -й серии подкаста « Безопасность сейчас » Лео Лапорта и гуру безопасности Стива Гибсона эта тема обсуждалась. В расшифровке вы увидите «действительно интересную проблему, потому что это так называемая« демилитаризованная зона », демилитаризованная зона, как ее называют на маршрутизаторах».

Стив Гибсон, http://www.grc.com/nat/nat.htm :

«Как вы можете себе представить, машина« DMZ »маршрутизатора и даже машина« переадресации порта »должны иметь существенную безопасность, иначе она будет мгновенно переполнена интернет-грибком. Это БОЛЬШАЯ проблема с точки зрения безопасности. Почему? .. NAT-маршрутизатор имеет стандартный Ethernet-коммутатор, соединяющий ВСЕ его порты на стороне локальной сети. Нет ничего «отдельного» в том, что касается порта, на котором размещена специальная машина «DMZ». Он находится во внутренней локальной сети! Это означает, что все, что может заползти в него через перенаправленный порт маршрутизатора или из-за того, что он является узлом DMZ, имеет доступ ко всем остальным машинам во внутренней частной локальной сети. (Это действительно плохо.) "

В статье также есть решение этой проблемы, которое включает использование второго маршрутизатора NAT. Есть несколько действительно хороших диаграмм, чтобы проиллюстрировать проблему и решение.

DMZ или «демилитаризованная зона», где вы можете настроить сервера или другие устройства , которые должны быть доступны из вне вашей сети.

Что там принадлежит? Веб-серверы, прокси-серверы, почтовые серверы и т. Д.

В сети наиболее уязвимыми для атаки узлами являются те, которые предоставляют услуги пользователям за пределами локальной сети, таким как электронная почта, веб-серверы и DNS-серверы. Из-за повышенного потенциала этих хостов, находящихся под угрозой, они помещаются в свою собственную подсеть, чтобы защитить остальную часть сети в случае успеха злоумышленника. Хосты в демилитаризованной зоне имеют ограниченное подключение к определенным хостам во внутренней сети, хотя связь с другими хостами в демилитаризованной зоне и с внешней сетью разрешена. Это позволяет узлам в DMZ предоставлять услуги как внутренней, так и внешней сети, а промежуточный межсетевой экран контролирует трафик между серверами DMZ и клиентами внутренней сети.

В компьютерных сетях DMZ (демилитаризованная зона), также известная также как сеть периметра или экранированная подсеть, представляет собой физическую или логическую подсеть, которая отделяет внутреннюю локальную сеть (LAN) от других ненадежных сетей, обычно Интернета. Внешние серверы, ресурсы и сервисы расположены в демилитаризованной зоне. Таким образом, они доступны из Интернета, но остальная часть внутренней локальной сети остается недоступной. Это обеспечивает дополнительный уровень безопасности для локальной сети, поскольку ограничивает возможность хакеров получать прямой доступ к внутренним серверам и данным через Интернет.