Сочинение на тему Улучшение демилитаризованной зоны
- Опубликовано: 29.08.2020
- Предмет: жизнь, Информационная наука
- Темы: обслуживание, Работа, Сетевая безопасность
Демилитаризованная зона (DMZ), называемая периметрической сетью, представляет собой физическую или логическую подсеть, которая содержит внешние службы организации и предоставляет их ненадежной сети, обычно более крупной сети, такой как Интернет. Цель (DMZ) состоит в том, чтобы добавить дополнительный уровень безопасности к локальной сети (LAN) организации, внешний сетевой узел может получить доступ только к тому, что открыто в (DMZ), в то время как остальная часть сети организации защищена брандмауэром. , (DMZ) функционирует как небольшая изолированная сеть, расположенная между Интернетом и частной сетью. В этом исследовании я предложил использовать двойную (DMZ) архитектуру для защиты внутренней сети от внешних и внутренних атак.
(DMZ), выступающая в качестве шлюза к общедоступному Интернету, не так безопасна, как внутренняя сеть, и не так небезопасна, как общедоступный интернет. Хостами, наиболее уязвимыми для атак, являются те, которые предоставляют услуги пользователям за пределами локальной сети, такие как серверы электронной почты, веб-серверы и системы доменных имен (DNS). Из-за возросшего потенциала этих хостов, подвергающихся атаке, они помещаются в эту конкретную подсеть, чтобы защитить остальную сеть в случае, если какой-либо из них будет взломан. Хостам в (DMZ) разрешено иметь только ограниченное подключение к конкретным хостам во внутренней сети, поскольку контент (DMZ) не так безопасен, как внутренняя сеть. Аналогично, связь между хостами в (DMZ) и внешней сети также ограничена, чтобы сделать (DMZ) более безопасным, чем Интернет, и подходящим для размещения этих услуг специального назначения. Это позволяет узлам (DMZ) обмениваться данными как с внутренней, так и с внешней сетью, в то время как промежуточный брандмауэр контролирует трафик между серверами (DMZ) и клиентами внутренней сети, а другой брандмауэр будет выполнять некоторый уровень контроля для защиты ( DMZ) из внешней сети. Конфигурация (DMZ) обеспечивает защиту от внешних атак, но, как правило, она не имеет отношения к внутренним атакам, таким как анализ трафика с помощью анализатора пакетов или спуфинг, такой как подмена электронной почты.
Иногда также рекомендуется настроить отдельную секретную военизированную зону (CMZ), военизированную зону с высокой степенью мониторинга, состоящую в основном из веб-серверов (и аналогичных серверов, которые взаимодействуют с внешним миром, например, Интернет), которые не находятся в (DMZ). ) но содержат конфиденциальную информацию о доступе к серверам в локальной сети (например, к серверам баз данных). В такой архитектуре (DMZ) обычно имеет брандмауэр приложения и (FTP), в то время как (CMZ) размещает веб-серверы. (Серверы базы данных могут быть в (CMZ), в (LAN) или в отдельном (VLAN) в целом). Любая услуга, предоставляемая пользователям во внешней сети, может быть размещена в (DMZ). Наиболее распространенными из этих услуг являются (веб-серверы, почтовые серверы, (FTP) серверы, (VoIP) серверы). Веб-серверам, взаимодействующим с внутренней базой данных, требуется доступ к серверу базы данных, который может быть недоступен для общего доступа и может содержать конфиденциальную информацию. В целях безопасности веб-серверы могут связываться с серверами баз данных напрямую или через брандмауэр приложения. Сообщения электронной почты и, в частности, пользовательская база данных являются конфиденциальными, поэтому они обычно хранятся на серверах, к которым невозможно получить доступ из Интернета (по крайней мере, небезопасным образом), но могут быть доступны с серверов электронной почты, которые открыты для доступа в Интернет. Почтовый сервер внутри (DMZ) передает входящую почту на защищенные / внутренние почтовые серверы. Он также обрабатывает исходящую почту. В целях безопасности, соответствия законодательным стандартам, таким как (HIPAA), и соображений мониторинга, в бизнес-среде некоторые предприятия устанавливают прокси-сервер в (DMZ). Это имеет следующие преимущества:
- Обязывает внутренних пользователей (обычно сотрудников) использовать прокси-сервер для доступа в Интернет.
- Сокращены требования к пропускной способности доступа в Интернет, поскольку прокси-сервер может кэшировать некоторые веб-материалы.
- Упрощает запись и мониторинг действий пользователя.
- Централизованная фильтрация веб-контента.
Обратный прокси-сервер, как и прокси-сервер, является посредником, но используется наоборот. Вместо предоставления услуг внутренним пользователям, желающим получить доступ к внешней сети, он обеспечивает косвенный доступ к внешней сети (обычно к Интернету) к внутренним ресурсам. Например, доступ к приложениям бэк-офиса, например к системе электронной почты, может быть предоставлен внешним пользователям (для чтения электронной почты, когда они находятся за пределами компании), но удаленный пользователь не будет иметь прямого доступа к своему почтовому серверу. Только обратный прокси-сервер может физически получить доступ к внутреннему почтовому серверу. Это дополнительный уровень безопасности, который особенно рекомендуется, когда к внутренним ресурсам требуется доступ извне. Обычно такой механизм обратного прокси-сервера обеспечивается с помощью брандмауэра прикладного уровня, поскольку они фокусируются на конкретной форме трафика, а не управляют доступом к определенным портам (TCP) и (UDP), как это делает брандмауэр с фильтрацией пакетов.
Одиночная (DMZ) архитектура
Межсетевой экран, по крайней мере, с тремя сетевыми интерфейсами может использоваться для создания сетевой архитектуры, содержащей (DMZ). Внешняя сеть формируется из (ISP) в межсетевой экран на первом сетевом интерфейсе, внутренняя сеть формируется из второго сетевого интерфейса, а (DMZ) формируется из третьего сетевого интерфейса. Брандмауэр становится единственной точкой отказа для сети и должен иметь возможность обрабатывать весь трафик, идущий в (DMZ), а также внутреннюю сеть, показанную на рис. 1.
Рис. 1. Единая (DMZ) архитектура
Предлагаемая архитектура (двойная DMZ)
Single (DMZ) используется для защиты внутренней сети от внешних атак. Однако эта архитектура не защищает внутреннюю сеть от внутренних атак. В архитектуре с двумя (DMZ) брандмауэрами, по крайней мере, с четырьмя сетевыми интерфейсами, можно использовать для создания сетевой архитектуры, содержащей два (DMZ). Внешняя сеть формируется от (ISP) до межсетевого экрана на первом сетевом интерфейсе, внутренняя сеть формируется из второго сетевого интерфейса, и первый (DMZ 1) формируется из третьего сетевого интерфейса, а второй (DMZ) 2) формируется из четвертого сетевого интерфейса. Брандмауэр становится единственной точкой отказа для сети и должен иметь возможность обрабатывать весь трафик, идущий в (DMZ 1), (DMZ 2), а также во внутреннюю сеть и внутреннюю сеть, показанную на рисунке 2.
Рис. 2. Пример двойной (DMZ) архитектуры
В университетской системе первый сервер предназначен для публичных пользователей. Они могут зарегистрироваться, чтобы учиться, устраиваться на работу или получать информацию об университетской системе или колледжах. Второй сервер предназначен для сотрудников, имеющих учетные записи и авторизованных для доступа к системе. Третий сервер размещен в сети с меньшим интервалом, которая содержит базу данных университета. Данные на этом сервере контролируются администратором и могут быть доступны только авторизованным пользователям.
Преимущества и недостатки двойного (DMZ)
Основным преимуществом дуала (DMZ) является то, что он обеспечивает защиту не только от внешних хакеров, но и от внутренних хакеров. Недостатки в том, что его сложно настраивать и управлять, и для него требуется дополнительное аппаратное и программное обеспечение, что увеличивает стоимость.
Single (DMZ) используется в качестве шлюза во внутреннюю сеть, которая используется для защиты сети организации от любых потенциальных взломов из Интернета. Эта архитектура также может быть расширена для защиты также от потенциальных взломов, которые могут исходить из организации. Это может быть достигнуто путем использования дополнительной (DMZ) во внутренней сети, которая может использоваться в качестве шлюза в сеть с интервалом, которая обычно содержит важные данные организации.
ПОВЫШЕНИЕ ПРОИЗВОДИТЕЛЬНОСТИ НА РАБОЧЕМ МЕСТЕ. Быть продуктивным на работе может порой быть сложной задачей. Онлайн-сервисы позволили большинству компаний оставаться продуктивными на современном конкурентном рынке. Онлайн-сервисы
Основная цель данного исследования состояла в том, чтобы создать многомерную меру религиозности, используя общественность в качестве образца. В этом исследовании под религиозностью подразумеваются убеждения и
Изначально интерес к этому кандидату возник из личной любви к футболу и каждой его части. Как активный игрок в ЕГУ, возникло знакомство с Абдулазизом. Он