В компьютерных сетях демилитаризованная зона – это специальная конфигурация локальной сети, предназначенная для повышения безопасности путем разделения компьютеров на каждой стороне брандмауэра. Демилитаризованная зона может быть установлена как в домашних, так и в деловых сетях, хотя их использование в домашних условиях ограничено.
Где DMZ полезна?
В домашней сети компьютеры и другие устройства обычно настраиваются в локальную сеть, подключенную к Интернету с использованием широкополосного маршрутизатора. Маршрутизатор служит межсетевым экраном, выборочно фильтруя трафик извне, чтобы обеспечить прохождение только законных сообщений. DMZ разделяет такую сеть на две части, принимая одно или несколько устройств внутри брандмауэра и перемещая их наружу. Эта конфигурация лучше защищает внутренние устройства от возможных внешних атак (и наоборот).
DMZ полезна в домах, когда в сети работает сервер. Сервер может быть настроен в демилитаризованной зоне, чтобы пользователи интернета могли получить к нему доступ через его общедоступный IP-адрес, а остальная часть домашней сети была защищена от атак в тех случаях, когда сервер был взломан. Несколько лет назад, до того как облачные сервисы стали широко доступными и популярными, люди стали чаще использовать Web, VoIP или файловые серверы из своих домов, а DMZ стали более разумными.
Деловые компьютерные сети, с другой стороны, могут чаще использовать DMZ для управления своей корпоративной сетью и другими общедоступными серверами. В настоящее время домашние сети чаще всего получают выгоду от разновидности DMZ, называемой DMZ-хостингом.
Поддержка хоста DMZ в широкополосных маршрутизаторах
На первых порах информацию о сетевых DMZ может быть сложно понять, так как этот термин относится к двум видам конфигураций. Стандартная функция DMZ host домашних маршрутизаторов не устанавливает полную подсеть DMZ, но вместо этого идентифицирует одно устройство в существующей локальной сети для работы вне брандмауэра, в то время как остальная сеть функционирует как обычно.
Чтобы настроить поддержку хоста DMZ в домашней сети, войдите в консоль маршрутизатора и включите опцию хоста DMZ, которая по умолчанию отключена. Введите частный IP-адрес для локального устройства, назначенного хостом. Игровые приставки Xbox или PlayStation часто выбираются в качестве DMZ-хостов, чтобы домашний брандмауэр не мешал онлайн-играм. Убедитесь, что хост использует статический IP-адрес (а не динамически назначенный), в противном случае другое устройство может унаследовать назначенный IP-адрес и вместо этого стать DMZ-хостом.
True DMZ Поддержка
В отличие от DMZ-хостинга, настоящая DMZ (иногда называемая коммерческой DMZ) создает новую подсеть вне брандмауэра, где работает один или несколько компьютеров. Эти компьютеры снаружи обеспечивают дополнительный уровень защиты для компьютеров за брандмауэром, так как все входящие запросы перехватываются и должны сначала пройти через компьютер DMZ, прежде чем достичь брандмауэра. Настоящие DMZ также ограничивают компьютеры за брандмауэром от непосредственного взаимодействия с устройствами DMZ, требуя, чтобы сообщения приходили через общедоступную сеть. Многоуровневые DMZ с несколькими уровнями поддержки межсетевого экрана могут быть настроены для поддержки больших корпоративных сетей.
