Экранированная подсеть

В сетевой безопасности экранированная подсеть означает использование одного или нескольких логических экранирующих маршрутизаторов в качестве межсетевого экрана для определения трех отдельных подсетей : внешнего маршрутизатора (иногда называемого маршрутизатором доступа ), который отделяет внешнюю сеть от сети периметра, и внутреннего маршрутизатора. маршрутизатор (иногда называемый дроссельным маршрутизатором ), который отделяет сеть периметра от внутренней сети. Сеть периметра, также называемая пограничной сетью или демилитаризованной зоной (DMZ), предназначена для размещения серверов (иногда называемых хостами-бастионами ), которые доступны или имеют доступ как к внутренней, так и к внешней сети. ^[1]^[2]^[3] Целью экранированной подсети или DMZ является создание сети с повышенным уровнем безопасности, которая расположена между внешней и предполагаемой враждебной сетью, такой как Интернет или экстрасеть, и внутренней сетью.

Экранируемая подсеть является важной концепцией для электронной коммерции или любой организации, которая присутствует во Всемирной паутине или использует системы электронных платежей или другие сетевые услуги из-за преобладания хакеров , современных постоянных угроз , компьютерных червей , ботнетов и т. д. другие угрозы сетевым информационным системам .

Физическое разделение маршрутизаторов

Разделив систему брандмауэра на два отдельных компонентных маршрутизатора, можно добиться большей потенциальной пропускной способности за счет снижения вычислительной нагрузки на каждый маршрутизатор. Поскольку каждый компонентный маршрутизатор брандмауэра экранированной подсети должен выполнять только одну общую задачу, каждый маршрутизатор имеет менее сложную конфигурацию. Экранированная подсеть или DMZ также может быть создана с помощью одного брандмауэра с тремя сетевыми интерфейсами. ^[4]

Отношения с демилитаризованной зоной

Термин «демилитаризованная зона» в военном контексте относится к территории, в которой договоры или соглашения между конкурирующими группами запрещают военные объекты и деятельность, часто вдоль установленной границы или границы между двумя или более военными державами или альянсами. Сходство с сетевой безопасностью заключается в том, что экранированная сеть (DMZ) имеет меньше укреплений, поскольку в ней предусмотрены точки входа из внешней сети, которая считается враждебной.

Похоже, что термин «демилитаризованная зона» (DMZ) стал популяризироваться как термин для продаж и маркетинга спустя некоторое время после разработки экранированных маршрутизаторов и межсетевых экранов. Его часто используют как синоним, но, возможно, когда-то оно имело другое значение.

«Существует ряд используемых терминов, таких как хосты-бастионы, экранированные подсети, DMZ или сети периметра, которые могут сбивать с толку, особенно при их совместном использовании». ... «Еще один термин, который часто может вызывать путаницу, — это DMZ (демилитаризованная зона), в отличие от экранированной подсети. Настоящая DMZ — это сеть, которая содержит хосты, доступные из Интернета, между которыми находится только внешний или пограничный маршрутизатор. . Эти хосты не защищены проверяющим маршрутизатором». ... «Проверенная подсеть также может представлять собой совокупность хостов в подсети, но они расположены за экранирующим маршрутизатором. Термин DMZ может использоваться поставщиком для обозначения любого из них, поэтому лучше проверить, что они имеют в виду. " ^[5]

Сравнение с брандмауэром/архитектурой экранированного хоста

В то время как брандмауэр экранированной подсети использует два экранированных маршрутизатора для создания трех подсетей, брандмауэр экранированного хоста использует только один экранированный маршрутизатор для определения двух подсетей: внешней сети и внутренней сети. ^[6]^[7]^[8] Брандмауэр экранированной подсети более безопасен, поскольку злоумышленнику необходимо пройти два фильтруемых маршрута, чтобы добраться до внутренней сети. Если хост-бастион/демилитаризованная зона скомпрометирован, злоумышленнику все равно придется обходить второй фильтруемый маршрут, чтобы добраться до хостов внутренней сети.

См. также

Ссылки

^ Вак, Джон; Карнахан, Лиза (декабрь 1994 г.). «3.4 Брандмауэр экранированной подсети». Обеспечение комфортной безопасности вашего сайта: введение в интернет-брандмауэры . Национальный институт стандартов и технологий. стр. 38–40. дои : 10.6028/NIST.SP.800-10 .
^ Чепмен, Д. Брент; Цвикки, Элизабет Д. (ноябрь 1995 г.). «6.3. Архитектура экранированных подсетей». Создание интернет-брандмауэров (1-е изд.). О'Рейли и партнеры. ISBN 1-56592-124-0 .
^ «Экзамен ISACA CISA» . ИСАКА. 2018 . Проверено 16 октября 2018 г. Межсетевой экран с экранированной подсетью, также используемый в качестве демилитаризованной зоны (DMZ), использует два маршрутизатора фильтрации пакетов и хост-бастион. Это обеспечивает наиболее безопасную систему брандмауэра, поскольку она поддерживает безопасность как на уровне сети, так и на уровне приложений, определяя при этом отдельную сеть DMZ.
^ Джейкобс, Стюарт (2015). Инженерная информационная безопасность: применение концепций системной инженерии для обеспечения безопасности информации . Джон Уайли и сыновья. п. 563. ИСБН 9781119101604 .
^ Дэвис, Уильям С. (20 сентября 2000 г.). «Используйте нападение, чтобы информировать защиту. Находите недостатки раньше, чем это сделают плохие парни» . Институт САНС.
^ Вак, Джон; Карнахан, Лиза (декабрь 1994 г.). «3.3 Брандмауэр экранированного хоста». Обеспечение комфортной безопасности вашего сайта: введение в интернет-брандмауэры . Национальный институт стандартов и технологий. стр. 36–38. дои : 10.6028/NIST.SP.800-10 .
^ Чепмен, Д. Брент; Цвикки, Элизабет Д. (ноябрь 1995 г.). «6.2. Экранированные хост-архитектуры». Создание интернет-брандмауэров (1-е изд.). О'Рейли и партнеры. ISBN 1-56592-124-0 .
^ «Экзамен ISACA CISA» . ИСАКА. 2018 . Проверено 16 октября 2018 г. Брандмауэр с экранированным хостом использует маршрутизатор с фильтрацией пакетов и хост-бастион. Этот подход реализует базовую безопасность сетевого уровня (фильтрация пакетов) и безопасность сервера приложений (прокси-сервисы).

[1] Вак, Джон; Карнахан, Лиза (декабрь 1994 г.). «3.4 Брандмауэр экранированной подсети». Обеспечение комфортной безопасности вашего сайта: введение в интернет-брандмауэры . Национальный институт стандартов и технологий. стр. 38–40. дои : 10.6028/NIST.SP.800-10 .

[2] Чепмен, Д. Брент; Цвикки, Элизабет Д. (ноябрь 1995 г.). «6.3. Архитектура экранированных подсетей». Создание интернет-брандмауэров (1-е изд.). О'Рейли и партнеры. ISBN 1-56592-124-0 .

[3] «Экзамен ISACA CISA» . ИСАКА. 2018 . Проверено 16 октября 2018 г. Межсетевой экран с экранированной подсетью, также используемый в качестве демилитаризованной зоны (DMZ), использует два маршрутизатора фильтрации пакетов и хост-бастион. Это обеспечивает наиболее безопасную систему брандмауэра, поскольку она поддерживает безопасность как на уровне сети, так и на уровне приложений, определяя при этом отдельную сеть DMZ.

[4] Джейкобс, Стюарт (2015). Инженерная информационная безопасность: применение концепций системной инженерии для обеспечения безопасности информации . Джон Уайли и сыновья. п. 563. ИСБН 9781119101604 .

[5] Дэвис, Уильям С. (20 сентября 2000 г.). «Используйте нападение, чтобы информировать защиту. Находите недостатки раньше, чем это сделают плохие парни» . Институт САНС.

[6] Вак, Джон; Карнахан, Лиза (декабрь 1994 г.). «3.3 Брандмауэр экранированного хоста». Обеспечение комфортной безопасности вашего сайта: введение в интернет-брандмауэры . Национальный институт стандартов и технологий. стр. 36–38. дои : 10.6028/NIST.SP.800-10 .

[7] Чепмен, Д. Брент; Цвикки, Элизабет Д. (ноябрь 1995 г.). «6.2. Экранированные хост-архитектуры». Создание интернет-брандмауэров (1-е изд.). О'Рейли и партнеры. ISBN 1-56592-124-0 .

[8] «Экзамен ISACA CISA» . ИСАКА. 2018 . Проверено 16 октября 2018 г. Брандмауэр с экранированным хостом использует маршрутизатор с фильтрацией пакетов и хост-бастион. Этот подход реализует базовую безопасность сетевого уровня (фильтрация пакетов) и безопасность сервера приложений (прокси-сервисы).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]