Экранированная подсеть

В сети экранированная подсеть относится к использованию одного или нескольких логических маршрутизаторов скрининга в качестве брандмауэра для определения трех отдельных подсчетов : внешний маршрутизатор (иногда называемый маршрутизатором Access ), который отделяет внешнюю сеть от сети периметра и внутренний Маршрутизатор (иногда называемый jock -маршрутизатором ), который отделяет сеть периметра от внутренней сети. Сеть периметра, также называемая пограничной сетью или демилитаризованной зоной (DMZ), предназначена для хостинговых серверов (иногда называемых бастионными хостами ), которые доступны или имеют доступ как к внутренним, так и к внешним сетям. ^{[ 1 ]}^{[ 2 ]}^{[ 3 ]} Цель экранированной подсети или DMZ состоит в том, чтобы создать сеть с повышенной безопасностью, которая расположена между внешней и предполагаемой враждебной сетью, такой как Интернет или экстранет, и внутренней сетью.

Экранированная подсеть является важной концепцией для электронной коммерции или любой организации, которая имеет присутствие во всемирной паутине или использует электронные платежные системы или другие сетевые услуги из-за распространенности хакеров , усовершенствованных постоянных угроз , компьютерных червей , ботнеров и Другие угрозы для сетевых информационных систем .

Физическое разделение маршрутизаторов

Разделяя систему брандмауэра на два отдельных компонентных маршрутизатора, она достигает большей потенциала пропускной способности за счет снижения вычислительной нагрузки каждого маршрутизатора. Поскольку каждый компонентный маршрутизатор экранированного брандмауэра подсети должен реализовать только одну общую задачу, каждый маршрутизатор имеет менее сложную конфигурацию. Экранированная подсеть или DMZ также могут быть достигнуты одним устройством брандмауэра с тремя сетевыми интерфейсами. ^{[ 4 ]}

Отношение с DMZ

Термин «демилитаризованная зона в военном контексте» относится к области, в которой договоры или соглашения между конкуренциями запрещают военные инсталляции и деятельность, часто вдоль установленной границы или границы между двумя или более военными полномочиями или альянсами. Сходство с безопасностью сети состоит в том, что экранированная сеть (DMZ) имеет снижение укрепления, поскольку она предназначена для входа из внешней сети, которая, как предполагается, является враждебной.

Похоже, что термин «демилитаризованная зона» (DMZ) был популяризирован как торговый и маркетинговый термин после разработки экранированных маршрутизаторов и брандмауэров. Он часто используется в качестве синоним, но мог когда -то иметь другое значение.

«Есть ряд терминов, которые используются, такие как бастионные хосты, экранированные подсети, сети DMZ или периметра, которые могут запутаться, особенно при использовании вместе». ... "Еще один термин, который часто может привести к путанице, - это DMZ (демилитаризованная зона), в отличие от экранированной подсети. Настоящий DMZ - это сеть, которая содержит хосты, доступные из Интернета только с внешним или границей, маршрутизатором между ними . ... "Экранированная подсеть также может быть коллекцией хостов на подсети, но они расположены за скрининговым маршрутизатором. Термин DMZ может использоваться поставщиком, чтобы означать, поэтому лучше всего проверить, что они имеют в виду. " ^{[ 5 ]}

Сравнение с экранированным брандмауэром / архитектурой хозяина

Принимая во внимание, что в брандмауэре подсетью подсеть используется два экранированных маршрутизатора для создания трех подсетей, экранированный хост брандмауэр использует только один экранированный маршрутизатор для определения двух подсетей: внешней сети и внутренней сети. ^{[ 6 ]}^{[ 7 ]}^{[ 8 ]} Экранированный брандмауэр подсети является более безопасным, потому что злоумышленник должен пройти два фильтрованных маршрута, чтобы достичь внутренней сети. Если хост бастиона / DMZ поставлен под угрозу, злоумышленник все еще должен обойти второй отфильтрованный маршрут для достижения внутренних сетевых хостов.

Смотрите также

Ссылки

^ Вакр, Джон; Карнахан, Лиза (декабрь 1994 г.). «3.4 Экранированный подсеть брандмауэр». Сохранение вашего сайта удобно безопасно: введение в брандмауэры в Интернете . Национальный институт стандартов и технологий. С. 38–40. doi : 10.6028/nist.sp.800-10 .
^ Чепмен, Д. Брент; Цвики, Элизабет Д. (ноябрь 1995 г.). «6.3. Экранированные архитектуры подсети». Создание интернет -брандмауэров (1 -е изд.). O'Reilly & Associates. ISBN 1-56592-124-0 .
^ «Исследование ISACA CISA» . Исака. 2018 . Получено 16 октября 2018 года . Брандмауэр с экранированным Subnet, также используемый в качестве демилитаризованной зоны (DMZ), использует два маршрутизатора фильтрации пакетов и бастионный хост. Это обеспечивает наиболее безопасную систему брандмауэра, поскольку она поддерживает безопасность как сетевого, так и на уровне приложений, одновременно определяя отдельную сеть DMZ.
^ Джейкобс, Стюарт (2015). Инженерная информационная безопасность: применение системных концепций для достижения обеспечения информации . Джон Уайли и сыновья. п. 563. ISBN 9781119101604 .
^ Дэвис, Уильям С. (20 сентября 2000 г.). «Используйте нарушение, чтобы информировать защиту. Найдите недостатки, прежде чем плохие парни» . Санс Институт.
^ Вакр, Джон; Карнахан, Лиза (декабрь 1994 г.). «3.3 Экранированный хозяин брандмауэр». Сохранение вашего сайта удобно безопасно: введение в брандмауэры в Интернете . Национальный институт стандартов и технологий. С. 36–38. doi : 10.6028/nist.sp.800-10 .
^ Чепмен, Д. Брент; Цвики, Элизабет Д. (ноябрь 1995 г.). «6.2. Экранированные архитектуры хозяина». Создание интернет -брандмауэров (1 -е изд.). O'Reilly & Associates. ISBN 1-56592-124-0 .
^ «Исследование ISACA CISA» . Исака. 2018 . Получено 16 октября 2018 года . Брандмауэр с экранированным домом использует маршрутизатор фильтрации пакетов и бастионный хост. Этот подход реализует базовую безопасность сетевого уровня (фильтрация пакетов) и безопасность сервера приложений (Proxy Services).

[1] Вакр, Джон; Карнахан, Лиза (декабрь 1994 г.). «3.4 Экранированный подсеть брандмауэр». Сохранение вашего сайта удобно безопасно: введение в брандмауэры в Интернете . Национальный институт стандартов и технологий. С. 38–40. doi : 10.6028/nist.sp.800-10 .

[2] Чепмен, Д. Брент; Цвики, Элизабет Д. (ноябрь 1995 г.). «6.3. Экранированные архитектуры подсети». Создание интернет -брандмауэров (1 -е изд.). O'Reilly & Associates. ISBN 1-56592-124-0 .

[3] «Исследование ISACA CISA» . Исака. 2018 . Получено 16 октября 2018 года . Брандмауэр с экранированным Subnet, также используемый в качестве демилитаризованной зоны (DMZ), использует два маршрутизатора фильтрации пакетов и бастионный хост. Это обеспечивает наиболее безопасную систему брандмауэра, поскольку она поддерживает безопасность как сетевого, так и на уровне приложений, одновременно определяя отдельную сеть DMZ.

[4] Джейкобс, Стюарт (2015). Инженерная информационная безопасность: применение системных концепций для достижения обеспечения информации . Джон Уайли и сыновья. п. 563. ISBN 9781119101604 .

[5] Дэвис, Уильям С. (20 сентября 2000 г.). «Используйте нарушение, чтобы информировать защиту. Найдите недостатки, прежде чем плохие парни» . Санс Институт.

[6] Вакр, Джон; Карнахан, Лиза (декабрь 1994 г.). «3.3 Экранированный хозяин брандмауэр». Сохранение вашего сайта удобно безопасно: введение в брандмауэры в Интернете . Национальный институт стандартов и технологий. С. 36–38. doi : 10.6028/nist.sp.800-10 .

[7] Чепмен, Д. Брент; Цвики, Элизабет Д. (ноябрь 1995 г.). «6.2. Экранированные архитектуры хозяина». Создание интернет -брандмауэров (1 -е изд.). O'Reilly & Associates. ISBN 1-56592-124-0 .

[8] «Исследование ISACA CISA» . Исака. 2018 . Получено 16 октября 2018 года . Брандмауэр с экранированным домом использует маршрутизатор фильтрации пакетов и бастионный хост. Этот подход реализует базовую безопасность сетевого уровня (фильтрация пакетов) и безопасность сервера приложений (Proxy Services).

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]