Qual è la funzione e l'uso reali di una DMZ su una rete?

Motivi per cui vuoi una DMZ e i vantaggi che offre. L'idea generale è che metti i tuoi server pubblici nella "rete DMZ" in modo che tu possa separarli dalla tua rete privata fidata . Il caso d'uso è che, poiché il tuo server ha una faccia pubblica, può essere root remoto. Se ciò accade e una parte malintenzionata accede al tuo server, dovrebbe essere isolato nella rete DMZ e non avere accesso diretto agli host privati (o ad un server di database, ad esempio, che sarebbe all'interno la rete privata e non sulla DMZ).

Come si fa: Esistono diversi modi, ma l'esempio di "libro" utilizza due firewall (ovviamente è possibile ottenere lo stesso risultato con un firewall e una configurazione intelligente, sebbene l'isolamento dell'hardware sia più gradevole). Il tuo firewall principale è tra Internet e il server e il secondo firewall tra il server e la rete privata. Su questo secondo firewall, l'accesso dal server alla rete privata sarebbe idealmente vietato (ovviamente sarebbe un firewall statico, quindi se si avvia una connessione dalla rete privata al server funzionerebbe).

Quindi, questa è una panoramica di alto livello di DMZ. Se desideri ulteriori dettagli tecnici, modifica la tua domanda di conseguenza.

Naturalmente posso solo aggiungere alla risposta di John ed eccolo qui:

Separate la DMZ dal resto della rete sia in termini di routing IP che di politica di sicurezza.

1. Identifica le tue aree di rete. Interno: sistemi critici; DMZ: i sistemi che puoi permetterti di essere "esposti", i sistemi che vuoi ospitare nel mondo esterno, ad es. i tuoi host SSH; Esterno: il resto del mondo.

2. Configura queste aree separate sulla tua architettura di rete.

3. I firewall / router sono quindi configurati per consentire connessioni dirette dal mondo esterno solo alla DMZ. Corrispondentemente, i vostri sistemi interni dovrebbero essere in grado di connettersi solo alla DMZ e accedere al mondo esterno tramite HTTP, proxy di applicazioni, relay di posta ecc. Le regole del tuo firewall dovrebbero riflettere queste decisioni bloccando le corrispondenti direzioni / IP / porte del traffico: ad es. verso l'interno consente solo le porte per i servizi che operano nella DMZ ecc.

4. Idealmente dovresti configurare qualsiasi servizio di scambio di informazioni tra le aree di rete (interne, DMZ, esterne) da avviare DAL segmento di rete più sicuro alle aree meno sicure, ad es. Se hai bisogno di trasferire file in "dentro" gli host hanno i sistemi interni di iniziare il trasferimento (hanno il ruolo del client, piuttosto che il ruolo del server).

Nelle reti di pc, una zona (zona demilitarizzata) può essere una sottorete fisica o logica che separa una rete nativa dello spazio nativo (LAN) da reti non fidate diverse, a volte dalla rete. Server, risorse e servizi rivolti all'esterno sono collocati all'interno della zona in modo che siano accessibili dalla rete, tuttavia il resto della rete di computer interna rimane non raggiunto. Ciò fornisce un ulteriore livello di sicurezza alla rete di computer perché limita la possibilità per gli hacker di accedere direttamente ai server e alle informazioni interne tramite la rete.