Экранированная подсеть
В сетевой безопасности экранированная подсеть относится к использованию одного или нескольких логических экранирующих маршрутизаторов в качестве брандмауэра для определения трех отдельных подсетей : внешнего маршрутизатора (иногда называемого маршрутизатором доступа ), который отделяет внешнюю сеть от сети периметра, и внутренней. маршрутизатор (иногда называемый дроссельным маршрутизатором ), который отделяет сеть периметра от внутренней сети. Сеть периметра, также называемая пограничной сетью или демилитаризованной зоной (DMZ), предназначена для размещения серверов (иногда называемых узлами-бастионами ), которые доступны или имеют доступ как к внутренней, так и к внешней сети.[1] [2] [3] Экранированная подсеть или DMZ предназначена для создания сети с повышенной безопасностью, расположенной между внешней и предположительно враждебной сетью, такой как Интернет или экстрасеть, и внутренней сетью.
Экранированная подсеть является важной концепцией для электронной коммерции или любой организации, которая присутствует во Всемирной паутине или использует электронные платежные системы или другие сетевые службы из-за преобладания хакеров , сложных постоянных угроз , компьютерных червей , ботнетов и другие угрозы сетевым информационным системам .
Разделение системы брандмауэра на два отдельных маршрутизатора-компонента позволяет повысить потенциальную пропускную способность за счет снижения вычислительной нагрузки каждого маршрутизатора. Поскольку каждый маршрутизатор-компонент экранируемого брандмауэра подсети должен выполнять только одну общую задачу, каждый маршрутизатор имеет менее сложную конфигурацию. Экранированная подсеть или DMZ также может быть реализована с помощью одного брандмауэра с тремя сетевыми интерфейсами. [4]
Термин демилитаризованная зона в военном контексте относится к области, в которой договоры или соглашения между противоборствующими группами запрещают военные объекты и деятельность, часто вдоль установленной границы или границы между двумя или более военными державами или союзами. Сходство с сетевой безопасностью заключается в том, что экранированная сеть (DMZ) имеет меньшее количество укреплений, поскольку она имеет предполагаемые точки входа из внешней сети, которая предположительно является враждебной.
Похоже, что термин «демилитаризованная зона» (DMZ) был популяризирован как коммерческий и маркетинговый термин через некоторое время после разработки экранированных маршрутизаторов и брандмауэров. Он часто используется как синоним, но, возможно, когда-то имел другое значение.
В то время как межсетевой экран экранированной подсети использует два экранированных маршрутизатора для создания трех подсетей, межсетевой экран экранированного хоста использует только один экранированный маршрутизатор для определения двух подсетей: внешней сети и внутренней сети. [6] [7] [8] Брандмауэр экранированной подсети более безопасен, поскольку злоумышленник должен пройти два отфильтрованных маршрута, чтобы добраться до внутренней сети. Если хост-бастион / DMZ скомпрометирован, злоумышленник все равно должен обойти второй отфильтрованный маршрут, чтобы добраться до хостов внутренней сети.
