В компьютерных сетях демилитаризованная область представляет собой специальную конфигурацию локальной сети, предназначенную для повышения безопасности путем разделения компьютеров на каждой стороне брандмауэра. DMZ может быть настроен либо в домашних, либо в бизнес-сетях, хотя их полезность в домах ограничена.
Где полезная DMZ?
В домашней сети компьютеры и другие устройства обычно настраиваются в локальную сеть, подключенную к Интернету, с использованием широкополосного маршрутизатора. Маршрутизатор служит в качестве межсетевого экрана, выборочно фильтруя трафик извне, чтобы обеспечить прохождение только законных сообщений. DMZ делит такую сеть на две части, беря одно или несколько устройств внутри брандмауэра и перемещая их наружу. Эта конфигурация лучше защищает внутренние устройства от возможных атак снаружи (и наоборот).
DMZ полезен в домах, когда в сети работает сервер. Сервер может быть настроен в DMZ, чтобы пользователи Интернета могли достичь его через свой общедоступный IP-адрес, а остальная часть домашней сети была защищена от атак в случаях, когда сервер был взломан. Несколько лет назад, до того, как облачные сервисы стали широко доступными и популярными, люди чаще использовали веб-сайты, VoIP или файловые серверы из своих домов, а DMZ имели больше смысла.
С другой стороны, сети бизнес-компьютеров могут чаще использовать DMZ для управления своими корпоративными сетями и другими публичными серверами. Домашние сети в настоящее время чаще используют преимущества DMZ, называемого DMZ-хостингом.
Поддержка хостов DMZ в широкополосных маршрутизаторах
Информация о сетевых DMZ может ввести в заблуждение, чтобы понять сначала, потому что термин относится к двум типам конфигураций. Стандарт Принимающий DMZ функция домашних маршрутизаторов не настраивает полную подсеть DMZ, а вместо этого идентифицирует одно устройство в существующей локальной сети для работы вне брандмауэра, а остальная часть сети функционирует как обычно.
Чтобы настроить поддержку узла DMZ в домашней сети, войдите в консоль маршрутизатора и включите опцию хоста DMZ, которая по умолчанию отключена. Введите частный IP-адрес для локального устройства, назначенного хостом. Игровые консоли Xbox или PlayStation часто выбираются в качестве DMZ-хостов, чтобы предотвратить вмешательство домашнего брандмауэра в онлайн-играх. Убедитесь, что хост использует статический IP-адрес (а не динамически назначенный), в противном случае другое устройство может наследовать назначенный IP-адрес и вместо этого стать хозяином DMZ.
Поддержка True DMZ
В отличие от DMZ-хостинга, истинная DMZ (иногда называемая коммерческой DMZ) устанавливает новую подсеть вне брандмауэра, где запускается один или несколько компьютеров. Эти компьютеры снаружи добавляют дополнительный уровень защиты для компьютеров, стоящих за брандмауэром, так как все входящие запросы перехватываются и должны сначала проходить через компьютер DMZ до достижения брандмауэра. Истинные DMZ также ограничивают компьютеры, расположенные за брандмауэром, напрямую связанными с устройствами DMZ, требуя, чтобы сообщения поступали через общедоступную сеть. Многоуровневые DMZ с несколькими уровнями поддержки межсетевого экрана могут быть настроены для поддержки крупных корпоративных сетей.
