Ekranowana podsieć
W architekturze tego typu korzysta się z dodatkowych elementów, podnoszących znacznie poziom bezpieczeństwa. Ekranowana podsieć14 (ang. screened subnet) opiera się na tak zwanej sieci peryferyjnej (ang. perimeter network), która oddzielona jest od innych sieci dwoma routerami. Pierwszy z nich, wewnętrzny (ang. interior router, zwany też dławiącym – ang. choke router) łączy sieć peryferyjną z prywatną. Drugi, zewnętrzny router (ang. external router, zwany dostępowym – ang. access router) umiejscowiony jest na styku z Internetem (rys. 3.3).
Powyższa architektura nazywana jest też strefą zdemilitaryzowaną. Samo określenie pochodzi z terminologii wojskowej i oznacza „bufor” pomiędzy wrogimi siłami. W terminologii informatycznej oznacza to specjalną, odizolowaną sieć, która znajduje się pomiędzy siecią chronioną, a publiczną. Służy do tego, aby umieszczać w niej systemy, które mają być publicznie dostępne z sieci publicznej, dlatego najczęściej w takich właśnie strefach znajdują się serwery poczty, WWW, DNS, czy też proxy. Z racji tego, że sieć DMZ narażona jest bezpośrednio na zagrożenia płynące z sieci publicznej, systemy w niej umieszczone muszą być dobrze zabezpieczonymi hostami bastionowymi.
Polityka bezpieczeństwa ruchu między siecią DMZ, a siecią wewnętrzną powinna być taka, iż połączenia powinny być możliwe:
1) z sieci publicznej do DMZ;
2) z sieci chronionej do DMZ.
Nie powinna mieć miejsca sytuacja, gdy jakiekolwiek połączenie jest inicjowane z DMZ do sieci chronionej.
Rys. 3.3 - Typowe rozwiązanie ze strefą zdemilitaryzowaną
komentarze
Copyright © 2008-2010 EPrace oraz autorzy prac.