Если заглянуть в Википедию, то мы прочтем - ДМЗ (демилитаризованная зона, DMZ) — технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети (который и называется ДМЗ) и ограничены в доступе к основным сегментам сети с помощью межсетевого экрана (файрвола), с целью минимизировать ущерб, при взломе одного из общедоступных сервисов находящихся в ДМЗ.
Очень четко понятие описал пользователь flatch на форуме сайте securitylab.ru
Термин DMZ (demilitarized zone) характеризует компьютер (несколько компьютеров), помещенный между внутренней сетью фирмы и внешней сетью. Демилитаризованная зона не позволяет внешнему пользователю получить доступ к данным, находящимся на сервере фирмы, однако не ограничивает возможность использования публичных услуг: WWW, электронной почты и т. п. DMZ напоминает межсетевые фильтры, однако безопаснее и выполняет функции сервера-посредника (proxy). В конфигурацию DMZ входящий компьютер (host) получает запрос от внутренних работников фирмы о их желании попасть на интернет страницу или в публичные сети других компаний. DMZ компьютер может открыть сессию такого запроса во внешней сети, однако ему запрещено открывать сессии на запросы попасть в частную сеть. Пользователи внешней сети могут попасть в DMZ компьютер, в котором может находиться интернет сайт фирмы, и просмотреть их, однако DMZ не дает доступа к другим данным компании.
B WiKi находим более сложные варианты.
Конфигурация с одним файрволом
Схема с одним файрволом.
Простейшей (и наиболее распространённой) схемой является схема, в которой ДМЗ, внутренняя сеть и внешняя сеть подключаются к разным портам маршрутизатора (выступающего в роли файрвола), контролирующего соединения между сетями. Подобная схема проста в реализации, требует всего лишь одного дополнительного порта. Однако в случае взлома (или ошибки конфигурирования) маршрутизатора сеть оказывается уязвима напрямую из внешней сети.
Конфигурация с двумя файрволами Схема с двумя файрволами и общим соединением.
В конфигурации с двумя файрволами ДМЗ подключается к двум маршрутизаторам, один из которых ограничивает соединения из внешней сети в ДМЗ, а второй контролирует соединения из ДМЗ во внутреннюю сеть. Подобная схема позволяет минимизировать последствия взлома любого из файрволов или серверов, взаимодействующих с внешней сетью — до тех пор, пока не будет взломан внутренний файрвол, злоумышленник не будет иметь произвольного доступа к внутренней сети.
Конфигурация с тремя файрволами
Существует редкая конфигурация с тремя файрволами. В этой конфигурации первый из них принимает на себя запросы из внешней сети, второй контролирует сетевые подключения ДМЗ, а третий — контролирует соединения внутренней сети. В подобной конфигурации обычно ДМЗ и внутренняя сеть скрываются за NAT (трансляцией сетевых адресов).
Одной из ключевых особенностей ДМЗ является не только фильтрация трафика на внутреннем файрволе, но и требование обязательной сильной криптографии при взаимодействии между активным оборудованием внутренней сети и ДМЗ. В частности, не должно быть ситуаций, в которых возможна обработка запроса от сервера в ДМЗ без авторизации. В случае, если ДМЗ используется для обеспечения защиты информации внутри периметра от утечки изнутри, аналогичные требования предъявляются для обработки запросов пользователей из внутренней сети.
ДМЗ и SOHO
В случае использования домашних (SOHO) маршрутизаторов и точек доступа под ДМЗ иногда подразумевается возможность «проброса портов» (PAT) — осуществления трансляции пришедшего из внешней сети запроса на какой-либо порт маршрутизатора на указанный узел внутренней сети.
Источник: http://pro-net.ru |