สารบัญ:
วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (กันยายน 2024)
ตัวอย่างที่ดีที่สุดของเขตปลอดทหารในวันนี้คือดินแดนที่ได้รับการปกป้องอย่างเข้มงวดในเกาหลี เป็นพื้นที่ที่ทั้งสองด้านของเขตแดนระหว่างเกาหลีเหนือและเกาหลีใต้ที่มีวัตถุประสงค์เพื่อให้แต่ละประเทศจากการเริ่มต้นสงครามกับคนอื่นโดยไม่ตั้งใจ ในการคำนวณ DMZ นั้นมีแนวคิดคล้ายกันในการให้สถานที่ที่ทำให้โลกที่ไม่น่าเชื่อถือของอินเทอร์เน็ตออกจากเครือข่ายภายในองค์กรของคุณในขณะที่ยังคงให้บริการกับโลกภายนอก เป็นเวลานานที่ผู้เชี่ยวชาญด้านการสร้างไอทีเกือบทุกเครือข่ายที่เชื่อมต่อกับอินเทอร์เน็ตได้รวม DMZ เข้าด้วยกันเป็นหลัก แต่ระบบคลาวด์เปลี่ยนไปทั้งหมด
มาตรการรักษาความปลอดภัยเพิ่มเติมขององค์กรดำเนินการในปี 2560
หากคุณยังคงใช้งาน DMZ อยู่คุณจะพบว่าเป็นตัวอย่างของการแบ่งส่วนเครือข่ายโดยทั่วไป ดูอย่างใกล้ชิดและโดยทั่วไปคุณจะพบการรวมกันของไฟร์วอลล์และเราเตอร์ ในกรณีส่วนใหญ่ DMZ จะถูกสร้างขึ้นโดยอุปกรณ์รักษาความปลอดภัยที่ทันสมัย (โดยปกติจะเป็นไฟร์วอลล์) ที่สำรองข้อมูลโดยเราเตอร์อื่นหรือไฟร์วอลล์ที่ป้องกันประตูไปยังเครือข่ายภายใน
ในขณะที่องค์กรส่วนใหญ่ไม่ต้องการ DMZ อีกต่อไปในการปกป้องตนเองจากโลกภายนอกแนวคิดในการแยกสินค้าดิจิทัลที่มีค่าจากส่วนที่เหลือของเครือข่ายของคุณยังคงเป็นกลยุทธ์การรักษาความปลอดภัย หากคุณใช้กลไก DMZ เป็นพื้นฐานภายในทั้งหมดก็ยังคงมีกรณีใช้ที่เหมาะสม ตัวอย่างหนึ่งคือปกป้องการเข้าถึงที่เก็บข้อมูลที่มีค่ารายการควบคุมการเข้าถึงหรือขุมทรัพย์ที่คล้ายกัน คุณจะต้องการให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถข้ามผ่านห่วงเพิ่มเติมได้มากเท่าที่จะเป็นไปได้ก่อนที่พวกเขาจะเข้าถึง
DMZ ทำงานอย่างไร
DMZ ใช้งานได้เช่นนี้: จะมีไฟร์วอลล์ขอบที่เผชิญกับความน่ากลัวของอินเทอร์เน็ตแบบเปิด หลังจากนั้นจะเป็น DMZ และไฟร์วอลล์อื่นที่ป้องกันเครือข่ายท้องถิ่นของ บริษัท คุณ (LAN) หลังไฟร์วอลล์นั้นจะเป็นเครือข่ายภายในของคุณ ด้วยการเพิ่มเครือข่ายพิเศษระหว่างนี้คุณสามารถใช้เลเยอร์ความปลอดภัยเพิ่มเติมที่ malcontents จะต้องเอาชนะก่อนที่พวกเขาจะสามารถเข้าถึงเครือข่ายภายในที่แท้จริงของคุณได้ - ซึ่งทุกสิ่งนั้นยังครอบคลุมไม่เพียง แต่การควบคุมการเข้าถึงเครือข่ายเท่านั้น
ในระหว่างไฟร์วอลล์ตัวแรกและตัวที่สองปกติแล้วคุณจะพบสวิตช์ที่ให้การเชื่อมต่อเครือข่ายกับเซิร์ฟเวอร์และอุปกรณ์ที่จำเป็นต้องมีในอินเทอร์เน็ต สวิตช์นี้ยังให้การเชื่อมต่อกับไฟร์วอลล์ตัวที่สอง
ไฟร์วอลล์แรกควรได้รับการกำหนดค่าให้อนุญาตเฉพาะทราฟฟิกที่ต้องการเข้าถึง LAN ภายในของคุณและเซิร์ฟเวอร์ใน DMZ ไฟร์วอลล์ภายในควรอนุญาตการรับส่งข้อมูลผ่านพอร์ตเฉพาะที่จำเป็นสำหรับการทำงานของเครือข่ายภายในของคุณเท่านั้น
ใน DMZ คุณควรกำหนดค่าเซิร์ฟเวอร์ของคุณให้ยอมรับเฉพาะทราฟฟิกบนพอร์ตเฉพาะและยอมรับเฉพาะโปรโตคอลที่ระบุเท่านั้น ตัวอย่างเช่นคุณจะต้องการ จำกัด ทราฟฟิกบนพอร์ต 80 ถึง HyperText Transfer Protocol (HTTP) เท่านั้น นอกจากนี้คุณยังจะต้องกำหนดค่าเซิร์ฟเวอร์เหล่านั้นเพื่อให้พวกเขาทำงานเฉพาะบริการที่จำเป็นสำหรับพวกเขาในการทำงาน คุณอาจต้องการให้ระบบตรวจจับการบุกรุก (IDS) ตรวจสอบกิจกรรมบนเซิร์ฟเวอร์ใน DMZ ของคุณเพื่อให้มัลแวร์โจมตีผ่านไฟร์วอลล์ซึ่งสามารถตรวจพบและหยุดการทำงานได้
ไฟร์วอลล์ภายในควรเป็นไฟร์วอลล์รุ่นต่อไป (NGFW) ที่ดำเนินการตรวจสอบปริมาณการใช้งานของคุณที่ผ่านพอร์ตเปิดในไฟร์วอลล์ของคุณและยังมองหาตัวบ่งชี้การบุกรุกหรือมัลแวร์ นี่คือไฟร์วอลล์ที่ปกป้องมงกุฎเพชรของเครือข่ายของคุณดังนั้นจึงไม่ใช่สถานที่ที่จะปล่อยทิ้ง ผู้ผลิต NGFWs ได้แก่ Barracude, Check Point, Cisco, Fortinet, Juniper และ Palo Alto เป็นต้น
พอร์ต Ethernet เป็นพอร์ต DMZ
สำหรับองค์กรขนาดเล็กมีวิธีการที่มีค่าใช้จ่ายน้อยกว่าที่จะให้ DMZ เราเตอร์ที่บ้านและธุรกิจขนาดเล็กจำนวนมากมีฟังก์ชั่นที่ช่วยให้คุณกำหนดพอร์ตอีเทอร์เน็ตหนึ่งพอร์ตเป็นพอร์ต DMZ สิ่งนี้ช่วยให้คุณสามารถวางอุปกรณ์เช่นเว็บเซิร์ฟเวอร์บนพอร์ตนั้นซึ่งสามารถแชร์ที่อยู่ IP ของคุณ แต่ยังสามารถใช้ได้กับโลกภายนอก ไม่จำเป็นต้องพูดว่าเซิร์ฟเวอร์นี้ควรถูกล็อคไว้เท่าที่จะทำได้และมีบริการที่จำเป็นเท่านั้น เพื่อแยกส่วนของคุณออกคุณสามารถแนบสวิตช์แยกไปยังพอร์ตนั้นและมีอุปกรณ์มากกว่าหนึ่งตัวใน DMZ
ข้อเสียของการใช้พอร์ต DMZ ที่กำหนดเช่นนี้คือคุณมีข้อผิดพลาดเพียงจุดเดียว แม้ว่าเราเตอร์เหล่านี้ส่วนใหญ่จะมีไฟร์วอลล์ในตัว แต่โดยทั่วไปจะไม่รวมชุดคุณลักษณะแบบเต็มของ NGFW นอกจากนี้หากเราเตอร์ละเมิดเครือข่ายของคุณก็เช่นกัน
ในขณะที่ DMZ ที่ใช้เราเตอร์ทำงานได้ แต่ก็อาจไม่ปลอดภัยเท่าที่คุณต้องการ อย่างน้อยที่สุดคุณอาจต้องพิจารณาเพิ่มไฟร์วอลล์ตัวที่สองไว้ด้านหลัง สิ่งนี้จะมีค่าใช้จ่ายเพิ่มเติมเล็กน้อย แต่จะไม่เสียค่าใช้จ่ายเท่าที่การละเมิดข้อมูลจะเกิดขึ้น ผลลัพธ์ที่สำคัญอื่น ๆ ด้วยการติดตั้งเช่นนี้ก็คือมันมีความซับซ้อนในการจัดการและพิจารณาว่า บริษัท ขนาดเล็กที่อาจใช้วิธีการนี้มักจะไม่มีพนักงานไอทีคุณอาจต้องการว่าจ้างที่ปรึกษาเพื่อจัดตั้งและจัดการ เป็นครั้งคราว
บังสุกุลสำหรับ DMZ
- บริการ VPN ที่ดีที่สุดสำหรับปี 2019 บริการ VPN ที่ดีที่สุดสำหรับปี 2019
- ซอฟต์แวร์ป้องกันและอุปกรณ์รักษาความปลอดภัยปลายทางที่ดีที่สุดสำหรับปี 2562 ซอฟต์แวร์ป้องกันและอุปกรณ์รักษาความปลอดภัยปลายทางที่ดีที่สุดสำหรับปี 2562
- ซอฟต์แวร์ตรวจสอบเครือข่ายที่ดีที่สุดสำหรับ 2019 ซอฟต์แวร์ตรวจสอบเครือข่ายที่ดีที่สุดสำหรับปี 2562
ดังที่ได้กล่าวไว้ก่อนหน้านี้คุณจะไม่พบ DMZ มากเกินไปที่ยังทำงานอยู่ในป่า เหตุผลก็คือ DMZ มีวัตถุประสงค์เพื่อเติมฟังก์ชันที่วันนี้มีการจัดการในระบบคลาวด์สำหรับฟังก์ชั่นธุรกิจส่วนใหญ่ แอพ SaaS ทุกตัวที่คุณปรับใช้และเซิร์ฟเวอร์ทุกตัวที่คุณโฮสต์ย้ายโครงสร้างพื้นฐานที่หันเข้าหาภายนอกทั้งหมดจากศูนย์ข้อมูลของคุณและไปสู่คลาวด์และ DMZs ก็พร้อมแล้วสำหรับการเดินทาง หมายความว่าคุณสามารถเลือกบริการคลาวด์เปิดตัวอินสแตนซ์ที่มีเว็บเซิร์ฟเวอร์และปกป้องเซิร์ฟเวอร์นั้นด้วยไฟร์วอลล์ของผู้ให้บริการคลาวด์และคุณตั้งค่าไว้ ไม่จำเป็นต้องเพิ่มส่วนเครือข่ายที่กำหนดค่าแยกต่างหากไปยังเครือข่ายภายในของคุณเนื่องจากทุกอย่างเกิดขึ้นที่อื่น แต่อย่างใด นอกจากนี้ยังมีฟังก์ชั่นอื่น ๆ ที่คุณอาจใช้กับ DMZ ในระบบคลาวด์และด้วยวิธีการดังกล่าวคุณจะปลอดภัยยิ่งขึ้น
ถึงกระนั้นในฐานะที่เป็นกลยุทธ์การรักษาความปลอดภัยโดยทั่วไปมันเป็นมาตรการที่เหมาะสมทั้งหมด การสร้างกลุ่มเครือข่ายแบบ DMZ ที่อยู่หลังไฟร์วอลล์ของคุณจะให้ประโยชน์เช่นเดียวกับที่เคยทำเมื่อคุณใช้สควอชระหว่าง LAN และอินเทอร์เน็ต: ส่วนอื่นหมายถึงการป้องกันที่มากขึ้นคุณสามารถบังคับให้คนร้ายบุกเข้าไปก่อน สิ่งที่พวกเขาต้องการจริงๆ ยิ่งพวกเขาต้องทำงานมากเท่าไหร่ระบบของคุณก็จะยิ่งตรวจจับและตอบโต้ภัยคุกคามได้มากขึ้นเท่านั้น
