Экранированная подсеть - Screened subnet

Архитектура экранированной подсети: экранированный маршрутизатор отделяет внешнюю сеть (Интернет) от хостов-бастионов в DMZ, а другой экранированный маршрутизатор определяет внутреннюю сеть.

В сетевая безопасность а экранированная подсеть относится к использованию одного или нескольких логических экранирующие маршрутизаторы как брандмауэр определить три отдельных подсети: внешний маршрутизатор (иногда называемый маршрутизатор доступа), который отделяет внешнюю сеть от сети периметра, и внутренний маршрутизатор (иногда называемый дроссель маршрутизатор), который отделяет сеть периметра от внутренней сети. Сеть периметра, также называемая пограничной сетью или демилитаризованная зона (DMZ), предназначен для размещения серверов (иногда называемых хозяева бастиона ), которые доступны из внутренних и внешних сетей или имеют доступ к ним.[1][2][3] Целью экранированной подсети или DMZ является создание сети с повышенной безопасностью, которая расположена между внешней и предполагаемой враждебной сетью, такой как Интернет или экстранет, и внутренней сетью.

Экранированная подсеть - важная концепция для электронная коммерция или любое лицо, которое присутствует в Всемирная паутина или использует электронные платежные системы или других сетевых услуг из-за преобладания хакеры, сложные постоянные угрозы, компьютерные черви, ботнеты, и другие угрозы для сетевых информационные системы.

Физическое разделение роутеров

Схема экранированной подсети с использованием устройств с двойным межсетевым экраном.
Схема экранированной подсети с использованием одного брандмауэра.

Разделив систему межсетевого экрана на два отдельных маршрутизатора, можно достичь большей потенциальной пропускной способности за счет снижения вычислительной нагрузки каждого маршрутизатора. Поскольку каждый компонентный маршрутизатор экранированного межсетевого экрана подсети должен выполнять только одну общую задачу, каждый маршрутизатор имеет менее сложную конфигурацию. Экранированная подсеть или DMZ также может быть достигнута с помощью одного брандмауэра с тремя сетевыми интерфейсами.[4]

Отношение к DMZ

Период, термин демилитаризованная зона в военном контексте относится к области, в которой договоры или соглашения между противоборствующими группами запрещают военные сооружения и действия, часто вдоль установленной границы или границы между двумя или более военными державами или союзами. Сходство с сетевой безопасностью состоит в том, что экранированная сеть (DMZ) имеет меньше укреплений, потому что в ней предусмотрены точки входа из внешней сети, которая считается враждебной.

Похоже, что термин демилитаризованная зона (DMZ) был популяризирован как термин продаж и маркетинга спустя некоторое время после разработки экранированных маршрутизаторов и межсетевых экранов. Он часто используется как синоним, но когда-то имел другое значение.

«Используется ряд терминов, таких как узлы-бастионы, экранированные подсети, DMZ или сети периметра, которые могут сбивать с толку, особенно при совместном использовании». ... "Другой термин, который может часто вызывать путаницу, - это DMZ (демилитаризованная зона), в отличие от экранированной подсети. Настоящая DMZ - это сеть, которая содержит хосты, доступные из Интернета, между которыми находится только внешний или граничный маршрутизатор. . Эти хосты не защищены маршрутизатором экранирования ». ... "Экранированная подсеть также может быть совокупностью хостов в подсети, но они расположены за фильтрующим маршрутизатором. Термин DMZ может использоваться поставщиком для обозначения того и другого, поэтому лучше проверить, что они означают. " [5]

Сравнение с экранированным межсетевым экраном / архитектурой хоста

В то время как межсетевой экран с экранированной подсетью использует два экранированных маршрутизатора для создания трех подсетей, экранированный межсетевой экран хоста использует только один экранированный маршрутизатор для определения двух подсетей: внешней сети и внутренней сети.[6][7][8] Экранированный брандмауэр подсети более безопасен, поскольку злоумышленник должен пройти два отфильтрованных маршрута, чтобы достичь внутренней сети. Если хост-бастион / DMZ скомпрометирован, злоумышленник все равно должен обойти второй отфильтрованный маршрут, чтобы достичь хостов внутренней сети.

Рекомендации

  1. ^ Вак, Джон; Карнахан, Лиза (декабрь 1994 г.). «3.4 Экранированный межсетевой экран подсети». Обеспечение комфортной безопасности вашего сайта: введение в брандмауэры Интернета. Национальный институт стандартов и технологий. С. 38–40.
  2. ^ Чепмен, Д. Брент; Цвикки, Элизабет Д. (ноябрь 1995 г.). «6.3. Архитектура экранированных подсетей». Создание межсетевых экранов Интернета (1-е изд.). O'Reilly & Associates. ISBN  1-56592-124-0.
  3. ^ "Учебный экзамен ISACA CISA". ISACA. 2018 г.. Получено 16 октября 2018. Брандмауэр с экранированной подсетью, также используемый в качестве демилитаризованной зоны (DMZ), использует два маршрутизатора с фильтрацией пакетов и хост-бастион. Это обеспечивает наиболее безопасную систему межсетевого экрана, поскольку он поддерживает безопасность как на уровне сети, так и на уровне приложений, определяя при этом отдельную сеть DMZ.
  4. ^ Джейкобс, Стюарт (2015). Инженерная информационная безопасность: применение концепций системной инженерии для обеспечения информационного обеспечения. Джон Вили и сыновья. п. 563. ISBN  9781119101604.
  5. ^ Дэвис, Уильям С. (20 сентября 2000 г.). «Используйте нападение, чтобы информировать защиту. Найдите недостатки раньше, чем это сделают плохие парни». Институт SANS. Цитировать журнал требует | журнал = (помощь)
  6. ^ Вак, Джон; Карнахан, Лиза (декабрь 1994 г.). «3.3 Экранированный межсетевой экран хоста». Обеспечение комфортной безопасности вашего сайта: введение в брандмауэры Интернета. Национальный институт стандартов и технологий. С. 36–38.
  7. ^ Чепмен, Д. Брент; Цвикки, Элизабет Д. (ноябрь 1995 г.). «6.2. Отобранные хост-архитектуры». Создание межсетевых экранов Интернета (1-е изд.). O'Reilly & Associates. ISBN  1-56592-124-0.
  8. ^ "Учебный экзамен ISACA CISA". ISACA. 2018 г.. Получено 16 октября 2018. Межсетевой экран с экранированным хостом использует маршрутизатор с фильтрацией пакетов и хост-бастион. Этот подход реализует базовую безопасность сетевого уровня (фильтрация пакетов) и безопасность сервера приложений (прокси-сервисы).

Смотрите также