장치 오류 

이곳은 네트워크 비무장지대입니다. DMZ(비무장지대) 설정을 위한 4가지 모범 사례

클라우드 컴퓨팅 시대에 DMZ(Demilitarized Zone, DMZ)는 조직에 공공 서비스를 포함하여 제공하는 물리적 또는 논리적 네트워크 세그먼트이며, 이를 나머지 로컬 네트워크와 분리하여 내부 활동을 허용합니다. 외부 공격으로부터 추가적인 보호를 제공할 수 있는 정보 공간)은 원래 설계자가 상상했던 것보다 훨씬 더 중요해지고 동시에 더 취약해졌습니다.

10~20년 전만 해도 대부분의 엔드포인트가 여전히 회사 내부 네트워크에 있었을 때 DMZ는 단지 네트워크의 확장에 불과했습니다. 근거리 통신망 외부에 있는 사용자가 내부 서비스에 대한 접근을 요청하는 경우는 거의 없었고, 반대로 공공 서비스에 대한 로컬 사용자의 접근 필요성도 자주 발생하지 않았기 때문에 당시 DMZ에서는 정보 보안 보장 측면에서 거의 해결하지 못했습니다. 이제 그녀의 역할은 어떻게 되었나요?

현재 귀하는 소프트웨어 회사이거나 수많은 SaaS 서비스 제공업체(서비스로서의 소프트웨어, 서비스로서의 소프트웨어)와 협력하고 있습니다. 어떤 방식으로든 LAN 외부에 있는 사용자에게 지속적으로 액세스를 제공하거나 클라우드에 있는 서비스에 대한 액세스를 요청해야 합니다. 결과적으로 귀하의 DMZ는 다양한 애플리케이션으로 가득 차게 됩니다. DMZ는 원래 경계에 대한 일종의 통제 지점 역할을 하도록 의도되었지만 요즘에는 사이버 범죄자를 위한 외부 광고 표지판과 같은 기능을 하고 있습니다.

DMZ에서 실행하는 모든 서비스는 잠재적인 해커에게 사용자 수, 중요한 비즈니스 정보를 저장하는 위치, 해당 데이터에 공격자가 훔칠 수 있는 내용이 포함되어 있는지 여부에 대한 또 다른 정보 메시지입니다. 다음은 이러한 혼란을 막기 위해 DMZ를 활성화하고 구성할 수 있는 네 가지 모범 사례입니다.

1. DMZ를 완전히 분리된 네트워크 세그먼트로 만듭니다.

DMZ의 기본 아이디어는 DMZ가 LAN의 나머지 부분과 완전히 분리되어야 한다는 것입니다. 따라서 DMZ와 나머지 내부 네트워크에 대해 서로 다른 IP 라우팅 및 보안 정책을 활성화해야 합니다. 이는 귀하를 공격하는 사이버 범죄자의 삶을 훨씬 더 어렵게 만들 것입니다. 왜냐하면 그들이 귀하의 DMZ를 이해하더라도 이 지식을 사용하여 귀하의 LAN을 공격할 수 없기 때문입니다.

2. DMZ 구역 내부 및 외부 서비스 구성

이상적으로는 DMZ 외부에 있는 모든 서비스는 DMZ 자체에만 직접 연결을 설정해야 합니다. DMZ 내부에 위치한 서비스는 프록시 서버를 통해서만 외부 세계에 연결되어야 합니다. DMZ 내부에 위치한 서비스는 외부에 있는 서비스보다 더 안전합니다. 더 잘 보호되는 서비스는 덜 안전한 영역에서 요청할 때 클라이언트의 역할을 맡아야 합니다.

3. 두 개의 방화벽을 사용하여 DMZ에 접근

3개 이상의 네트워크 인터페이스가 있는 하나의 방화벽만 사용하여 DMZ를 활성화할 수도 있지만, 두 개의 방화벽을 사용하는 설정은 사이버 범죄를 억제하는 보다 강력한 수단을 제공합니다. 첫 번째 방화벽은 외부 경계에 사용되며 트래픽을 DMZ로만 전달하는 역할만 합니다. 두 번째 내부 방화벽은 DMZ에서 내부 네트워크로의 트래픽을 처리합니다. 이 접근 방식은 네트워크를 공격하기로 결정한 해커의 경로에 두 개의 별도의 독립적인 장애물을 생성하므로 더 안전한 것으로 간주됩니다.

4. 역방향 액세스 기술 구현

Safe-T의 역접근 기술은 DMZ를 더욱 안전하게 만들어줄 것입니다. 이 이중 서버 기술을 사용하면 방화벽에서 포트를 열 필요가 없으며 동시에 (방화벽을 통해) 네트워크 전반에 걸쳐 애플리케이션에 대한 보안 액세스를 제공합니다. 솔루션에는 다음이 포함됩니다.

  • 외부 서버 - DMZ/외부/보호되지 않는 네트워크 세그먼트에 설치됩니다.
  • 내부 서버 - 내부/보호된 네트워크 세그먼트에 설치됩니다.

조직의 DMZ(현장 또는 클라우드)에 위치한 외부 서버의 역할은 World Wide Web에 있는 다양한 서비스 및 애플리케이션에 대한 사용자 인터페이스(프런트 엔드)의 클라이언트측을 유지하는 것입니다. 내부 방화벽에서 포트를 열 필요 없이 작동하며 합법적인 세션 데이터만 내부 LAN에 들어갈 수 있도록 보장합니다. 외부 서버는 TCP 오프로드를 수행하므로 SSL(Secure Sockets Layer) 트래픽 데이터를 해독하지 않고도 TCP 기반 애플리케이션을 지원할 수 있습니다.

내부 서버의 역할은 외부 SDA(소프트웨어 정의 액세스) 노드에서 내부 네트워크로 세션 데이터를 전달하고, 세션이 합법적인 경우 레이어 7 프록시 기능(SSL 오프로딩, URL 재작성, DPI(심층))을 수행하는 것입니다. 패킷 검사 등)을 처리하여 주소가 지정된 응용 프로그램 서버로 전달합니다.

역방향 액세스 기술을 사용하면 사용자가 업무상 중요한 애플리케이션에 액세스하기 전에 사용자의 액세스 권한을 인증할 수 있습니다. 악성 세션을 통해 애플리케이션에 대한 액세스 권한을 얻은 공격자는 네트워크를 조사하고, 코드 삽입 공격을 시도하거나, 심지어 네트워크를 돌아다닐 수도 있습니다. 그러나 자신의 세션을 합법적인 것으로 설정할 수 있는 능력이 없으면 사용자를 공격하는 공격자는 자신의 도구 대부분을 잃게 되고 리소스가 훨씬 더 제한됩니다.

영원한 편집증, Anton Kochukov.

이 기사에서는 그것이 무엇인지 알려 드리겠습니다. DMZ 호스트또는 라우터의 서버. 그리고 DMZ 기능을 사용하여 포트를 여는 방법도 있습니다. 이미 이 기사를 읽고 계시다면 가상 서버가 무엇인지, 왜 가상 서버를 수행해야 하는지 이미 알고 계실 것입니다. 그렇지 않다면 . 즉, 다른 인터넷 사용자와 컴퓨터의 파일을 교환할 때 라우터의 포트를 열어야 합니다. 예를 들어 가정용 PC에서 실행되는 FTP 서버를 실행하거나 토렌트 클라이언트 또는 온라인 게임을 실행하는 경우입니다. 이 기사에서는 TP-Link, Asus, Zyxel Keenetic 및 Tenda 라우터의 예를 사용하여 소위 DMZ 호스트를 사용하여 한 번에 모든 포트를 여는 방법을 알아봅니다.

DMZ(“비무장지대”)는 하나의 특정 장치에서 모든 포트를 완전히 열 수 있는 기술입니다.

라우터에서 DMZ 서버를 사용하는 방법은 무엇입니까?

위에서 설명한 방법을 사용하여 라우터를 사용하여 네트워크의 한 장치에 대해 하나의 포트만 엽니다. DMZ 호스트를 통해 한 번에 여러 포트를 열 수 있습니다. 그러나 이는 극단적인 경우에만 수행해야 합니다. 이 경우 장치는 인터넷에서 액세스할 수 있도록 완전히 열려 있기 때문입니다. 그러나 때로는 DVR을 통해 연결된 CCTV 카메라의 시청을 구성하거나 게임 서버를 구성하는 등의 작업이 필요할 수 있습니다.

예를 들어 보겠습니다. 비디오 감시 레코더를 연결할 때 포트 80이 기본적으로 사용되는 경우가 많으며 설정에서 이를 변경하는 것이 불가능합니다. 동시에 이 포트는 라우터에서도 사용 중이므로 리디렉션이 불가능합니다. 이 경우 라우터의 DMZ 호스트가 구출됩니다.

Tenda 라우터의 가상 DMZ 서버

Tenda Wi-Fi 라우터에서는 포트를 여는 기능을 " 가상 서버". 관리자 패널의 "고급 설정 - 가상 서버" 섹션에서 찾을 수 있습니다.

하지만 먼저 포트 전달을 수행하려는 컴퓨터에 고정 IP 주소를 할당해야 합니다. 그렇지 않으면 다음에 DHCP를 통해 컴퓨터를 켤 때 라우터가 다른 주소를 할당할 수 있으며 모든 설정이 손실됩니다. 이를 수행하는 방법을 읽으십시오.

특정 주소가 컴퓨터에 예약되어 있는 경우 "내부 IP 주소" 셀의 "가상 서버" 섹션에 해당 주소를 입력합니다.


  • 로컬 네트워크 포트 - 드롭다운 목록에서 ftp, http, pop3, SMTP 등 요구 사항에 가장 적합한 포트를 선택합니다.
  • WAN 포트 - 이전 사례와 동일하게 지정
  • 프로토콜 - TCP&UDP 설정

그리고 '추가' 버튼을 클릭하세요

설정을 저장하면 Tenda 라우터를 통한 포트가 열리고 인터넷에서 컴퓨터의 특정 리소스에 대한 액세스를 쉽게 제공할 수 있습니다.

Tenda Wi-Fi 라우터에서 DMZ 호스트 활성화는 "고급 설정"에 있습니다. 여기에서는 모든 것이 간단합니다. 토글 스위치를 켜짐 위치로 이동하고 모든 포트를 열려는 컴퓨터 또는 기타 장치의 IP 주소를 입력하세요

TP-Link 라우터에서 DMZ 설정

새 버전의 웹 인터페이스에서 TP-Link 라우터의 DMZ 기능은 "고급 설정"에 있습니다. NAT 전달 - DMZ". 여기에서는 모든 것이 간단합니다. 확인 표시로 켜고 모든 포트가 열리는 컴퓨터의 IP 주소를 표시하십시오.

Asus 라우터의 DMZ 호스트

Asus 라우터에서 호스트 DMZ 설정은 동일하며 기본 메뉴 섹션 " 인터넷»

DMZ Zyxel Keenetic 설정

Zyxel Keenetic 라우터도 비슷한 기능을 가지고 있는데 DMZ라고 부르지는 않고 " 보안 - 방화벽«.

먼저 여기에서 액세스를 허용할 네트워크 유형을 선택하세요. 이것이 홈 네트워크입니다.
그리고 '규칙 추가' 버튼을 클릭하세요.


다음으로 "대상 IP 주소"라는 한 항목을 제외한 모든 항목을 기본값으로 둡니다. 여기에서 "하나"를 선택하고 텍스트 필드에 모든 포트를 열어야 하는 컴퓨터의 IP 주소를 입력해야 합니다. 이제 "프로토콜" 열에서 TCP를 선택합니다.

우리는 아래 그림과 같이 모든 작업을 수행합니다.

업데이트된 Keenetic DMZ 라인에서는 “ 방화벽". 여기를 클릭하세요 "규칙 추가"

진드기로 활성화하고 이전 버전의 Zyxel과 동일하게 모든 것을 작성합니다.

시야를 넓히려면 Seixel 회사의 지침을 읽어 보는 것이 좋습니다.

라우터에서 DMZ 호스트 설정에 대한 비디오

라우터의 DMZ - 공유기의 로컬 네트워크에서 특정 IP에 대한 외부 포트를 모두 열 수 있는 기능입니다. 일반적으로 라우터 뒤에 있는 특정 장치에 대한 원격 액세스를 구현하는 데 사용됩니다. DMZ는 특히 모든 곳에서 접근하는 데 사용됩니다. 포인트들 IP 카메라 또는 DVR에 대한 인터넷 연결,저것들. 영상 감시용.

많은 Wi-Fi 라우터에는 외부 네트워크에서 로컬 네트워크의 장치에 대한 액세스를 제공하는 기능이 있습니다(DMZ 호스트 모드, 노출된 호스트라고도 함). 이 모드에서는 장치(컴퓨터, DVR, IP 카메라 등)의 모든 포트가 로컬 네트워크에 열려 있습니다. 열린 포트가 있는 장치는 내부 네트워크와 분리되지 않기 때문에 이는 DMZ의 표준 정의를 완전히 충족하지 않습니다. 즉, DMZ 호스트는 내부 네트워크의 리소스에 자유롭게 연결할 수 있지만 표준 DMZ에서 내부 네트워크로의 연결은 이들을 분리하는 방화벽에 의해 차단됩니다. 보안 관점에서 보면 솔루션이 최고는 아닙니다. 이는 다른 로컬 네트워크의 장치에 대한 액세스를 구성하는 한 가지 방법일 뿐이라는 점을 기억해야 합니다. 단순 포트 포워딩도 인기가 있습니다. 또한 최신 라우터가 아닌 거의 모든 최신 라우터에서도 지원됩니다. 그러나 한 가지 중요한 차이점이 있습니다. DMZ 설정은 초등학생이라면 누구나 할 수 있지만 포트포워딩을 처음 하는 사람에게는 포트포워딩이 쉽지 않습니다.

DMZ는 완전한 솔루션이며 사용하려면 몇 가지 간단한 단계가 필요합니다. 예를 들어 인터넷에서 DVR에 액세스하는 경우 다음이 필요합니다.

  1. 라우터의 DMZ 설정에 IP DVR을 입력하세요.
  2. 라우터는 공급자로부터 영구 IP를 받거나 DDNS를 사용해야 합니다.

DMZ에 영구 IP 주소가 필요한 이유는 무엇이며, 이를 DDNS로 대체할 수 있는 이유는 무엇입니까?


여기에서는 모든 것이 간단합니다. 공급자가 라우터에 다른 IP 주소를 할당한 경우 DDNS 서비스를 사용하여 라우터가 현재 어떤 IP를 가지고 있는지 확인할 수 있습니다. 그리고 장치에 원격으로 연결하려면 동일한 IP 주소를 알아야 합니다. DDNS - 사용자가 사용자 장치에 연결될 하위 도메인을 얻을 수 있습니다. 이 하위 도메인을 알면 IP 대신 이를 사용할 것이므로 걱정할 필요가 없습니다. 그러나 공급자의 영구 IP는 더 간단하고 안전하지만 비용이 더 많이 듭니다. :)

얼마나 간단한지 살펴보세요. 이것이 DMZ의 편리함이다. 또 다른 장점은 DVR과 같이 어떤 포트가 선택될지 알지 못한 채 라우터를 구성할 수 있다는 것입니다. 결과적으로 라우터 설정에 관계없이 액세스 포트가 추가로 변경됩니다.


라우터를 통해 포트 전달

일반적인 포트 포워딩에 대한 말 그대로 두 단어입니다. 포트 포워딩은 홈 라우터에 구현되는 형태의 DMZ가 포트 포워딩이라는 용어 이후에 등장하지 않았다는 점을 제외하면 DMZ의 특별한 경우라고 할 수 있습니다. 많은 사용자는 포트라는 단어의 의미를 이해하지 못합니다. 원하는 경우 포트를 패킷의 디지털 표시(숫자 형태)로 간주하여 목적지에 따라 정보 패킷을 정렬하는 데 도움을 줄 수 있습니다. 일종의 추가 라우팅 도구입니다. 일반적으로 라우터 설정에는 포트 전달 옵션이 있습니다. 이렇게 하려면 라우터 네트워크에 있는 장치의 IP, 관리를 위해 이 장치에 액세스할 수 있는 포트(즉, 레이블), 외부 포트는 지정된 포트에 바인딩될 포트를 지정해야 합니다. 장치의 IP입니다.

결론:
DMZ는 본질적으로 외부 네트워크에서 라우터의 로컬 네트워크에 있는 특정 IP로 포트를 전달하는 것입니다. 포트포워딩과의 차이점은 DMZ의 경우 지정된 IP에 대해 가능한 모든 포트가 동시에 열린다는 점입니다. 이는 보안 관점에서는 효과적이지 않지만 라우터 뒤의 모든 장치에 대한 원격 액세스 설정을 크게 단순화합니다. 일반적으로 이 기능은 비디오 감시에 사용됩니다.

가정용 Wi-Fi 라우터 소유자는 때때로 일부 프로그램이나 게임이 제한적으로 작동한다는 사실을 접할 수 있습니다. 어떤 경우에는 라우터에서 전달을 사용하는 것이 좋습니다. 여러 가지 리디렉션 방법이 있으며 각 방법에는 몇 가지 장점과 단점이 있습니다. 그 중 하나가 DMZ이다. 대부분의 네트워크 장치 모델에서 이 항목은 매개변수에 있지만 모든 사람이 해당 항목과 용도를 아는 것은 아닙니다. 당신도 모른다면 이 정보는 당신을 위한 것입니다.

대부분의 일반 사용자들은 DMZ 기술에 대해 들어본 적도 없습니다.

DMZ란 무엇인가

로컬 네트워크와 인터넷 사이의 버퍼 역할을 하는 물리적 또는 가상 서버입니다. 이는 로컬 네트워크 사용자에게 이메일 서비스, 원격 서버, 웹 애플리케이션 및 World Wide Web 액세스가 필요한 기타 프로그램을 제공하는 데 사용됩니다. 외부에서 내부 자원에 접근하려면 승인 절차를 거쳐야 하며, 승인되지 않은 사용자가 로그인을 시도하면 실패합니다. 대부분의 경우 이는 라우터 설정입니다.

이름은 전쟁 영토 사이의 장벽으로 비무장 지대를 나타내는 영어 약어에서 유래되었습니다. 이 기술은 인터넷에 연결된 모든 컴퓨터에서 액세스해야 하는 홈 서버를 만들 때 사용됩니다. 진정한 비무장지대는 내부 보안 수준이 높은 대규모 기업 네트워크에서 사용됩니다. 홈 라우터 모델은 컴퓨터를 완전히 열어 인터넷에 액세스합니다.

DMZ는 언제 사용되나요?

컴퓨터의 개방성을 고려할 때 이 방법은 매우 위험한 것으로 간주되므로 다른 리디렉션 방법으로 원하는 결과를 얻지 못할 때 사용할 가치가 있습니다.

  1. 사용 가능한 모든 포트를 열어야 하는 애플리케이션의 경우. 그 중 몇 가지가 있지만 발생합니다.
  2. 홈 서버 호스팅. 때로는 집에서 공유 리소스를 호스팅해야 하는 경우가 있으므로 이 설정은 서버를 로컬 네트워크에서 분리하는 데 필수적입니다.
  3. 게임 콘솔 사용. 대부분의 경우 자동으로 라우터 전달을 설정하면 추가 조작 없이 콘솔을 사용하여 온라인으로 플레이할 수 있습니다. 그러나 어떤 경우에는 DMZ만이 원하는 효과를 얻을 수 있습니다.

라우터에서 DMZ 설정

DMZ가 네트워크에서 성공적으로 작동하려면 라우터를 올바르게 구성해야 합니다. 절대 어렵지 않습니다. 웹 인터페이스를 통해 설정에 로그인하세요. 일반적으로 IP 주소, 로그인 및 로그인 비밀번호는 라우터 자체 또는 지침에 표시되어 있습니다. 제조업체에 따라 이 섹션은 "인터넷 설정" 또는 "전달" 탭에 있을 수 있습니다.

  1. DHCP 서버 설정의 첫 번째 단계는 서버가 구성될 정적 서버를 할당하는 것입니다.
  2. 그런 다음 DMZ 탭에서 "활성화" 항목을 활성화하고 할당된 IP 주소를 추가한 후 장치를 저장하고 재부팅합니다.
  3. 네트워크의 모든 장치에 최신 보안 업데이트가 설치되어 있는지 확인하십시오. 편리한 반면 추가적인 위험이 있을 수 있습니다.

결론

이제 DMZ가 무엇인지, 어떻게 구성되는지 알게 되었습니다. 일반적으로 집에서는 실제로 사용할 필요가 없습니다.

로컬 네트워크가 없고 인터넷에 접속할 수 없는 회사를 상상하는 것이 점점 더 어려워지고 있습니다. 업무 개선, 정보에 대한 빠른 액세스 제공, 문서 및 데이터 교환에 도움이 되는 공통 기술입니다. 이것은 한편입니다. 한편, 인터넷의 대중화로 인해 정보 보호 문제와 로컬 네트워크 전반의 문제를 해결해야 할 필요성이 대두되고 있다. 이 문제는 회사가 공통 로컬 네트워크에 위치한 공개적으로 액세스 가능한 인터넷 서비스(웹 및 FTP 서버, 이메일 서비스, 온라인 상점)를 보유하고 있는 경우 특히 심각하게 발생합니다.

이러한 서버에 대한 액세스는 대부분 무료로 제공됩니다. 즉, 모든 사용자는 로그인 및 비밀번호를 사용한 인증 없이 웹 서버에서 호스팅되는 리소스, FTP 서버 섹션에 액세스할 수 있으며 메일 서버는 다음에서 보낸 메일을 허용합니다. 다른 유사한 메일 서버. 그리고 악성 코드가 메일과 함께 서버에 도착하지 않을 것이라는 보장도 없으며 수백 명의 사용자 중에 어떤 이유로든 공공 서비스뿐만 아니라 조직의 로컬 네트워크. 그리고 네트워크가 스위치(스위치)가 아닌 단순한 집중 장치(허브)에 구축되면 큰 위험에 처하게 됩니다.

해커는 컴퓨터 중 하나를 해킹하여 전체 네트워크에 액세스할 수 있습니다.

이게 뭔가요? 해커는 로컬 네트워크에 있는 적어도 한 대의 컴퓨터에 접근함으로써 관리자 비밀번호까지의 비밀번호를 얻을 수 있으며, 이를 통해 네트워크에 유통되거나 저장된 모든 정보에 접근할 수 있고 액세스 비밀번호를 변경할 수 있습니다. 데이터베이스에 액세스할 수 없거나 단순히 서비스에서 제거됩니다. 또한 웹 서버에 대한 액세스 권한을 얻으면 모든 내부 기업 리소스의 기능을 차단할 수 있는 DoS 공격을 수행하는 데 사용될 수 있습니다.

따라서 공용 서버를 포함하는 시스템 구축에 대한 접근 방식은 내부 서버 기반의 시스템 구축에 대한 접근 방식과 달라야 합니다. 이는 서버의 공개 가용성으로 인해 발생하는 특정 위험에 따라 결정됩니다. 해결책은 로컬 네트워크와 공용 서버를 별도의 부분으로 분리하는 것입니다. 공공 서비스가 위치할 곳을 "비무장지대"( DMZ - 비무장지대).

DMZ - 구역 특별한 관심

DMZ의 본질은 내부망이나 외부망에 직접적으로 포함되지 않으며, 미리 정의된 방화벽 규칙에 따라서만 접근이 가능하다는 점이다. DMZ에는 사용자가 없으며 서버만 있습니다. 비무장지대는 일반적으로 로컬 네트워크 외부에서 접근이 필요한 모든 서비스를 특수 구역으로 이동시켜 외부 네트워크에서 내부 네트워크의 호스트로의 접근을 방지하는 역할을 합니다. 실제로 이 영역은 공용 주소가 있는 별도의 서브넷이 되며 방화벽을 통해 공용 및 기업 네트워크로부터 보호(또는 분리)됩니다.

이러한 영역을 생성할 때 기업 네트워크 관리자는 추가 작업에 직면하게 됩니다. DMZ에 위치한 리소스와 서버에 대한 액세스를 차별화하고, 사용자가 이러한 리소스를 사용할 때 전송되는 정보의 기밀성을 보장하고, 사용자 작업을 모니터링하는 것이 필요합니다. 서버에 있을 수 있는 정보에 관해서는 다음과 같이 말할 수 있습니다. 공공 서비스는 해킹될 수 있다는 점을 고려하여 가장 중요하지 않은 정보는 공공 서비스에 위치해야 하며, 중요한 정보는 공공 서버에서 접근할 수 없는 로컬 네트워크에만 위치해야 합니다.

DMZ에 위치한 서버에는 사용자, 회사 클라이언트 또는 기타 기밀 정보에 대한 정보가 있어서는 안 되며 직원의 개인 사서함이 있어서는 안 됩니다. 이 모든 것은 로컬 네트워크의 보호되는 부분에 안전하게 "숨겨져" 있어야 합니다. 그리고 공용 서버에서 사용할 수 있는 정보의 경우 가능한 한 최소한의 빈도로 백업 보관을 제공해야 합니다. 또한, 메일 서버는 최소한 2개 서버 서비스 모델을 사용하고, 웹 서버는 정보 상태를 지속적으로 모니터링하여 해킹의 결과를 적시에 감지하고 제거하는 것이 좋습니다.

DMZ 생성 시 방화벽 사용은 필수

방화벽은 비무장지대를 통해 기업 네트워크로의 침투를 보호하는 데 사용됩니다. 소프트웨어 및 하드웨어 화면이 있습니다. 소프트웨어 프로그램에는 UNIX 또는 Windows NT/2000을 실행하는 시스템이 필요합니다. 하드웨어 방화벽을 설치하려면 네트워크에 연결하고 최소한의 구성만 수행하면 됩니다. 일반적으로 소프트웨어 화면은 사용자를 위한 프로토콜별 유연한 대역폭 할당 및 트래픽 제한과 관련하여 많은 설정을 할 필요가 없는 소규모 네트워크를 보호하는 데 사용됩니다. 네트워크 규모가 크고 고성능이 필요한 경우 하드웨어 방화벽을 사용하는 것이 더 수익성이 높습니다. 많은 경우 하나가 아닌 두 개의 방화벽이 사용됩니다. 하나는 비무장지대를 외부 영향으로부터 보호하고, 두 번째는 이를 기업 네트워크의 내부 부분과 분리합니다.

하지만 공용 서버를 비무장지대로 옮기면 기업 네트워크가 어느 정도 보호된다는 점 외에도 DMZ 자체에 대한 보호도 충분히 고민하고 보장해야 합니다. 이 경우 다음과 같은 문제를 해결해야 합니다.

  • 서버 및 네트워크 장비에 대한 공격으로부터 보호;
  • 개별 서버 보호;
  • 이메일 및 기타 콘텐츠 통제
  • 사용자 작업 감사.

이러한 문제를 어떻게 해결할 수 있습니까? 외부 서신과 기업 내부 서신 모두에 사용되는 메일 서버를 두 개의 구성 요소로 "분할"하는 것이 좋습니다. 공용 서버는 실제로 중계 서버로 사용되며 DMZ에 위치하며, 하나는 회사 네트워크 내부에 있습니다. 주요 구성 요소는 내부 메일의 순환을 보장하고 중계기로부터 외부 서신을 받아 이를 보냅니다.

주요 과제 중 하나는 기업 인트라넷에서 공용 리소스 및 애플리케이션에 대한 보안 액세스를 보장하는 것입니다. 비무장지대와 비무장지대 사이에는 방화벽이 설치되어 있지만, 방화벽이 작동하려면 '투명'해야 합니다. 사용자에게 이 기회를 제공하기 위한 몇 가지 옵션이 있습니다. 첫 번째는 터미널 액세스를 사용하는 것입니다. 클라이언트와 서버 간의 이러한 상호 작용 구성을 사용하면 바이러스 및 기타 악성 포함을 포함할 수 있는 프로그램 코드가 설정된 연결을 통해 전송되지 않습니다. 터미널 클라이언트에서 서버로 사용자가 누른 키보드 키와 마우스 상태에 대한 코드 스트림이 있으며, 다시 서버에서 클라이언트로 사용자 브라우저 또는 메일 클라이언트의 서버 세션 화면의 바이너리 이미지가 있습니다. 받았다. 또 다른 옵션은 VPN(가상 사설망)을 사용하는 것입니다. 액세스 제어 및 정보 암호화 보호 덕분에 VPN은 개인 네트워크의 보안을 유지하는 동시에 공용 네트워크의 모든 이점을 활용합니다.

DMZ의 서버 및 장비 보안은 특별한 주의를 기울여 접근해야 합니다.

서버 및 네트워크 장비에 대한 공격으로부터 보호하기 위해 특수 침입 탐지 시스템이 사용됩니다. 이러한 시스템이 설치된 컴퓨터는 인터넷에서 DMZ로 정보가 이동하는 첫 번째 경로가 됩니다. 공격이 감지되면 방화벽을 재구성하여 접근을 완전히 차단할 수 있도록 시스템이 구성되어 있습니다. 영구적이지는 않지만 추가 제어를 위해 네트워크, 서버 및 서비스, 데이터베이스의 보안을 확인하는 보안 스캐너와 같은 특수 소프트웨어가 사용됩니다. 바이러스로부터 보호하기 위해 비무장지대에는 바이러스 백신 소프트웨어와 콘텐츠 제어 도구가 설치됩니다.

DMZ를 구성하고 보호하기 위한 소프트웨어 및 기술 솔루션은 다양한 회사에서 제공됩니다. 이들은 외국과 러시아입니다. 예를 들어 Computer Associates, D-Link, Informzashita, Trend Micro 등이 있습니다.



질문이 있으신가요?

오타 신고

편집자에게 전송될 텍스트:

보내다