Witam. tak sie zastanawiam jak to jest dokladnie ze strefą DMZ. czy moze ona byc za NATem czy muszą być używane adresy publiczne? oraz przykladowo jesli jest sobie router z trzema interfejsami: jeden do polaczenia z Internetem, i następnie nalezy utworzyc dwie podsieci: jedną dlaa adresowania kompow,a druga jako strefę DMZ. to jakie jest najlepsze rozwiązanie: czy zrobić na switchu dwa VLANy, jeden VLAN dla adresowania kompow, natomiast drugi VLAN jako strefe DMZ, czy powinno się osobno tworzyc takie podsieci: czyli jedną podsiec osobno do jednego interfejsu, i druga do drugiego interfejsu??
jakie rozwiązanie jest najlepsze? i najbardziej stosowane?
strefa DMZ
Re: strefa DMZ
Coś się koledze pojęcia mylą.damiano pisze:Witam. tak sie zastanawiam jak to jest dokladnie ze strefą DMZ. czy moze ona byc za NATem czy muszą być używane adresy publiczne? oraz przykladowo jesli jest sobie router z trzema interfejsami: jeden do polaczenia z Internetem, i następnie nalezy utworzyc dwie podsieci: jedną dlaa adresowania kompow,a druga jako strefę DMZ. to jakie jest najlepsze rozwiązanie: czy zrobić na switchu dwa VLANy, jeden VLAN dla adresowania kompow, natomiast drugi VLAN jako strefe DMZ, czy powinno się osobno tworzyc takie podsieci: czyli jedną podsiec osobno do jednego interfejsu, i druga do drugiego interfejsu??
jakie rozwiązanie jest najlepsze? i najbardziej stosowane?
DMZ to nazwa umowna - to czy użyjesz w niej adresów prywatnych czy publicznych nie ma tak naprawdę znaczenia (poza oczywiście koniecznością zamapowania prywatnych na publiczne gdyby przypadkiem okazało się, że z DMZtu ma korzystać ktoś z Internetu).
VLAN w L2 jest tożsamy (zwykle) z podsiecią w L3, a zatem dwa VLANy na przełączniku (umownym) to pewnie i dwie podsieci IP na routerze - choć zwykle to już przełącznik może realizować routing i pewnie robienie tego na nim umożliwiałoby zapewnienie dużej wydajności pomiędzy LANem a DMZtem.
Jak napisal Lukasz, DMZ to taka umowna nazwa dla pewnego segmentu sieci. Ogolnie DMZ to fragment sieci jak kazdy inny i zastosowane w nim mechanizmy moga byc dokladnie takie same jak w kazdej sieci, wiec patrz w kierunku best-practice dla sieci.stentor pisze:no może pytania wprost nie ma - liczę na "dobre praktyki" - może ktos powie "a ja mam tak DMZeta", czy cuś
Pod dobre praktyki mozna pewnie zakwalifikowac to, ze najczesciej DMZ jest tworzone w oparciu o dedykowany hardware (czytaj switch). Druga rzecz to to, ze najczesciej jest to fragment sieci, ktory "siedzi" za jakims Firewall. Z tym, ze oba przyklady nie definiuja DMZ jako takiego i moga byc uzyte w dowolnej czesci sieci, aby odizolowac np. dwa departamenty.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein
Powtórzę za Łukaszem i Sebą: DMZ to umowne hasło jak VPN. Tak jak VPN służy do zapewnienia poufności, niezaprzeczalności i integralności, tak DMZ służy do wyeliminowania/ograniczenia bezpośrednich połączeń pomiędzy sieciami zaufanymi a niezaufanymi.
Do tego co napisali poprzednicy: utrzymanie jednego kierunku inicjacji połączeń - podsieci/vlany/strefy dla połączeń przychodzących i dla wychodzących do internetu.
W strefach dla połączeń wychodzących np. dnscache i webcache, w strefach dla połączeń przychodzących np. serwery web, waf.
W większych infrastrukturach standardem są minimum dwie linie zapór sieciowych różnych producentów: zewnętrzna do usług internetowych i wan, wewnętrzna do serwerów aplikacyjnych, baz danych itp, a strefa tranzytowa pomiędzy nimi.
Co do używania NAT czy reverse proxy w DMZach (w sensie używania prywatnej adresacji), to bardziej praktyczne rozwiązanie niż "security".
Do tego co napisali poprzednicy: utrzymanie jednego kierunku inicjacji połączeń - podsieci/vlany/strefy dla połączeń przychodzących i dla wychodzących do internetu.
W strefach dla połączeń wychodzących np. dnscache i webcache, w strefach dla połączeń przychodzących np. serwery web, waf.
W większych infrastrukturach standardem są minimum dwie linie zapór sieciowych różnych producentów: zewnętrzna do usług internetowych i wan, wewnętrzna do serwerów aplikacyjnych, baz danych itp, a strefa tranzytowa pomiędzy nimi.
Co do używania NAT czy reverse proxy w DMZach (w sensie używania prywatnej adresacji), to bardziej praktyczne rozwiązanie niż "security".