Talaan ng mga Nilalaman:
Video: PATAY NA SI HESUS - Official Trailer (Nobyembre 2024)
Ang pinakamainam na halimbawa ng isang demilitarized zone (DMZ) ngayon ay isang mabibigat na nakabantay na guhit ng lupa sa Korea. Ito ang lugar sa magkabilang panig ng hangganan sa pagitan ng Hilagang Korea at Timog Korea na inilaan upang mapanatili ang bawat bansa na hindi sinasadyang magsimula ng digmaan sa iba pa. Sa pag-compute, ang isang DMZ ay katulad sa konsepto na nagbibigay ito ng isang lugar na pinapanatili ang hindi mapagkakatiwalaang mundo ng internet sa labas ng panloob na network ng iyong samahan, habang nag-aalok pa rin ng mga serbisyo sa labas ng mundo. Sa loob ng mahabang panahon, ang anumang IT propesyonal na gusali halos lahat ng uri ng konektado sa internet na magkasama ay isang DMZ bilang isang bagay. Ngunit binago ng ulap ang lahat ng iyon.
Ang mga karagdagang hakbang sa seguridad ng negosyo ay kinuha sa 2017
Kung mayroon ka pa ring DMZ sa pagpapatakbo, pagkatapos makikita mo ito ay isang tipikal na halimbawa ng pagkakabahagi sa network. Tingnan ang mabuti at sa pangkalahatan makakahanap ka ng ilang kumbinasyon ng mga firewall at router. Sa karamihan ng mga kaso, ang DMZ ay lilikha ng isang aparatong seguridad sa gilid (karaniwang isang firewall) na pagkatapos ay na-back up ng isa pang router o firewall na nagbabantay sa mga gate sa panloob na network.
Bagaman ang karamihan sa mga samahan ay hindi na kailangan ng isang DMZ upang maprotektahan ang kanilang sarili mula sa labas ng mundo, ang konsepto ng paghihiwalay ng mga mahalagang digital goodies mula sa natitirang bahagi ng iyong network ay isa pa ring mabisang diskarte sa seguridad. Kung ilalapat mo ang mekanismo ng DMZ sa isang ganap na panloob na batayan, pagkatapos ay mayroon pa ring paggamit ng mga kaso na may katuturan. Isang halimbawa ang pagprotekta sa pag-access sa mga mahahalagang tindahan ng data, pag-access ng mga listahan ng control, o mga katulad na troves; gusto mo ng anumang potensyal na hindi awtorisadong gumagamit na tumalon sa maraming mga karagdagang hoops hangga't maaari bago sila makakuha ng access.
Paano gumagana ang isang DMZ
Ang isang DMZ ay gumagana tulad nito: Magkakaroon ng isang gilid na firewall na nakaharap sa mga kakila-kilabot ng bukas na internet. Pagkatapos nito ay ang DMZ at isa pang firewall na nagpoprotekta sa iyong lokal na lugar ng network (LAN). Sa likod ng firewall ay magiging iyong panloob na network. Sa pamamagitan ng pagdaragdag ng dagdag na in-pagitan ng network, maaari mong ipatupad ang mga karagdagang layer ng seguridad na kailangang talunin ang mga malcontents bago sila makarating sa iyong aktwal na panloob na network - kung saan ang lahat ay nasasakop din hindi lamang ng mga kontrol sa pag-access sa network ngunit ang mga suite na proteksyon ng endpoint.
Sa pagitan ng unang firewall at pangalawa, karaniwang makakahanap ka ng isang switch na nagbibigay ng koneksyon sa network sa mga server at aparato na kailangang magamit sa internet. Nagbibigay din ang switch ng isang koneksyon sa pangalawang firewall.
Ang unang firewall ay dapat na ma-configure upang pahintulutan lamang ang trapiko na kailangang maabot ang iyong panloob na LAN at ang mga server sa DMZ. Ang panloob na firewall ay dapat pahintulutan ang trapiko lamang sa pamamagitan ng mga tiyak na port na kinakailangan para sa pagpapatakbo ng iyong panloob na network.
Sa DMZ, dapat mong i-configure ang iyong mga server upang tanggapin lamang ang trapiko sa mga tiyak na mga port at tanggapin ang mga tukoy na protocol lamang. Halimbawa, nais mong limitahan ang trapiko sa Port 80 hanggang HyperText Transfer Protocol (HTTP) lamang. Gusto mo ring i-configure ang mga server na iyon upang tumakbo lamang ang mga serbisyo na kinakailangan para gumana sila. Maaari mo ring nais na magkaroon ng isang intrusion detection system (IDS) na aktibidad ng pagsubaybay sa mga server sa iyong DMZ upang ang isang pag-atake ng malware na gumagawa nito sa pamamagitan ng firewall ay maaaring makita at ititigil.
Ang panloob na firewall ay dapat na isang susunod na henerasyon na firewall (NGFW) na nagsasagawa ng inspeksyon ng iyong trapiko na dumadaan sa mga bukas na port sa iyong firewall at naghahanap din ng mga indikasyon ng panghihimasok o malware. Ito ang firewall na nagpoprotekta sa mga hiyas ng korona ng iyong network kaya hindi ito lugar upang mag-skimp. Kasama sa mga gumagawa ng NGFW ang Barracude, Check Point, Cisco, Fortinet, Juniper, at Palo Alto, bukod sa iba pa.
Ethernet Ports bilang DMZ Ports
Para sa mga maliliit na organisasyon, may isa pang mas kaunting magastos na diskarte na magbibigay pa rin ng isang DMZ. Maraming mga router sa bahay at maliit na negosyo ang nagsasama ng isang function na nagbibigay-daan sa iyo upang italaga ang isa sa mga port ng Ethernet bilang isang DMZ port. Pinapayagan ka nitong maglagay ng isang aparato tulad ng isang web server sa port na iyon kung saan maaari nitong ibahagi ang iyong IP address ngunit magagamit din sa labas ng mundo. Hindi na kailangang sabihin, ang server na ito ay dapat na naka-lock down hangga't maaari at mayroon lamang ganap na kinakailangang mga serbisyo na tumatakbo. Upang mailabas ang iyong segment, maaari mong ilakip ang isang hiwalay na switch sa port na iyon at magkaroon ng higit sa isang aparato sa DMZ.
Ang downside sa paggamit ng tulad ng isang itinalagang port ng DMZ ay mayroon ka lamang isang punto ng pagkabigo. Kahit na ang karamihan sa mga router na ito ay may kasamang isang naka-embed na firewall, sa pangkalahatan ay hindi nila kasama ang buong tampok na set ng isang NGFW. Bilang karagdagan, kung ang router ay nasira, kung gayon ang iyong network.
Habang gumagana ang isang batay sa router na DMZ, marahil hindi ito ligtas hangga't gusto mo ito. Sa pinakadulo, maaari mong isaalang-alang ang pagdaragdag ng isang pangalawang firewall sa likod nito. Magastos ito ng kaunting dagdag ngunit hindi ito gugugol ng halos kasing halaga ng paglabag sa data. Ang iba pang mga pangunahing kahihinatnan sa tulad ng isang pag-setup ay na mas kumplikado upang mangasiwa at, isinasaalang-alang na ang mga mas maliit na kumpanya na maaaring gumamit ng pamamaraang ito ay karaniwang walang isang kawani ng IT, maaaring gusto mong makisali sa isang consultant upang mai-set up ito at pagkatapos ay pamahalaan ito paminsan-minsan.
Isang Requiem para sa DMZ
- Ang Pinakamagandang VPN Services para sa 2019 Ang Pinakamagandang VPN Services para sa 2019
- Ang Pinakamagandang Hosted na Endpoint Protection at Security Software para sa 2019 Ang Pinakamagandang Hosted na Endpoint Protection at Security Software para sa 2019
- Ang Pinakamagandang Network Monitoring Software para sa 2019 Ang Pinakamagandang Network Monitoring Software para sa 2019
Tulad ng nabanggit dati, hindi ka makakakita ng maraming DMZ na tumatakbo pa rin sa ligaw. Ang dahilan ay ang DMZ ay inilaan upang punan ang isang function na ngayon ay hinahawakan sa ulap para sa karamihan ng mga pag-andar ng negosyo. Ang bawat SaaS app na inilalatag mo at ang bawat server na nagho-host sa iyo ng lahat ng paglipat ng panlabas na nakaharap sa imprastraktura sa labas ng iyong data center at sa ulap, at ang DMZ ay sumama para sa pagsakay. Nangangahulugan ito na maaari kang pumili ng serbisyo ng ulap, maglunsad ng isang halimbawa na kasama ang isang web server, at protektahan ang server na iyon gamit ang firewall ng provider ng ulap at nagtakda ka. Hindi na kailangang magdagdag ng isang hiwalay na na-configure na segment ng network sa iyong panloob na network dahil ang lahat ay nangyayari sa ibang lugar. Dagdag pa, ang iba pang mga pag-andar na maaaring magamit mo sa isang DMZ ay magagamit din sa ulap, at sa pamamagitan ng pagpunta sa paraang iyon, mas ligtas ka.
Gayunpaman, bilang isang pangkalahatang taktika sa seguridad, ito ay isang ganap na mabubuhay na panukala. Ang paglikha ng isang segment na istilo ng network ng DMZ sa likod ng iyong firewall ay nagdadala ng parehong mga benepisyo tulad ng nangyari noong dati mong pag-squash ng isa sa pagitan ng iyong LAN at sa internet: ang isa pang segment ay nangangahulugan ng higit na proteksyon maaari mong pilitin ang mga masasamang tao na kailangang tumagos bago sila makarating kung ano ang talagang gusto nila. At mas kailangan nilang magtrabaho, mas mahaba ka o ang iyong pagbabanta at pagbabanta ng sistema ay dapat makita ang mga ito at gumanti.
