7f920352

данный тип DMZ может иметь


Однако, данный тип DMZ может иметь некоторые проблемы с эффективностью выполнения.

Для организаций, которым требуется безопасность уровня DMZ с двумя firewall’ами, но которые не имеют финансовых возможностей для покупки двух firewall’ов, существует возможность, называемая service leg DMZ. В такой конфигурации firewall создается с тремя (или более) сетевыми интерфейсами. Один сетевой интерфейс соединяется с пограничным роутером, другой — с внутренней сетью и третий — с DMZ.


12.3.  DMZ с firewall’ом с тремя интерфейсами

Данная конфигурация имеет определенные недостатки. В конфигурации DMZ, которая обсуждалась выше, DoS-атака, направленная на web-сервер, обычно задевает только сам web-сервер. В service leg конфигурации firewall принимает удар любой DoS-атаки, потому что он должен проверить весь сетевой трафик до того, как трафик достигнет web-сервера (либо любого другого ресурса в DMZ или во внутренней сети). Необходимость такой обработки может сильно загрузить firewall и замедлить весь трафик, включая тот, что предназначен для внутренней сети.

Преимущества создания DMZ с точки зрения безопасности:



  • Web-сервер может быть лучше защищен, и сетевой трафик к web-серверу и от web-сервера может анализироваться.
  • Компрометация web-сервера непосредственно не угрожает внутренней сети предприятия.


  • Сетевая конфигурация DMZ может быть оптимизирована для поддержки и защиты web-сервера.


Недостатки DMZ с точки зрения безопасности.

  • DoS-атаки, направленные на web-сервер, могут воздействовать на внутреннюю сеть.


Для организации, которая поддерживает свой собственный web-сервер, DMZ является однозначно наилучшим решением. Она защищает web-сервер и другие внешне доступные серверы без раскрытия внутренней сети. Однако это должно считаться безопасным только при использовании также и других мер безопасности.


Начало  Назад  Вперед