जहाँ तक मैं समझता हूँ, DMZ का उपयोग करके आप होस्ट कंप्यूटर के सभी पोर्ट को इंटरनेट पर दिखाते हैं। इसके लिए क्या अच्छा है?
जहाँ तक मैं समझता हूँ, DMZ का उपयोग करके आप होस्ट कंप्यूटर के सभी पोर्ट को इंटरनेट पर दिखाते हैं। इसके लिए क्या अच्छा है?
जवाबों:
DMZ अच्छा है यदि आप एक होम सर्वर चलाना चाहते हैं जिसे आपके होम नेटवर्क (यानी वेब सर्वर, ssh, vnc या अन्य रिमोट एक्सेस प्रोटोकॉल) के बाहर से एक्सेस किया जा सकता है। आमतौर पर आप सर्वर मशीन पर एक फ़ायरवॉल चलाना चाहते हैं, केवल यह सुनिश्चित करने के लिए कि विशेष रूप से वांछित पोर्ट को सार्वजनिक कंप्यूटर से एक्सेस की अनुमति है।
DMZ का उपयोग करने का एक विकल्प पोर्ट अग्रेषण को सेटअप करना है। पोर्ट अग्रेषण के साथ आप अपने राउटर के माध्यम से केवल विशिष्ट पोर्ट की अनुमति दे सकते हैं और यदि आप अपने राउटर के पीछे कई सर्वर चल रहे हैं, तो आप विभिन्न मशीनों पर जाने के लिए कुछ पोर्ट निर्दिष्ट कर सकते हैं।
कृपया सावधान रहें। डीएमजेड एक कॉर्पोरेट / पेशेवर वातावरण (उच्च अंत फ़ायरवॉल के साथ) एक घर वायरलेस राउटर (या घरेलू उपयोग के लिए अन्य NAT रूटर्स) के लिए समान नहीं है। अपेक्षित सुरक्षा प्राप्त करने के लिए आपको एक दूसरे NAT राउटर का उपयोग करना पड़ सकता है (नीचे लेख देखें)।
में कड़ी 3 की सुरक्षा अब पॉडकास्ट सिंह Laporte और सुरक्षा गुरु स्टीव गिब्सन द्वारा इस विषय के बारे में बात की गई थी। प्रतिलेख में देखें "वास्तव में दिलचस्प मुद्दा है क्योंकि यह तथाकथित" डीएमजेड, "डिमिलिटरीकृत ज़ोन है, क्योंकि इसे राउटर कहा जाता है।"
स्टीव गिब्सन से, http://www.grc.com/nat/nat.htm :
"जैसा कि आप कल्पना कर सकते हैं, एक राउटर की" डीएमजेड "मशीन, और यहां तक कि" पोर्ट फॉरवर्ड "मशीन के लिए पर्याप्त सुरक्षा की आवश्यकता है या यह कुछ ही समय में इंटरनेट कवक के साथ क्रॉलिंग होगा। यह एक सुरक्षा दृष्टिकोण से एक बड़ी समस्या है। क्यों? .. एक NAT राउटर में एक मानक ईथरनेट स्विच होता है जो उसके सभी LAN- साइड पोर्ट्स को इंटरकनेक्ट करता है। विशेष "DMZ" मशीन को होस्ट करने वाले पोर्ट के बारे में "अलग" कुछ भी नहीं है। यह आंतरिक LAN पर है! इसका मतलब है कि ऐसा कुछ भी जो क्रॉल हो सकता है। एक अग्रेषित राउटर पोर्ट के माध्यम से, या इसके DMZ होस्ट होने के कारण, आंतरिक निजी LAN पर हर दूसरी मशीन तक पहुँच है (यह वास्तव में बुरा है।)
लेख में इस समस्या का समाधान भी है जिसमें एक दूसरे NAT राउटर का उपयोग करना शामिल है। समस्या और समाधान बताने के लिए कुछ बहुत अच्छे चित्र हैं।
block all traffic from #4 to #1,#2,#3
कि असंभव w / a L2 स्विच।
एक DMZ या "डी-मिलिटरीकृत ज़ोन" वह जगह है जहां आप सर्वर या अन्य डिवाइस सेट कर सकते हैं जिन्हें आपके नेटवर्क के बाहर से एक्सेस करने की आवश्यकता होती है।
वहां क्या है? वेब सर्वर, प्रॉक्सी सर्वर, मेल सर्वर आदि।
एक नेटवर्क में, सबसे अधिक हमला करने वाले मेजबान वे हैं जो लैन के बाहर के उपयोगकर्ताओं को सेवाएं प्रदान करते हैं, जैसे ई-मेल, वेब और डीएनएस सर्वर। यदि इन मेजबानों की बढ़ती क्षमता से समझौता किया जाता है, तो उन्हें अपने खुद के सबनेटवर्क में रखा जाता है ताकि बाकी नेटवर्क की रक्षा की जा सके अगर एक घुसपैठिया सफल होना था। डीएमजेड में मेजबान आंतरिक नेटवर्क में विशिष्ट होस्ट के लिए सीमित कनेक्टिविटी है, हालांकि डीएमजेड और बाहरी नेटवर्क में अन्य होस्ट के साथ संचार की अनुमति है। यह DMZ में मेजबानों को आंतरिक और बाहरी नेटवर्क दोनों को सेवाएं प्रदान करने की अनुमति देता है, जबकि एक हस्तक्षेप करने वाला फ़ायरवॉल DMZ सर्वर और आंतरिक नेटवर्क क्लाइंट के बीच यातायात को नियंत्रित करता है।
कंप्यूटर नेटवर्क में, एक DMZ (डिमिलिट्राइज़्ड ज़ोन), जिसे कभी-कभी परिधि नेटवर्क या एक स्क्रीन किए गए सबनेट नेटवर्क के रूप में भी जाना जाता है, एक भौतिक या तार्किक सबनेट है जो एक आंतरिक स्थानीय क्षेत्र नेटवर्क (LAN) को अन्य अविश्वसनीय नेटवर्क, आमतौर पर इंटरनेट से अलग करता है। बाहरी सामना करने वाले सर्वर, संसाधन और सेवाएं DMZ में स्थित हैं। इसलिए, वे इंटरनेट से सुलभ हैं, लेकिन शेष आंतरिक LAN अनुपलब्ध है। यह LAN को सुरक्षा की एक अतिरिक्त परत प्रदान करता है क्योंकि यह हैकर्स की क्षमता को इंटरनेट के माध्यम से सीधे आंतरिक सर्वर और डेटा तक पहुंचने के लिए प्रतिबंधित करता है।