Hiểu DMZ - Khu phi quân sự

Trong bảo mật máy tính, DMZ (đôi khi được gọi là mạng vành đai) là mạng con vật lý hoặc hợp lý chứa và cho thấy các dịch vụ bên ngoài của tổ chức với mạng không tin cậy lớn hơn, thường là Internet. Mục đích của DMZ là thêm một lớp bảo mật bổ sung vào mạng cục bộ của tổ chức (LAN); kẻ tấn công bên ngoài chỉ có quyền truy cập vào thiết bị trong DMZ, thay vì bất kỳ phần nào khác của mạng. Tên này bắt nguồn từ cụm từ phi quân sự, một khu vực giữa các quốc gia mà trong đó hành động quân sự không được phép.

Đó là thực tế phổ biến để có một tường lửa và khu phi quân sự (DMZ) trên mạng của bạn nhưng nhiều người thậm chí n chuyên gia CNTT không thực sự hiểu tại sao, ngoại trừ một số ý tưởng mơ hồ về bán bảo mật.

Hầu hết các doanh nghiệp lưu trữ máy chủ của họ vận hành mạng của họ với DMZ nằm ở chu vi mạng của họ, thường hoạt động trên tường lửa riêng biệt như một khu vực bán đáng tin cậy cho các hệ thống giao tiếp với thế giới bên ngoài.

Tại sao các khu vực đó tồn tại và loại hệ thống hoặc dữ liệu nào nên ở trong chúng?

Để duy trì an ninh thực sự, điều quan trọng là phải hiểu rõ mục đích của DMZ.

Hầu hết các tường lửa là các thiết bị bảo mật cấp mạng, thường là một thiết bị hoặc một thiết bị kết hợp với các thiết bị mạng. Chúng nhằm cung cấp một phương tiện kiểm soát truy cập chi tiết tại một điểm chính trong mạng lưới kinh doanh. DMZ là khu vực mạng của bạn được tách ra khỏi mạng nội bộ và Internet nhưng được kết nối với cả hai.

DMZ được thiết kế để lưu trữ các hệ thống phải truy cập được Internet nhưng theo các cách khác nhau so với mạng nội bộ của bạn. Mức độ sẵn có cho Internet ở cấp độ mạng được kiểm soát bởi tường lửa. Mức độ sẵn có cho Internet ở cấp ứng dụng được kiểm soát bởi phần mềm n thực sự là sự kết hợp của máy chủ Web, hệ điều hành, ứng dụng tùy chỉnh và phần mềm cơ sở dữ liệu thường.

Mẹo CHUYÊN NGHIỆP: Nếu vấn đề xảy ra với máy tính của bạn hoặc máy tính xách tay / máy tính xách tay, bạn nên thử sử dụng phần mềm Reimage Plus có thể quét các kho lưu trữ và thay thế các tệp bị hỏng và bị thiếu. Điều này làm việc trong hầu hết các trường hợp, nơi vấn đề được bắt nguồn do một tham nhũng hệ thống. Bạn có thể tải xuống Reimage Plus bằng cách nhấp vào đây

DMZ thường cho phép truy cập bị hạn chế từ Internet và từ mạng nội bộ. Người dùng nội bộ thường phải truy cập vào các hệ thống trong DMZ để cập nhật thông tin hoặc sử dụng dữ liệu được thu thập hoặc xử lý tại đó. DMZ được thiết kế để cho phép công chúng truy cập thông tin qua Internet, nhưng theo những cách hạn chế. Nhưng vì có sự tiếp xúc với Internet và một thế giới của những người khéo léo, có một nguy cơ hiện tại bao giờ mà các hệ thống này có thể bị tổn hại.

Tác động của thỏa hiệp là gấp đôi: đầu tiên, thông tin về (các) hệ thống phơi nhiễm có thể bị mất (tức là sao chép, phá hủy hoặc hỏng) và thứ hai, bản thân hệ thống có thể được sử dụng làm nền tảng để tấn công thêm vào các hệ thống nội bộ nhạy cảm.

Để giảm thiểu rủi ro đầu tiên, DMZ chỉ cho phép truy cập thông qua các giao thức hạn chế (ví dụ, HTTP cho truy cập Web bình thường và HTTPS để truy cập Web được mã hóa). Sau đó, bản thân các hệ thống phải được cấu hình cẩn thận để cung cấp sự bảo vệ thông qua các điều khoản, cơ chế xác thực, lập trình cẩn thận và đôi khi mã hóa.

Hãy suy nghĩ về thông tin mà trang web hoặc ứng dụng của bạn sẽ thu thập và lưu trữ. Đó là những gì có thể bị mất nếu các hệ thống bị xâm nhập thông qua các cuộc tấn công Web phổ biến như là tiêm SQL, tràn bộ đệm hoặc các quyền không chính xác.

Để giảm thiểu rủi ro thứ hai, các hệ thống DMZ không nên được các hệ thống tin cậy hơn trên mạng nội bộ. Nói cách khác, các hệ thống DMZ không nên biết gì về các hệ thống nội bộ mặc dù một số hệ thống nội bộ có thể biết về các hệ thống DMZ. Ngoài ra, các điều khiển truy cập DMZ không được cho phép các hệ thống DMZ khởi tạo bất kỳ kết nối nào khác trong mạng. Thay vào đó, bất kỳ liên hệ nào với hệ thống DMZ đều phải được khởi tạo bởi hệ thống nội bộ. Nếu một hệ thống DMZ bị xâm nhập như một nền tảng tấn công, thì các hệ thống duy nhất có thể nhìn thấy nó phải là các hệ thống DMZ khác.

Điều quan trọng là các nhà quản lý CNTT và chủ doanh nghiệp hiểu các loại thiệt hại có thể xảy ra đối với các hệ thống được tiếp xúc trên Internet cũng như các cơ chế và phương pháp bảo vệ, như DMZ. Chủ sở hữu và người quản lý chỉ có thể đưa ra quyết định sáng suốt về những rủi ro mà họ sẵn sàng chấp nhận khi họ nắm vững công cụ và quy trình của họ hiệu quả như thế nào để giảm thiểu những rủi ro đó.