Файловый архив студентов. Файловый архив студентов.
1264 вуза, 4634 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Российский государственный университет инновационных технологий и предпринимательства
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Voprosy_na_ekzamen (1).doc
Скачиваний:
10
Добавлен:
25.04.2019
Размер:
1.45 Mб
Скачать
►Содержание►

Системы контроля

В демилитаризованной зоне должны присутствовать внешние DNS-серверы. Если в организации планируется содержать собственную DNS, то сервер DNS должен быть доступен для запросов из внешней среды. DNS также является важной частью инфраструктуры организации. По этой причине можно выбрать наличие избыточных систем DNS либо использовать ISP в качестве альтернативной DNS. При выборе последнего варианта DNS провайдера должна будет осуществлять зональные переходы из DNS вашей организации. Ни одной системе больше не потребуется выполнять эти переходы.

Если будет выбрано использование NTP, то в демилитаризованной зоне необходимо наличие главного локального NTP-сервера. Внутренние системы будут запрашивать главный NTP-сервер для обновления времени. В качестве альтернативы функции главного локального NTP-сервера могут выполняться межсетевым экраном.

Подходящие архитектуры dmz

Существует множество архитектур демилитаризованных зон. Как и в большинстве вопросов безопасности, имеют место преимущества и недостатки каждой архитектуры, и для каждой организации следует в отдельном порядке осуществлять выбор конкретной архитектуры DMZ. В трех следующих разделах мы подробно рассмотрим три наиболее распространенных архитектуры.

Примечание

Каждая архитектура демилитаризованной зоны содержит межсетевые экраны, о которых подробно рассказывалось в лекции 10.

Маршрутизатор и межсетевой экран

На рисунке 16.9 показана простая архитектура с использованием маршрутизатора и межсетевого экрана. Маршрутизатор подключен к каналу связи с провайдером и к внешней сети организации. Межсетевой экран контролирует доступ во внутреннюю сеть.

Демилитаризованная зона приравнивается ко внешней сети, и в ней располагаются системы, к которым будет осуществляться доступ из интернета. Так как эти системы размещены во внешней сети, они полностью открыты для атак из интернета. Чтобы некоторым образом снизить этот риск, на маршрутизаторе можно разместить фильтры, чтобы в DMZ проникал только трафик, связанный со службами, предоставляемыми системами, находящимися в демилитаризованной зоне.

увеличить изображение Рис. 16.9.  Архитектура DMZ с маршрутизатором и межсетевым экраном

Еще одним способом снижения риска является их блокировка таким образом, чтобы единственными службами, функционирующими в каждой системе, были только те, которые предоставляются в демилитаризованной зоне. Это означает, что на веб-сервере должен работать только веб-сервер. Telnet, FTP, а другие службы должны быть отключены. В системы следует устанавливать самые последние обновления и внимательно следить за их работой.

Во многих случаях маршрутизатор принадлежит провайдеру и управляется им. Если это так, могут возникнуть трудности со сменой фильтров или их правильной настройкой. Если владельцем и субъектом управления маршрутизатора является организация-клиент, то эта проблема сводится к минимуму. Однако следует иметь в виду, что на маршрутизаторах часто используются элементы управления, работающие из командной строки, и для правильной работы фильтров их необходимо корректно настраивать и располагать в правильном порядке.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности