Инструменты пользователя

Инструменты сайта


dmz

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Предыдущая версия
dmz [2016/10/10 12:15]
dmz [2020/02/25 17:17] (текущий)
alexey [Настройка]
Строка 1: Строка 1:
 +====== DMZ ==
 +
 +===== Описание ==
 +
 +Демилитаризованная зона или DMZ - это сегмент сети с белой адресацией,​ отделённый межсетевым экраном от интернета и локальной сети организации. В DMZ обычно помещают сервера,​ которые должны быть доступны из интернета,​ например почтовый или веб-сервер. Так как сервера в DMZ-сети отделены от локальной сети межсетевым экраном,​ в случае их взлома,​ злоумышленник не сможет получить доступ к ресурсам локальной сети.
 +
 +{{:​ics-dmz-scheme.png|Демилитаризованная зона}}
 +
 +===== Настройка =====
 +
 +Демилитаризованная зона создаётся в модуле "​провайдеры и сети"​. При её создании необходимо указать ip-адрес Интернет Контроль Сервера и маску DMZ-сети,​ а также выбрать сетевой интерфейс для DMZ. Из соображений безопасности,​ для DMZ обычно используют отдельный сетевой интерфейс.
 +
 +{{:​ics-int-dmz.png|Настройки демилитаризованной зоны}}
 +
 +По умолчанию сервера,​ находящиеся в DMZ не имеют доступа в интернет и локальную сеть, поэтому доступ для них необходимо настраивать правилами межсетевого экрана.
 +
 +Флажок "NAT из локальных сетей"​ позволяет управлять трансляцией локальных адресов в DMZ-сеть. По умолчанию он отключен,​ т.е. сервис NAT для интерфейса DMZ-сети не работает,​ адреса транслируются без изменений.
 +
 +**Важно:​ Собственно NAT для DMZ-сети на внешних интерфейсах ИКС отключен,​ поэтому для ее адресации должны использоваться "​белые"​ ip-адреса. Настраивать DMZ-сеть есть смысл, если вам необходимо управлять доступом извне к серверам в локальной сети, имеющим "​белые"​ ip-адреса. Во всех остальных случаях настраивается обычная локальная сеть.**
 +