1 - Bezpečnost-firemních-dat

Pro zabezpečení firemního prostředí, dodržování právních předpisů a monitorovacích důvodů, umísťují některé podniky proxy servery do DMZ. To má tyto důsledky:

• Zavazuje interní uživatele (obvykle zaměstnance) používat proxy k získání přístupu do Internetu.

• Umožňuje společnostem snížit rychlostní požadavky přístupu do Internetu, protože některý webový obsah může být uložen v mezipaměti proxy serveru.

• Zjednodušuje zaznamenávání (logování) uživatelských aktivit a blokovat určitý webový obsah, který nesplňuje politiku dané firmy.

Reverzní proxy server je jako zprostředkovatel s DMZ. Místo poskytování služby pro lokální uživatele, kteří chtějí získat přístup k vnější síti, poskytuje nepřímý přístup z vnější sítě (obvykle Internetu) k vnitřním zdrojům. Například, přístup ke kancelářským aplikacím, kupříkladu e-mail, by mohl být poskytován zaměstnancům společnosti vzdáleně (aby mohli číst emaily, když jsou mimo firmu), ale vzdálený uživatel by neměl přímý přístup k e-mailovému serveru. Pouze reverzní proxy server může poskytnout virtuální přístup k vnitřnímu e-mailovému serveru. Toto je další bezpečnostní vrstva, která je obzvláště doporučována pokud chceme zpřístupnit vnitřní zdroje vnějšku. Obvykle je takový proxy mechanismus poskytován pomocí aplikační vrstvy firewallu, neboť se spíše zaměřuje na konkrétní typ provozu než na řízení specifických TCP a UDP portů, jak to obvykle paketový filtr firewallu dělá.

Existuje mnoho způsobů, jak navrhnout síť s DMZ. Nejzákladnější metody jsou pomocí jednoho nebo dvou firewallů. Tyto architektury mohou být rozšířeny k vytvoření složitějších architektur v závislosti na síťových požadavcích.

Jeden firewall

Jeden firewall s alespoň třemi síťovými rozhraními může být použit k vytvoření síťové architektury obsahující DMZ. Externí síť je na prvním síťovém rozhraní vytvořena mezi ISP a firewallem, místní síť je tvořena druhým síťovým rozhraním a DMZ je tvořen ze třetího. Firewall se takto stane jediným bodem, kde může síť selhat a musí být schopen ustát všechen provoz směřující jak do DMZ, tak do interní sítě. Zóny se obvykle označují barvami, například fialová pro LAN, zelená pro DMZ a červená pro Internet.

Dvojitý firewall

Mnohem bezpečnější je použít dva firewally k vytvoření DMZ. První firewall (označovaný jako „front-end“ firewall) musí být nakonfigurován tak, aby kontroloval provoz pouze pro DMZ. Druhý firewall (označovaný jako „back-end“ firewall) kontroluje provoz mezi DMZ a vnitřní sítí.

Toto nastavení lze považovat za bezpečné, protože jinak mohou být ohrožována oboje zařízení. Pokud se použije každé zařízení od jiného výrobce, tak se bezpečnost dále zvyšuje, protože je nepravděpodobné, aby trpěly stejnými bezpečnostními chybami. Pro příklad: při náhodné konfiguraci je nepravděpodobné, že by se útočník dostal do sítě přes stejnou bezpečnostní chybu u obou zařízení vyrobených jinými výrobci. Tato architektura je samozřejmě více nákladná. Používání různých firewallů od různých výrobců je někdy popisováno jako „hloubková obrana“.