Страница 1 из 1

Организация DMZ

Добавлено: 2007-03-03 0:00:41
-felix-
Планирую создать DMZ зону в сети. Т.е. имеется NAT под FReeBSD6.2 c тремя сетевками
rl0 - LAN
rl1 - Inet
rl2 - DMZ.

Локальная сеть - контроллер домена Win2k3, AD; клиенты WinXP

В DMZ будет находиться пока одна машинка, на которой будет крутиться почтовик (Postfix) и прокся для доступа в инет (Squid) с авторизацией в AD.

У меня возникает сомнение по поводу работы данной схемы.

Я так понимаю DMZ это отдельная сеть и не должна иметь ни какого отношения к локальной сети, в целях безопасности. Тогда получается что авторизация юзеров через squid который в свою очередь по ntlm будет обращаться к AD - ни есть правильно и безопасно.

Ставить squid на машину с NAT не хотелось бы - во-первых она слабая, во-вторых это будет уже не DMZ

В общем хотелось бы услышать мнения и советы по поводу реализации данной схемы.

Добавлено: 2007-03-03 8:57:40
alex3
По классике -
выход в инет - брандмауэр - DMZ- брандмауэр - локалка

Re: Организация DMZ

Добавлено: 2007-03-04 16:33:06
dikens3
-felix- писал(а): У меня возникает сомнение по поводу работы данной схемы.

Я так понимаю DMZ это отдельная сеть и не должна иметь ни какого отношения к локальной сети, в целях безопасности. Тогда получается что авторизация юзеров через squid который в свою очередь по ntlm будет обращаться к AD - ни есть правильно и безопасно.
DMZ отдельная сеть и факты установки (попытки) соединений в твою сеть должны блокироваться и фиксироваться на Firewall'е (брэндмауэре).
Смысл DMZ - оградить в случае взлома свою сеть и внутренние сервера.

Вывод. при взломе будет известно о пользователях и IP-Адресах твоей внутренней сети, что не так уж страшно при невозможности войти и что-либо сделать в твоей сети.

Добавлено: 2007-03-04 21:47:36
alex3
по классике, ДМЗ - это сеть, в которой расположены сервера, к каким должен быть доступ из внешнего мира (http, ftp etc.) Они сами предусматривают дыры в системе безопасности. Именно для этого и служит ДМЗ, чтобы при взломе одного из этих серверов основная часть компов, расположенных в локальной сети не пострадала.