Mạng DMZ là gì? Những thông tin cơ bản và đầy đủ nhất về DMZ

Trong bảo mật máy tính, Mạng DMZ (đôi khi được gọi là Vùng phi quân sự hóa) có chức năng như một mạng con chứa các dịch vụ hướng ngoại, hướng ra ngoài của một tổ chức. Nó hoạt động như một điểm tiếp xúc với các mạng không tin cậy, thường là Internet.

Mục tiêu của DMZ là thêm một lớp bảo mật bổ sung vào mạng cục bộ của tổ chức. Nút mạng được bảo vệ và giám sát phải đối mặt bên ngoài mạng bên trong có thể truy cập vào những gì được hiển thị trong DMZ, trong khi phần còn lại của mạng của tổ chức an toàn phía sau tường lửa.

Khi được triển khai đúng cách, Mạng DMZ cung cấp cho các tổ chức thêm sự bảo vệ trong việc phát hiện và giảm thiểu các vi phạm an ninh trước khi chúng truy cập vào mạng nội bộ, nơi lưu trữ các tài sản có giá trị.

Mục đích của DMZ là gì ?

Mạng DMZ tồn tại để bảo vệ các máy chủ dễ bị tấn công nhất. Các máy chủ này thường liên quan đến các dịch vụ mở rộng cho người dùng bên ngoài mạng cục bộ, ví dụ phổ biến nhất là email, máy chủ web và máy chủ DNS. Do khả năng tấn công tăng lên, chúng được đặt vào mạng con được giám sát để giúp bảo vệ phần còn lại của mạng nếu chúng bị xâm phạm.

Các máy chủ trong DMZ có quyền truy cập được kiểm soát chặt chẽ đối với các dịch vụ khác trong mạng nội bộ, vì dữ liệu được truyền qua DMZ không an toàn. Trên hết, thông tin liên lạc giữa các máy chủ trong DMZ và mạng bên ngoài cũng bị hạn chế để giúp tăng vùng biên được bảo vệ. Điều này cho phép các máy chủ trong mạng được bảo vệ tương tác với mạng bên trong và bên ngoài, trong khi tường lửa ngăn cách và quản lý tất cả lưu lượng được chia sẻ giữa DMZ và mạng bên trong. Thông thường, một tường lửa bổ sung sẽ chịu trách nhiệm bảo vệ DMZ khỏi tiếp xúc với mọi thứ trên mạng bên ngoài.

Tất cả các dịch vụ mà người dùng có thể truy cập khi liên lạc từ mạng bên ngoài đều có thể và nên được đặt trong DMZ, nếu một dịch vụ được sử dụng. Các dịch vụ phổ biến nhất là:

  • Máy chủ web: Máy chủ web chịu trách nhiệm duy trì liên lạc với máy chủ cơ sở dữ liệu nội bộ có thể cần được đặt vào DMZ. Điều này giúp đảm bảo sự an toàn của cơ sở dữ liệu nội bộ, thường lưu trữ thông tin nhạy cảm. Sau đó, các máy chủ web có thể tương tác với máy chủ cơ sở dữ liệu nội bộ thông qua tường lửa ứng dụng hoặc trực tiếp, trong khi vẫn nằm dưới sự bảo vệ của DMZ.
  • Máy chủ thư: thư email cá nhân, cũng như cơ sở dữ liệu người dùng được xây dựng để lưu thông tin đăng nhập và tin nhắn cá nhân, thường được lưu trữ trên máy chủ mà không cần truy cập trực tiếp vào internet. Do đó, một máy chủ email sẽ được xây dựng hoặc đặt bên trong DMZ để tương tác và truy cập cơ sở dữ liệu email mà không trực tiếp tiếp xúc với lưu lượng truy cập có hại.
  • Máy chủ FTP: Chúng có thể lưu trữ nội dung quan trọng trên trang web của tổ chức và cho phép tương tác trực tiếp với các tệp. Do đó, một máy chủ FTP phải luôn được cách ly một phần khỏi các hệ thống nội bộ quan trọng.

Cấu hình DMZ cung cấp bảo mật bổ sung từ các cuộc tấn công bên ngoài, nhưng nó thường không có liên quan đến các cuộc tấn công nội bộ như đánh hơi truyền thông qua bộ phân tích gói hoặc giả mạo qua email hoặc các phương tiện khác.

Thiết kế DMZ

Có nhiều cách để xây dựng một mạng với DMZ. Hai phương thức chính là một tường lửa đơn (đôi khi được gọi là mô hình ba chân) hoặc tường lửa kép. Mỗi hệ thống này có thể được mở rộng để tạo ra các kiến ​​trúc phức tạp được xây dựng để đáp ứng các yêu cầu mạng:

  • Tường lửa đơn: Một cách tiếp cận khiêm tốn về kiến ​​trúc mạng liên quan đến việc sử dụng một tường lửa duy nhất, với tối thiểu 3 giao diện mạng. DMZ sẽ được đặt bên trong tường lửa này. Cấp độ hoạt động như sau: thiết bị mạng bên ngoài tạo kết nối từ ISP, mạng bên trong được kết nối bởi thiết bị thứ hai và các kết nối trong DMZ được xử lý bởi thiết bị mạng thứ ba.
  • Tường lửa kép: Cách tiếp cận an toàn hơn là sử dụng hai tường lửa để tạo DMZ. Tường lửa đầu tiên (được gọi là tường lửa của Front frontend) được cấu hình để chỉ cho phép lưu lượng truy cập dành cho DMZ. Tường lửa thứ hai (được gọi là tường lửa phụ trợ trực tuyến) chỉ chịu trách nhiệm đối với lưu lượng đi từ DMZ đến mạng nội bộ. Một cách hiệu quả để tăng cường bảo vệ hơn nữa là sử dụng tường lửa được xây dựng bởi các nhà cung cấp riêng biệt, bởi vì chúng ít có khả năng có các lỗ hổng bảo mật tương tự. Mặc dù hiệu quả hơn, kế hoạch này có thể tốn kém hơn khi thực hiện trên một mạng lớn.

Tại sao Mạng DMZ lại quan trọng ?

Trên nhiều mạng gia đình, các thiết bị hỗ trợ internet được xây dựng xung quanh mạng cục bộ truy cập internet từ bộ định tuyến băng thông rộng. Tuy nhiên, bộ định tuyến đóng vai trò là điểm kết nối và tường lửa, tự động lọc lưu lượng để đảm bảo chỉ có các tin nhắn an toàn vào mạng cục bộ. Vì vậy, trên mạng gia đình, DMZ có thể được xây dựng bằng cách thêm tường lửa chuyên dụng, giữa mạng cục bộ và bộ định tuyến. Mặc dù đắt hơn, cấu trúc này có thể giúp bảo vệ các thiết bị bên trong khỏi các cuộc tấn công tinh vi bảo vệ tốt hơn các thiết bị bên trong khỏi các cuộc tấn công có thể xảy ra từ bên ngoài.

DMZ là một phần thiết yếu của bảo mật mạng cho cả người dùng cá nhân và tổ chức lớn. Họ cung cấp thêm một lớp bảo mật cho mạng máy tính bằng cách hạn chế quyền truy cập từ xa vào các máy chủ và thông tin nội bộ, điều này có thể rất nguy hiểm nếu bị vi phạm.

Cách cấu hình Máy chủ DMZ

Bước 1: Đăng nhập vào trang quản lý
Mở trình duyệt web và nhập địa chỉ IP của thiết bị vào thanh địa chỉ (mặc định là 192.168.1.1/192.168.0.1/192.168.0.254). Nhấn Enter .
Tên người dùng và mật khẩu mặc định đều là admin . Nhấn OK để đăng nhập vào thiết bị.
Bước 2: Cấu hình DMZ

Dành cho Bộ định tuyến không dây và Bộ định tuyến 3G (GUI màu xanh lá cây)

Bấm: Forwarding > DMZ > Enable/Disable . Nhập IP của thiết bị chủ (ở đây lấy ví dụ 192.168.0.100), sau đó nhấp vào save

Dành cho Bộ định tuyến không dây và Bộ định tuyến 3G (GUI màu xanh)

Nhấp vào Advanced > Forwarding > DMZ > Enable/Disable. . Nhập IP của thiết bị chủ  (ở đây lấy 192.168.0.100 làm ví dụ) , sau đó nhấp vào save.

Bước 3:  Khởi động lại bộ định tuyến của bạn để các thay đổi có hiệu lực.

Đối với bộ định tuyến ADSL

GUI màu xanh

Bấm:  Forwarding > DMZ > Enable/Disable  Nhập IP của thiết bị chủ (ở đây lấy 192.168.1.100 làm ví dụ), sau đó nhấp vào Save

GUI màu cam

Nhấp vào  Advanced Setup > NAT > DMZ > Enable/Disable . Nhập IP của thiết bị chủ (ở đây lấy 192.168.1.100 làm ví dụ), sau đó nhấp vào save

Trên đây Alilaska đã giải thích cho bạn DMZ là gì? Nếu bạn có thắc mắc gì hãy để lại dưới bình luận !

Alilaska Cung Cấp Nội Dung Bài Viết
Mạng DMZ là gì? Tại sao Mạng DMZ lại quan trọng ? Cách cấu hình Máy chủ DMZ
Tên Bài Biết
Mạng DMZ là gì? Tại sao Mạng DMZ lại quan trọng ? Cách cấu hình Máy chủ DMZ
Mô Tả
Trong bảo mật máy tính, Mạng DMZ (đôi khi được gọi là Vùng phi quân sự hóa) có chức năng như một mạng con chứa các dịch vụ hướng ngoại, hướng ra ngoài của một tổ chức. Nó hoạt động như một điểm tiếp xúc với các mạng không tin cậy, thường là Internet.
Tác Giả
Bản Quyền Nội Dung
Alilaska.com
Logo

Trả lời