¿Cuál es la función real y el uso de una DMZ en una red?

Razones por las que desea una DMZ y los beneficios que ofrece. La idea general es que coloque sus servidores públicos en la "red DMZ" para que pueda separarlos de su red privada de confianza . El caso de uso es que debido a que su servidor tiene una cara pública, puede ser rooteado remotamente. Si eso sucede, y una parte maliciosa obtiene acceso a su servidor, debería estar aislado en la red DMZ y no tener acceso directo a los hosts privados (o a un servidor de base de datos, por ejemplo, que estaría dentro la red privada y no en la DMZ).

Como hacerlo: Hay varias formas, pero el 'ejemplo de libro' es mediante la utilización de dos firewalls (por supuesto, puede lograr el mismo resultado con un firewall y una configuración inteligente, aunque el aislamiento de hardware es mejor). Su servidor de seguridad principal se encuentra entre Internet y el servidor y el segundo servidor de seguridad entre el servidor y la red privada. En este segundo servidor de seguridad, lo ideal sería prohibir todo acceso desde el servidor a la red privada (por supuesto, sería un servidor de seguridad de estado completo, por lo que si inicia una conexión de la red privada al servidor, funcionará).

Por lo tanto, esta es una descripción general de DMZ de nivel bastante alto. Si desea más detalles técnicos, edite su pregunta en consecuencia.

Por supuesto, solo puedo agregar a la respuesta de John y aquí está:

Usted separa la DMZ del resto de la red tanto en términos de enrutamiento IP como de política de seguridad.

1. Usted identifica sus áreas de red. Interno: sistemas críticos; DMZ: sistemas que puede permitirse estar "expuestos", sistemas que desea alojar servicios al mundo exterior, por ejemplo. sus anfitriones SSH; Externo: el resto del mundo.

2. Configura estas áreas separadas en la arquitectura de su red.

3. Sus firewalls / enrutadores se configuran para permitir conexiones directas desde el mundo exterior solo a la DMZ. En consecuencia, sus sistemas internos deben poder conectarse solo a la DMZ y acceder al mundo exterior a través de HTTP, servidores proxy de aplicaciones, retransmisiones de correo, etc. Las reglas de su firewall deben reflejar estas decisiones mediante el bloqueo de las direcciones de tráfico / IP / puertos correspondientes: por ejemplo, la entrada permite solo puertos para servicios que operan en la DMZ, etc.

4. Idealmente, debería configurar cualquier servicio de intercambio de información entre áreas de la red (interna, DMZ, externa) para que se inicie DESDE el segmento de red más seguro A las áreas menos seguras, por ejemplo. Si necesita transferir archivos a hosts "internos", haga que los sistemas internos inicien la transferencia (tenga el rol de cliente, en lugar del servidor).

En las redes de PC, una zona (zona desmilitarizada) puede ser una subred física o lógica que separa una red espacial nativa (LAN) de diferentes redes no confiables, a veces la red. Los servidores, recursos y servicios externos se ubican dentro de la zona para que sean accesibles desde la red, sin embargo, el resto de la red de computadoras interior permanece sin ser alcanzado. Esto proporciona una capa adicional de seguridad a la red informática porque restringe el poder de los piratas informáticos para acceder directamente a los servidores internos y la información a través de la red.