Демилитаризованные зоны

ДМЗ – это демилитаризованная зона. Примером тому является ничейная земля между Северной Кореей и Южной Кореей, на которую не претендует ни одна сторона.

После всего сказанного о брандмауэрах вы понимаете, что именно в ДМЗ вы должны поместить свои общественные службы. В главе 10 я рассказывал обо всех видах нападений на веб-серверы. Вам не захочется поместить веб-сервер внутрь охраняемой брандмауэром территории, уязвимой для нападения. Вы не можете поставить веб-сервер снаружи брандмауэра, потому что тогда он будет еще более уязвим. Решение состоит в том, чтобы поместить его в ДМЗ.

Это хорошая идея, и она имеет исторические прецеденты. Замки часто имели внутренние и внешние стены. За наружной стеной укрывались жилища слуг, которыми можно было пожертвовать во время штурма. За внутренними стенами находилась резиденция знати, имевшая большую ценность. Защитники старались отстоять внешние стены, но у них оставалась возможность отступить к внутренним.

Для того чтобы выстроить ДМЗ, вам нужно два логических брандмауэра. Один из них защищает ДМЗ от внешнего мира. Другой имеет конфигурацию, которая предоставляет большие возможности для защиты внутренней сети от вторжений из ДМЗ. Результат состоит в том, что эта часть сети становится менее доступной и более защищенной. И эта идея работает.