セキュリティの観点から、トラフィックの少ない(人気のない)Webサイトをそこから実行することを計画している場合、自宅でDMZ)を設定することの利点は何ですか?
同じWindowsネットワーク上の自宅には多数のコンピューターがありますが、すべてのHTTPおよびSSLトラフィックはそのネットワーク上の特定のマシンにリダイレクトされます。セキュリティを強化するために、このマシンをある種のDMZに設定する必要がありますか?
はい。いずれかのコンピュータからの要求への応答ではないインターネットからの着信トラフィックは疑わしいはずです。あなたのウェブサイトが危険にさらされる可能性があり、それが誰かが内部ネットワークにアクセスすることにつながる可能性がある多くのシナリオがあります。
現在、残念なことに、ほとんどの商用ホームルーターには適切なDMZをセットアップする能力がありません。すべての外部トラフィックがルーティングされるDMZIPを設定できる場合があります。これでは、DMZが提供する必要のある分離は許可されません。 DMZを機能させるには、DMZ内のコンピューターが、メインネットワークとは異なるIP範囲またはサブネット上にあり、DMZのみをサポートするルーター上の別のポート上にある必要があります。 _IP範囲。適切に構成されたDMZの最終結果は、DMZ内のシステムがメインネットワーク上のIPに直接アクセスできないことです。
また、ルーターが管理の目的でDMZを内部として扱わないようにしてください。したがって、インターネットからのトラフィックを信頼する以上にDMZからのトラフィックを信頼してはならず、DMZ上のどのシステムからもルーターの管理インターフェイスにアクセスできないようにする必要があります。これは、他の人が提案した「2ルーター」ソリューションの問題であることがよくあります。外部ルーターは、DMZ内のシステムを内部の信頼できるものとして扱います。この外部ルーターは危険にさらされる可能性があり、インターネットに到達するには、すべての内部トラフィックがルーターを通過する必要があります。
利用可能にしたい特定のサービス(HTTPおよびSSL)をすでに転送している場合、DMZ)の唯一の用途は、そのマシンが危険にさらされた場合の被害を制限することです。 (たとえば、記述が不十分なcgiを介して)これを行うための枯渇の決定は、発生する損傷の程度に基づいて行う必要があります-とにかくネットワーク上に他のマシンがない場合、それは大したことではありませんが、セキュリティで保護されていない内部がある場合= NAS個人の財務記録がすべて含まれている場合は、セキュリティの内部レイヤーを追加する必要があります。そうです。
それは比較的簡単なので、私はまだそうします。 2つのブロードバンドルーターがある場合は、異なるプライベートIPアドレススペース(192.168.100.1-254や192.168.200.1-254など)を使用してインラインでセットアップできます。インターネットに直接接続されている最初のサーバーからWebサーバーをハングアップします。ポート転送を使用して、Webサーバーに転送します。プライベートネットワークに配置されるすべてのシステムを、2番目のブロードバンドルーターの背後に配置します。そうすれば、何らかの理由でWebサーバーが危険にさらされた場合、他のシステムに侵入するために2番目のブロードバンドルーターを通過する必要があります。
ほとんどのホームネットワークには、DMZを効果的に設定するのに十分なパブリックIPアドレススペースがありません。ただし、DMZのポイントは、通常、プレゼンテーションレイヤーを配置することです。 Webサーバーのように、データベースサーバーをファイアウォールの背後に置き、DMZ内のマシンのみが指定されたポートとプロトコルを介してデータベースサーバーと通信できるようにします。セキュリティは向上しますが、 DMZ)に適したN層アプリケーションを提供している場合を除いて、ホームセットアップはあまり意味がありません。