web-dev-qa-db-ja.com

エクストラネットとa DMZの区別

私は今イントラネット、エクストラネット、DMZ、VPNについて読んでいますが、エクストラネットとDMZに関連するいくつかの説明が必要です。 DMZはインターネットとイントラネットの間に位置し、外部向けのサービスをホストするサブネットですが、エクストラネットは一部のイントラネットリソースへのアクセスを制限できます。ただし、通常の設定で実際にそれらの違いは何ですか? エクストラネットに関するウィキペディアの記事 は、エクストラネットは同じ目的で使用されているため(一部のサービスへのアクセスを提供するため)DMZに類似していると述べています/ resourcesはイントラネット全体を公開していません。この記事では、エクストラネットはVPNの一部であると述べており、 このTechNet記事 は、エクストラネットアクセスがリモートイントラネットアクセスと同様にしばしば実装されることも述べています。 VPN。TechNetの記事では、一般的にエクストラネットはDMZ内でホストされているとも述べています このピアソンの記事 は、「[DMZ]は技術的にイントラネット内にありますが、エクストラネットとして機能します。同様に」これは少し混乱しています。

次のシナリオを検討してください。ある企業がDMZでホストされているB2C Webサイトを持っています。ウェブサイトはどこからでもアクセスできますが、ユーザー認証が必要です。基盤となるWebアプリは、イントラネット内にデータベースを持ち、イントラネット内でホストされているいくつかのWebサービスと対話します(つまり、イントラネットリソースにアクセスします)。私の見たところ、このWebサイトはイントラネットへの制限付きアクセスを効果的に提供しています。しかし、それはエクストラネットと考えることができますか?ウィキペディアでエクストラネットの定義を文字どおりに解釈すると、「エクストラネットは、組織のイントラネットの外部から制御されたアクセスを可能にするコンピューターネットワークです」と私は考えます。

上記はエクストラネットと見なすことができないとしましょう。シナリオを少し変更して、アクセスがB2B Webサイトであるとするとどうなるでしょうか。特定のビジネスパートナーからの接続に限定(たとえば、サイト間VPNを使用して)。この場合、それは確かにエクストラネットですよね?これが事実である場合、エクストラネットサービスとDMZでホストされている他のサービスとの違いは、単にアクセス制限ですか?

8
Markus Yrjölä

これらは学術的な違いです。現実の世界では、これらの概念のすべてのいくつかの組み合わせが、異なる用語で進んでいます。

一部の組織では、DMZは別個のISPネットワーク接続を持ち、内部リソースにアクセスできません。他の組織では、DMZ =内部マシンの制限されたセットと通信できます。内部とDMZには別々のファイアウォールがあります。同じファイアウォールに別々のインターフェースがある場合もあります。

知っておくことが重要ですなぜエクストラネットまたはDMZを使用する必要があります。これらは重要なセキュリティ概念であるためです。そこから、特定のリソースへのアクセスを許可する方法を選択できます。それが実際に何と呼ばれるかは重要ではありません。いくつかのケースでは、それは毛を分割しています。

14
MDMarra

最近、教科書や教室以外のエクストラネットについて聞いたことがないと思います。

[〜#〜] dmz [〜#〜] は、ファイアウォールによって内部ネットワークから分離されているネットワークセグメントとuntrusted externalネットワーク(別名インターネット)。

対照的に Extranet は、実際にネットワーク設計に含まれている場合、インターネット全体ではなくVPNまたは実際のプライベートネットワークに接続されていることを意味します。

多くの企業は複数のDMZネットワークを所有しており、VPNゲートウェイ/ルーターまたはプライベート相互接続を備えたネットワークを別のDMZと見なします。

多くの場合、エクストラネットはそれほどネットワークトポロジではありませんが、ある程度信頼され、既知の、および/または認証された外部ユーザー、企業、およびネットワークの制限されたセットに提供される内部ネットワークとは別のサービスであることを意味します。

ネットワーキングの観点から、WebサーバーはDMZネットワークに存在する必要があります。リセラーがログイン、カタログの閲覧、在庫および注文の閲覧を許可しているという事実は、Webサイトがマーケティング部門からextranetと呼ばれ、開発コストは$$から$$$$になります。

7
HBruijn

私は、これをセキュリティポリシーに要約します。特定の例外が許可されない限り、公的にアクセス可能なシステムはイントラネットへのインバウンドアクセスを行わないというポリシーを書いています。また、DMZにはイントラネットへのインバウンドアクセスがなく、エクストラネットにはないというポリシーがあります。たとえば、データをイントラネットと同期する必要があるバックエンドデータベースを備えたWebサーバーがあります。ベースのデータベースです。WebサーバーをDMZに配置し、バックエンドデータベースをエクストラネットに配置し、本番イントラネットデータベースと同期します。したがって、信頼度評価の場合、パブリックネットワークは0、DMZは1、エクストラネットは2、イントラネットは3になります。

2
Corey Adam