DMZ, LAN içindeki başka bir bilgisayar tarafından başlatılsa bile trafiğini hedefine yönlendirir mi?


1

Diyelim ki kurulumum şöyle gözüküyor:

  1. Yönlendirici 1 İnternete bağlanır (örn. Modem).
  2. Yönlendirici 2'nin WAN bağlantı noktası Yönlendirici 1'in bir LAN bağlantı noktasına bağlanır.
  3. WILD (bir bilgisayar) Yönlendirici 1'in bir LAN bağlantı noktasına bağlanır.
  4. İYİ, MILD ve TAME (tüm bilgisayarlar) Yönlendirici 2'nin LAN bağlantı noktalarına bağlanır.
  5. Yönlendirici 1 DMZ, gelen tüm trafiği Yönlendirici 2'ye yönlendirir.
  6. Yönlendirici 2 bağlantı noktası, İYİ, MILD ve TAME öğesine gerektiği gibi iletilir.

SORU

Element 5 (DMZ) WILD'in internetten 'cevapları' almasını engeller mi?

Üzgünüm, 'cevaplar' için teknik kelimeyi bilmiyorum.

Aklımda, örneğin:

  • WILD, CNN.com'dan bir Web sayfası istiyor. Yönlendirici 1'in DMZ'si bu Web sayfasını WILD yerine Yönlendirici 2'ye gönderecek mi?

  • WILD’de bir FTP istemcisi bir FTP oturumu başlatır. FTP sunucusu bir veri kanalı açtığında, DMZ WILD yerine Yönlendirici 2'ye gönderir mi?

ARKA FON

Adından da anlaşılacağı gibi, WILD'ı Web sitelerini ziyaret etmek ve kötü amaçlı yazılım içerebilecek yürütülebilir dosyaları çalıştırmak için kullanırdım. Yönlendirici 2'yi WILD ile diğer bilgisayarlar arasında bariyer (güvenlik duvarı) olarak yerleştiriyorum.

Fark eder mi bilmiyorum ama WILD aslında sanal bir makine olacak. WILD'in TAME'de barındırıldığını varsayarsak, TAME'de iki NIC bulunur. NIC 1 (Yönlendirici 1’e bağlanma) TAME’de devre dışı bırakılır ve WILD’e adanır. NIC 2 (Yönlendirici 2'ye bağlanma), TAME tarafından kendisi tarafından etkinleştirilir ve kullanılırdı.

Yönlendirici 1 veya Yönlendirici 2'nin vLAN özelliği yoktur.

Bütün bu soru, İYİ vs.'yi WILD’ten korumanın daha iyi bir yolunu düşünemediğimi varsayıyor.

Sahip olduğum tek fikir, tüm bilgisayarları aynı LAN'a yerleştirmek, ancak WILD'i izole etmek için yazılım güvenlik duvarı kullanmak. Ancak bu, diğer bilgisayarların her birinin (diğer VM'ler dahil), önerilen kurulumumdan çok daha fazla iş için gerekli güvenlik duvarı ayarlarını almasını gerektiriyor gibi görünüyor.

Yanıtlar:


3

Element 5 (DMZ) WILD'in internetten 'cevapları' almasını engeller mi?

Yok hayır.

Bir DMZ'nin nasıl çalıştığını yanlış anlıyor gibisiniz. Bir cihazı DMZ'ye yerleştirmek Yönlendirici 1'in tüm trafiği bu düğüme yönlendirmesine neden olmaz. Bunun yerine düğümü, yönlendiricinin normal davranışının yalnızca bu aygıt için farklı şekilde çalıştığı farklı bir güvenlik bölgesine yerleştiriyorsunuz .

Örneğin, DMZ bölgesindeki cihazlar için trafik, yönlendiricinin güvenlik duvarı incelemesinden hariç tutuldu.

Yönlendirici 1'in LAN arayüzünün arkasındaki diğer cihazlar normal şekilde çalışmaya devam edecektir. WILD bir web sayfası talep ettiğinde, yönlendirici giden bağlantıyı izler, böylece yanıt alındığında, WILD'a geri gönderilmesi gerektiğini bilir.

Bazı yönlendiriciler (tipik olarak tüketici modelleri), DMZ bölgesini dev bir "tüm bağlantı noktalarını buraya yönlendir" ayarı gibi kullanır. Tüm bağlantı noktası iletme işlemlerinde olduğu gibi, bu yalnızca istenmeyen, gelen bağlantıları etkiler . Bu nedenle, böyle bir DMZ mevcut olsa bile, daha önce yönlendiricinin LAN'ında başka bir ana bilgisayar tarafından kurulan bir bağlantının parçası olan gelen trafik, DMZ'ed ana makineye değil, o düğüme gönderilir.


Amaçlarınız için kurulum makul görünüyor. Benzer iki yönlendirici kurulumları yaptım, ancak genellikle başka bir NAT aygıtının arkasında olmaktan hoşlanmayan yönlendiriciler nedeniyle bağlantı noktalarının böyle bir yapılandırma aracılığıyla doğru şekilde iletilmesi zor olabilir. Sizin için çalışıyorsa, o zaman daha iyi!


Teşekkür ederim. Ancak bir DMZ'yi 'iş' bağlamında tarif ediyor gibi görünüyorsunuz (burada bana DMZ sunucusunun LAN'ın geri kalanından ayrıldığı söyleniyor). Tüm trafiği belirtilen makineye iletmenin bir yolu olan ucuz yönlendiricilerdeki 'DMZ' özelliğinden bahsediyorum. Cevabınız hala bu 'DMZ' duygusu için geçerli mi?
Catomic

@Katomik Evet. Bir düşünün: DMZ'ye Yönlendirici 1'e bir aygıt koymak tüm trafiği göndermek için zorladıysa , yönlendiricinin LAN tarafındaki başka hiçbir aygıt çalışamaz. Bu, yönlendiriciyi anlamsız kılar, çünkü bu aygıtı doğrudan Internet'e de bağlayabilirsiniz!
Twisty Impersonator
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.