DMZ (คอมพิวเตอร์)

ในด้านความปลอดภัยของคอมพิวเตอร์ DMZ หรือเขตปลอดทหาร (บางครั้งเรียกว่าเครือข่ายรอบนอกหรือซับเน็ตที่ถูกคัดกรอง ) คือซับเน็ต ทางกายภาพหรือตรรกะ ที่บรรจุและเปิดเผยบริการภายนอกขององค์กรให้กับเครือข่ายที่ไม่น่าเชื่อถือ ซึ่งโดยทั่วไปแล้วจะมีขนาดใหญ่กว่า เช่น อินเทอร์เน็ตวัตถุประสงค์ของ DMZ คือการเพิ่มชั้นความปลอดภัยเพิ่มเติมให้กับเครือข่ายบริเวณท้องถิ่น (LAN) ขององค์กร: โหนดเครือข่าย ภายนอก สามารถเข้าถึงได้เฉพาะสิ่งที่เปิดเผยใน DMZ เท่านั้น ในขณะที่ส่วนที่เหลือของเครือข่ายขององค์กรได้รับการปกป้องอยู่หลังไฟร์วอลล์ [ ¹^{] DMZ ทำหน้าที่เป็นเครือข่ายขนาดเล็กที่แยกตัวออกมาซึ่ง}^ตั้งอยู่ระหว่างอินเทอร์เน็ตและเครือข่ายส่วนตัว^[²^]

สิ่งนี้ไม่ควรสับสนกับโฮสต์ DMZซึ่งเป็นคุณสมบัติที่มีอยู่ในเราเตอร์บ้านบางรุ่น และมักแตกต่างจาก DMZ ทั่วไปอย่างมาก

ชื่อนี้มาจากคำว่าเขตปลอดทหารซึ่งหมายถึงพื้นที่ระหว่างรัฐที่ห้ามปฏิบัติการทางทหาร

เหตุผล

DMZ ถูกมองว่าไม่ได้เป็นส่วนหนึ่งของเครือข่ายใดๆ ที่อยู่ติดกัน แนวคิดนี้ใช้ได้กับการใช้งานคอมพิวเตอร์เช่นกัน เพราะ DMZ ทำหน้าที่เป็นประตูสู่โลกอินเทอร์เน็ตสาธารณะ มันจึงไม่ปลอดภัยเท่ากับเครือข่ายภายใน และก็ไม่ปลอดภัยเท่ากับอินเทอร์เน็ตสาธารณะ

ในกรณีนี้โฮสต์ที่มีความเสี่ยงต่อการถูกโจมตีมากที่สุดคือโฮสต์ที่ให้บริการแก่ผู้ใช้ภายนอกเครือข่ายบริเวณท้องถิ่นเช่น เซิร์ฟเวอร์ อีเมล เว็บและระบบชื่อโดเมน (DNS) เนื่องจากมีโอกาสสูงที่โฮสต์เหล่านี้จะถูกโจมตี จึงถูกจัดให้อยู่ในเครือข่ายย่อยเฉพาะนี้ เพื่อป้องกันส่วนที่เหลือของเครือข่ายในกรณีที่โฮสต์ใดโฮสต์หนึ่งถูกโจมตี

โฮสต์ใน DMZ ได้รับอนุญาตให้เชื่อมต่อกับโฮสต์เฉพาะในเครือข่ายภายในได้ในวงจำกัดเท่านั้น เนื่องจากเนื้อหาใน DMZ ไม่ปลอดภัยเท่ากับเครือข่ายภายใน ในทำนองเดียวกัน การสื่อสารระหว่างโฮสต์ใน DMZ และเครือข่ายภายนอกก็ถูกจำกัดเช่นกัน เพื่อให้ DMZ มีความปลอดภัยมากกว่าอินเทอร์เน็ตและเหมาะสมสำหรับการให้บริการเฉพาะทางเหล่านี้ ด้วยวิธีนี้ โฮสต์ใน DMZ จึงสามารถสื่อสารกับทั้งเครือข่ายภายในและภายนอกได้ ในขณะที่ไฟร์วอลล์ ตัวกลาง จะควบคุมการรับส่งข้อมูลระหว่างเซิร์ฟเวอร์ DMZ และไคลเอ็นต์เครือข่ายภายใน และไฟร์วอลล์อีกตัวจะทำหน้าที่ควบคุมในระดับหนึ่งเพื่อปกป้อง DMZ จากเครือข่ายภายนอก

การกำหนดค่า DMZ ช่วยเพิ่มความปลอดภัยจากการโจมตีจากภายนอก แต่โดยทั่วไปแล้วจะไม่มีผลต่อการโจมตีภายใน เช่น การดักฟังการสื่อสารผ่านโปรแกรมวิเคราะห์แพ็กเก็ตหรือการปลอมแปลงข้อมูลเช่น การ ปลอมแปลง อีเมล

บางครั้งการกำหนดค่าโซนทหารลับ (CMZ) แยกต่างหากก็เป็นแนวปฏิบัติที่ดีเช่นกัน^{[ 3 ]}ซึ่งเป็นโซนทหารลับที่มีการตรวจสอบอย่างเข้มงวด โดยส่วนใหญ่ประกอบด้วยเว็บเซิร์ฟเวอร์ (และเซิร์ฟเวอร์ที่คล้ายกันซึ่งเชื่อมต่อกับโลกภายนอก เช่น อินเทอร์เน็ต) ที่ไม่ได้อยู่ใน DMZ แต่มีข้อมูลที่ละเอียดอ่อนเกี่ยวกับการเข้าถึงเซิร์ฟเวอร์ภายใน LAN (เช่น เซิร์ฟเวอร์ฐานข้อมูล) ในสถาปัตยกรรมดังกล่าว DMZ มักจะมีไฟร์วอลล์แอปพลิเคชันและFTPในขณะที่ CMZ เป็นที่ตั้งของเว็บเซิร์ฟเวอร์ (เซิร์ฟเวอร์ฐานข้อมูลอาจอยู่ใน CMZ ใน LAN หรือใน VLAN แยกต่างหากก็ได้)

บริการใดๆ ที่ให้บริการแก่ผู้ใช้บนเครือข่ายภายนอก สามารถวางไว้ใน DMZ ได้ บริการที่พบบ่อยที่สุด ได้แก่:

เว็บเซิร์ฟเวอร์ที่สื่อสารกับฐานข้อมูลภายในจำเป็นต้องเข้าถึงเซิร์ฟเวอร์ฐานข้อมูลซึ่งอาจไม่สามารถเข้าถึงได้จากภายนอกและอาจมีข้อมูลที่ละเอียดอ่อน เว็บเซิร์ฟเวอร์สามารถสื่อสารกับเซิร์ฟเวอร์ฐานข้อมูลได้โดยตรงหรือผ่านไฟร์วอลล์แอปพลิเคชันเพื่อความปลอดภัย

ข้อความ อีเมลและโดยเฉพาะอย่างยิ่งฐานข้อมูลผู้ใช้เป็นข้อมูลที่เป็นความลับ ดังนั้นโดยทั่วไปจึงจัดเก็บไว้บนเซิร์ฟเวอร์ที่ไม่สามารถเข้าถึงได้จากอินเทอร์เน็ต (อย่างน้อยก็ไม่ใช่ในลักษณะที่ไม่ปลอดภัย) แต่สามารถเข้าถึงได้จากเซิร์ฟเวอร์อีเมลที่เปิดเผยต่ออินเทอร์เน็ต

เซิร์ฟเวอร์อีเมลภายใน DMZ จะส่งต่ออีเมลขาเข้าไปยังเซิร์ฟเวอร์อีเมลภายในที่มีการรักษาความปลอดภัย นอกจากนี้ยังจัดการอีเมลขาออกด้วย

เพื่อความปลอดภัย การปฏิบัติตามมาตรฐานทางกฎหมาย เช่นHIPAAและเพื่อการตรวจสอบ ในสภาพแวดล้อมทางธุรกิจ องค์กรบางแห่งจึงติดตั้งพร็อกซีเซิร์ฟเวอร์ภายใน DMZ ซึ่งมีประโยชน์ดังต่อไปนี้:

บังคับให้ผู้ใช้ภายใน (โดยปกติคือพนักงาน) ใช้พร็อกซีเซิร์ฟเวอร์ในการเข้าถึงอินเทอร์เน็ต
ลดความต้องการแบนด์วิดท์ในการเข้าถึงอินเทอร์เน็ต เนื่องจากเนื้อหาเว็บบางส่วนอาจถูกแคชโดยพร็อกซีเซิร์ฟเวอร์
ช่วยให้การบันทึกและติดตามกิจกรรมของผู้ใช้ง่ายขึ้น
การกรองเนื้อหาเว็บแบบรวมศูนย์

เซิร์ฟเวอร์พร็อกซีแบบย้อนกลับ (Reverse Proxy Server) เช่นเดียวกับเซิร์ฟเวอร์พร็อกซี (Proxy Server) เป็นตัวกลาง แต่ใช้ในทางกลับกัน แทนที่จะให้บริการแก่ผู้ใช้ภายในที่ต้องการเข้าถึงเครือข่ายภายนอก เซิร์ฟเวอร์พร็อกซีแบบย้อนกลับจะให้การเข้าถึงทางอ้อมสำหรับเครือข่ายภายนอก (โดยปกติคืออินเทอร์เน็ต) ไปยังทรัพยากรภายใน ตัวอย่างเช่น การเข้าถึงแอปพลิเคชันในส่วนงานสนับสนุน เช่น ระบบอีเมล อาจให้แก่ผู้ใช้ภายนอก (เพื่ออ่านอีเมลขณะอยู่นอกบริษัท) แต่ผู้ใช้ระยะไกลจะไม่สามารถเข้าถึงเซิร์ฟเวอร์อีเมลได้โดยตรง (มีเพียงเซิร์ฟเวอร์พร็อกซีแบบย้อนกลับเท่านั้นที่สามารถเข้าถึงเซิร์ฟเวอร์อีเมลภายในได้) นี่เป็นชั้นความปลอดภัยเพิ่มเติมที่แนะนำเป็นพิเศษเมื่อจำเป็นต้องเข้าถึงทรัพยากรภายในจากภายนอก แต่ควรทราบว่าการออกแบบนี้ยังคงอนุญาตให้ผู้ใช้ระยะไกล (และอาจเป็นผู้ไม่ประสงค์ดี) สื่อสารกับทรัพยากรภายในได้ด้วยความช่วยเหลือของพร็อกซี เนื่องจากพร็อกซีทำหน้าที่เป็นตัวกลางระหว่างเครือข่ายที่ไม่น่าเชื่อถือและทรัพยากรภายใน จึงอาจส่งต่อทราฟฟิกที่เป็นอันตราย (เช่นการโจมตีระดับแอปพลิเคชัน ) ไปยังเครือข่ายภายใน ดังนั้นความสามารถในการตรวจจับและกรองการโจมตีของพร็อกซีจึงมีความสำคัญอย่างยิ่งในการป้องกันผู้โจมตีภายนอกจากการใช้ประโยชน์จากช่องโหว่ที่มีอยู่ในทรัพยากรภายในที่เปิดเผยผ่านพร็อกซี โดยปกติแล้ว กลไกพร็อกซีแบบย้อนกลับดังกล่าวจะถูกจัดหาให้โดยการใช้ไฟร์วอลล์ระดับแอปพลิเคชันที่มุ่งเน้นไปที่รูปแบบและเนื้อหาเฉพาะของทราฟฟิก แทนที่จะควบคุมการเข้าถึงพอร์ต TCP และ UDP เฉพาะ (เช่นเดียวกับไฟร์วอลล์แบบกรองแพ็กเก็ต ) แต่พร็อกซีแบบย้อนกลับมักไม่ใช่สิ่งทดแทนที่ดีสำหรับการออกแบบ DMZ ที่คิดมาอย่างรอบคอบ เนื่องจากต้องอาศัยการอัปเดตลายเซ็นอย่างต่อเนื่องสำหรับเวกเตอร์การโจมตีที่อัปเดตแล้ว

สถาปัตยกรรม

การออกแบบเครือข่ายที่มี DMZ นั้นมีหลายวิธี สองวิธีพื้นฐานที่สุดคือ การใช้ไฟร์วอลล์ ตัวเดียว หรือที่เรียกว่าโมเดลสามขา และการใช้ไฟร์วอลล์สองตัว หรือที่เรียกว่าแบบต่อกัน สถาปัตยกรรมเหล่านี้สามารถขยายเพื่อสร้างสถาปัตยกรรมที่ซับซ้อนมากยิ่งขึ้นได้ ขึ้นอยู่กับความต้องการของเครือข่าย

ไฟร์วอลล์เดี่ยว

ไฟร์วอลล์ตัวเดียวที่มีอินเทอร์เฟซเครือข่ายอย่างน้อย 3 ตัว สามารถใช้สร้างสถาปัตยกรรมเครือข่ายที่มี DMZ ได้ เครือข่ายภายนอกจะเชื่อมต่อจากผู้ให้บริการอินเทอร์เน็ตไปยังไฟร์วอลล์ที่อินเทอร์เฟซเครือข่ายตัวแรก เครือข่ายภายในจะเชื่อมต่อจากอินเทอร์เฟซเครือข่ายตัวที่สอง และ DMZ จะเชื่อมต่อจากอินเทอร์เฟซเครือข่ายตัวที่สาม ไฟร์วอลล์กลายเป็นจุดล้มเหลวเพียงจุดเดียวของเครือข่าย และต้องสามารถจัดการกับปริมาณการรับส่งข้อมูลทั้งหมดที่ไปยัง DMZ รวมถึงเครือข่ายภายในได้ โดยปกติแล้วโซนต่างๆ จะถูกกำหนดด้วยสี เช่น สีม่วงสำหรับ LAN สีเขียวสำหรับ DMZ และสีแดงสำหรับอินเทอร์เน็ต (โดยมักใช้สีอื่นสำหรับโซนไร้สาย)

ไฟร์วอลล์คู่

^{ตามที่ Colton Fralick กล่าวไว้ [ 4 ]}วิธีการที่ปลอดภัยที่สุดคือการใช้ไฟร์วอลล์สองตัวเพื่อสร้าง DMZ ไฟร์วอลล์ตัวแรก (เรียกอีกอย่างว่าไฟร์วอลล์ "ด้านหน้า" หรือ "รอบนอก" ^{[ 5 ]} ) จะต้องได้รับการกำหนดค่าให้ยอมรับเฉพาะทราฟฟิกที่มุ่งไปยัง DMZ เท่านั้น ไฟร์วอลล์ตัวที่สอง (เรียกอีกอย่างว่าไฟร์วอลล์ "ด้านหลัง" หรือ "ภายใน") จะอนุญาตเฉพาะทราฟฟิกไปยัง DMZ จากเครือข่ายภายในเท่านั้น

การตั้งค่านี้ถือว่า^{[ 4 ]}ปลอดภัยกว่า เนื่องจากต้องมีการเจาะระบบอุปกรณ์สองเครื่อง การป้องกันจะยิ่งดีขึ้นไปอีกหากไฟร์วอลล์ทั้งสองมาจากผู้จำหน่ายสองรายที่แตกต่างกัน เพราะจะทำให้โอกาสที่อุปกรณ์ทั้งสองจะได้รับผลกระทบจากช่องโหว่ด้านความปลอดภัยเดียวกันลดลง ตัวอย่างเช่น ช่องโหว่ด้านความปลอดภัยที่พบในระบบของผู้จำหน่ายรายหนึ่ง มีโอกาสน้อยที่จะเกิดขึ้นในระบบของผู้จำหน่ายอีกรายหนึ่ง ข้อเสียอย่างหนึ่งของสถาปัตยกรรมนี้คือมีค่าใช้จ่ายสูงกว่า ทั้งในการซื้อและการจัดการ^{[ 6 ]}การใช้ไฟร์วอลล์ที่แตกต่างกันจากผู้จำหน่ายที่แตกต่างกันบางครั้งถูกอธิบายว่าเป็นส่วนประกอบของกลยุทธ์ด้านความปลอดภัย แบบ " การป้องกันเชิงลึก " ^{[ 7 ]}

โฮสต์ DMZ

เราเตอร์บางตัวมีคุณสมบัติที่เรียกว่าโฮสต์ DMZคุณสมบัตินี้สามารถกำหนดโหนด หนึ่ง (พีซีหรืออุปกรณ์อื่นที่มีที่อยู่ IP ) เป็นโฮสต์ DMZ ได้ ไฟร์วอลล์ของเราเตอร์จะเปิดพอร์ตทั้งหมดบนโฮสต์ DMZ ไปยังเครือข่ายภายนอกและไม่ขัดขวางการรับส่งข้อมูลขาเข้าจากภายนอกไปยังโฮสต์ DMZ ^{[ 8 ]}^{[ 9 ]}นี่เป็นทางเลือกที่มีความปลอดภัยน้อยกว่าการส่งต่อพอร์ตซึ่งเปิดพอร์ตเพียงไม่กี่พอร์ตเท่านั้น ควรหลีกเลี่ยงคุณสมบัตินี้ ยกเว้นในกรณีต่อไปนี้: ^{[ 9 ]}

โหนดที่กำหนดให้เป็นโฮสต์ DMZ คือไฟร์วอลล์ปลายทางของ DMZ จริง (บางทีเราเตอร์เองอาจไม่ได้เป็นส่วนหนึ่งของเครือข่ายภายในบ้าน)
โหนดนี้มีไฟร์วอลล์ประสิทธิภาพสูงที่สามารถควบคุมความปลอดภัยภายในได้
จำนวนพอร์ตมีมากเกินกว่าที่ฟีเจอร์การส่งต่อพอร์ตจะรองรับได้
ไม่สามารถกำหนดกฎการส่งต่อพอร์ตที่ถูกต้องล่วงหน้าได้
การตั้งค่าการส่งต่อพอร์ตของเราเตอร์ไม่สามารถรองรับการรับส่งข้อมูลที่เกี่ยวข้องได้ เช่น อุโมงค์ 6in4หรือGRE

ในทุกกรณี ยกเว้นกรณีแรกที่กล่าวมาข้างต้น คุณสมบัติโฮสต์ DMZ จะถูกใช้งานนอกการกำหนดค่า DMZ ที่แท้จริง

ดูเพิ่มเติม

โฮสต์ป้อมปราการ
ซับเน็ตที่ถูกคัดกรอง
สถาปัตยกรรมเครือข่าย DMZ ทางวิทยาศาสตร์เครือข่าย DMZ ในการประมวลผลประสิทธิภาพสูง

อ่านเพิ่มเติม

ชินเดอร์, เด็บ. "SolutionBase: เสริมความแข็งแกร่งด้านการป้องกันเครือข่ายโดยใช้ DMZ" . TechRepublic . เก็บถาวรจากต้นฉบับเมื่อวันที่ 15 ธันวาคม 2022.
เอริค ไมวัลด์. ความปลอดภัยของเครือข่าย: คู่มือสำหรับผู้เริ่มต้น. ฉบับพิมพ์ครั้งที่สอง. แม็กกรอว์-ฮิลล์/ออสบอร์น, 2003.
ไฟร์วอลล์อินเทอร์เน็ต: คำถามที่พบบ่อย รวบรวมโดย แมตต์ เคอร์ทิน, มาร์คัส รานัม และพอล โรเบิร์ตสัน

1

ตั้ง

[ 3 ]

ตามที่ Colton Fralick กล่าวไว้ [ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]