خوش آمدید به آکادمی ایرسا

اکنون به ما بپیوندید تا به تمام ویژگی‌های ما دسترسی داشته باشید. پس از ثبت نام و ورود به سیستم، می‌توانید موضوعاتی ایجاد کنید، پاسخ‌هایی را به تاپیک‌های موجود ارسال کنید، به اعضای دیگر شهرت بدهید، پیام‌رسان خصوصی خود را دریافت کنید، و موارد دیگر.
ورود ثبت‌نام

پشتیبانی اینترنت

سؤال بپرسید و از انجمن ما پاسخ بگیرید

طراحی وب سایت

به سؤالات پاسخ دهید و در موضوع خود متخصص شوید

ارتباط با ما

کارشناسان ما آماده پاسخ‌گویی به سؤالات شما هستند

خدمات پشتیبانی ADSL Dmz یا منطقه غیر نظامی (رایانش) در مودم به چه معناست؟

مهندس موسوی

مهندس موسوی

Administrator
پرسنل مدیریت
تاریخ ثبت‌نام
2014-01-12
نوشته‌ها
889
پسندها
0
امتیازها
16
سن
37
محل سکونت
تهران، پاسداران
وب سایت
www.irsapro.ir

با سلام خدمت کاربران عزیز

در امنیت رایانه یک منطقه غیر نظامی (به انگلیسی: DMZ) (گاهی اوقات به شبکه‌بندی محیطی اشاره دارد)، یک زیرشبکه‌ی منطقی یا فیزیکی است که خدمات خارجی یک سازمان را در معرض یک شبکه‌ی نامطمئن بزرگ‌تر که معمولاً اینترنت است قرار می‌دهد. هدف از یک DMZ، اضافه کردن یک لایه‌ی امنیتی بیشتر به شبکه‌ی محلی یک سازمان است؛ یک مهاجم خارجی به جای دیگر قسمت‌های شبکه، تنها به تجهیزاتی که در DMZ هستند دسترسی دارد. این نام از اصطلاح "منطقه غیر نظامی" مشتق شده است، منطقه‌ای بین دولت‌های ملی که در آن اقدام نظامی مجاز نیست.

دلیل وجود
در یک شبکه کامپیوتری، میزبان‌هایی که بیش‌ترین آسییب‌پذیری نسبت به حملات دارند، آن‌هایی هستند که برای کاربرانی خارج از شبکه‌ی محلی، خدماتی را فراهم می‌کنند، مانند پست الکترونیکی، کارسازهای وب و سامانه نام دامنه. به خاطر پتانسیل رو به افزایش مصالحه‌ی این میزبان‌ها، اگر متجاوز در حمله کردن به هر یک از آن‌ها موفق شد، به منظور حفاظت از بقیه شبکه، آن‌ها در زیرشبکه‌ی خودشان قرار داده می‌شوند. میزبان‌هایی که در DMZ هستند ارتباط محدودی با میزبان‌های خاصی در شبکه‌ی داخلی دارند، اگر چه ارتباط با سایر میزبان‌ها در DMZ و شبکه‌ی خارجی مجاز است. این به میزبان‌های DMZ اجازه می‌دهد که خدماتی را هم به شبکه داخلی و هم شبکه خارجی فراهم کنند، در حالی که دخالت دیوار آتش، ترافیک بین کارسازهای DMZ و کارخواه‌های شبکه‌ی داخلی را کنترل می‌کنند. تنظیمات DMZ معمولاً امنیت در برابر حملات خارجی را فراهم می‌کند، اما معمولاً تأثیری بر حملات داخلی نظیر شنود ارتباطات از طریق یک تحلیل‌گر بسته یا تقلب کردن مانند رایانامه‌نگاری متقلبانه ندارند.

خدمات در DMZ
هر گونه خدماتی که برای کاربران شبکه‌ی خارجی فراهم می‌شود می‌تواند در DMZ قرار بگیرد. رایج‌ترین این خدمات عبارتند از :
کارسازهای وب
کارسازهای پست الکترونیکی
کارسازهای FTP
کارسازهای صدا روی پروتکل اینترنت

کارسازهای وبی که با یک پایگاه داده‌ی داخلی ارتباط برقرار می‌کنند، نیازمند دسترسی به یک کارساز پایگاه داده دارند که ممکن است در دسترس عموم نبوده و شامل اطلاعات حساسی باشد. کارسازهای وب می‌توانند با کارسازهای پایگاه داده چه مستقیم و چه از طریق یک نرم‌افزار دیوار آتش برای دلایل امنیتی ارتباط برقرار کنند. پیام‌های پست الکترونیکی و به ویژه پایگاه داده کاربر اطلاعات محرمانه هستند، بنابراین معمولاً روی کارسازهایی ذخیره می‌شوند که از اینترنت نمی‌توان به آنها دسترسی داشت(حداقل در یک حالت نا امن)، اما از طریق کارسازهای قرارداد ساده نامه‌رسانی که در معرض اینترنت هستند می‌توان به آنها دسترسی داشت. کارساز پست الکترونیکی داخل DMZ، پست‌های الکترونیکی دریافتی را به سمت کارسازهای پست الکترونیکی امن/داخلی عبور می‌دهند. همچنین پست‌های الکترونیکی ارسالی را اداره می‌کند. برای دلایل امنیتی، الزامات قانونی و نظارت، در یک محیط کسب و کار، برخی از شرکت‌ها یک پراکسی سرور در DMZ نصب می‌کنند. که نتایج زیر را در بر دارد:
کاربران داخلی (معمولاً کارمندان) برای دسترسی به اینترنت، ملزم به استفاده از پراکسی هستند. به شرکت اجازه می‌دهد پهنای باند مورد نیاز دسترسی به اینترنت را کاهش دهد چرا که برخی از محتوای وب ممکن است توسط پراکسی سرور کَش شود. ضبط و نظارت بر فعالیت‌های کاربران را ساده کرده و محتوایی که ناقض سیاست‌های استفاده‌ی قابل قبول است را بلوکه می‌کند. یک پراکسی سرور معکوس، مانند یک پراکسی سرور، یک واسطه است، اما از راه دیگری استفاده می‌شود. به جای ارائه‌ی خدمات به کاربرانی که مایل به دسترسی به یک شبکه خارجی هستند، برای شبکه خارجی (معمولاً اینترنت) دسترسی غیر مستقیم به منابع داخلی را فراهم می‌کند. برای مثال، نرم‌افزار دسترسی به شرکت، مثلاً یک سیستم پست الکترونیکی، می‌تواند برای کاربران خارجی فراهم شود(برای خواندن پست‌های الکترونیکی هنگامی که خارج از شرکت هستیم) اما کاربر راه دور، به کارساز پست الکترونیکی‌اش دسترسی مستقیم نخواهد داشت. تنها پراکسی سرور معکوس می‌تواند به طور فیزیکی به کارساز پست الکترونیکی داخلی دسترسی داشته باشد. این یک لایه اضافه‌ی امنیتی است، که به ویژه هنگامی توصیه می‌شود که منابع داخلی نیاز به دسترسی از خارج دارند. معمولاً چنین مکانیزم پراکسی معکوسی با استفاده از یک دیوار آتش لایه‌ی کاربرد فراهم می‌شود، چرا که آنها روی شکل خاصی از ترافیک تمرکز می‌کنند به جای کنترل دسترسی روی پورت‌های خاص TCP و UDP همان طور که دیوار آتش فیلتر بسته انجام می‌دهد.


معماری

راه‌های متفاوتی برای طراحی یک شبکه با استفاده از یک DMZ وجود دارد. دو تا از ابتدایی‌ترین روش‌ها، دیوار آتش یگانه که با نام مدل سه پا نیز شناخته می‌شود و با دیوار آتش دوگانه. این معماری می‌تواند به ایجاد معماری‌های بسیار پیچیده بسته به الزامات شبکه گسترش یابد.

دیوار آتش یگانه



Diagram of a typical network employing DMZ using a three-legged firewall


یک دیوار آتش یگانه با حداقل 3 رابط شبکه‌ای می‌تواند برای ایجاد یک معماری شبکه که شامل DMZ است استفاده شود. شبکه‌ی خارجی از شرکت خدمات اینترنتی (ISP) تا دیوار آتشِ اولین رابط شبکه تشکیل شده است، شبکه داخلی از دامین رابط شبکه تشکیل شده است، و DMZ از سومین رابط شبکه تشکیل شده است. دیوار آتش یک نقطه خرابی مرکزی برای شبکه می‌شود و باید همانند شبکه‌ی داخلی، قادر به اداره کردن تمام ترافیکی که به DMZ می‌رود، باشد. مناطق معمولاً با رنگ‌هایی مشخص شده‌اند؛ برای مثال، ارغوانی برای شبکه‌ی محلی، سبز برای DMZ، قرمز برای اینترنت (مناطق بی‌سیم اغلب با رنگ دیگری نمایش داده می‌شود).


دیوار آتش دوگانه






Diagram of a typical network employing DMZ using dual firewalls



روی‌کرد امن‌تر، استفاده از دو دیوار آتش برای ساختن DMZ است. اولین دیوار آتش (دیوار آتش "بخش جلویی" نیز گفته می‌شود) باید برای اجازه به ترافیک‌های منتهی به DMZ پیکربندی شود. دیوار آتش دوم (دیوار آتش "بخش عقبی" نیز گفته می‌شود) فقط به ترافیک DMZ به سمت شبکه داخلی اجازه عبور می‌دهد. این طرز قرارگیری امن‌تر است، چرا که نیاز به مصالحه با دو وسیله است. حتی در صورتی که دو دیوار آتش توسط دو شرکت تجهیزات کامپیوتری متفاوت تهیه شده باشد، حفاظت بیشتری خواهیم داشت، چرا که احتمال آسیب دیدن هر دو دستگاه از یک آسیب‌پذیری امنیتی یک‌سان را کاهش می‌دهد. برای مثال، تنظیمات تصادفاً اشتباهی، با احتمال کم‌تری از یک روش یک‌سانی، آن هم از طریق دو رابط پیکربندی از دو شرکت سازنده‌ی متفاوت اتفاق می‌افتد و یک حفره‌ی امنیتی اگر در سیستم ساخت یک شرکت پیدا شود، احتمال کم‌تری دارد تا در سیستم ساخت شرکت دیگر پیدا شود. البته این معماری مستلزم هزینه‌ی بیشتری است. در عمل استفاده از دیوار آتش‌های متفاوت از شرکت‌های سازنده‌ی متفاوت، گاهی اوقات به عنوان جزئی از یک استراتژی امنیتی دفاع در عمق توصیف می‌شود.


میزبان DMZ
برخی مسیریاب‌های خانگی به یک میزبان DMZ نسبت داده می‌شوند. یک میزبان DMZ مسیریاب خانگی، میزبانی در شبکه‌ی داخلی است که در معرض تمام پورت‌ها به جز آن پورت‌هایی است که فرستاده می‌شوند. با این تعریف، این یک واقعی نمی‌باشد، چرا که به تنهایی میزبان را از شبکه داخلی جدا نمی‌کند. به عبارت دیگر میزبان DMZ قادر به ارتباط برقرار کردن با میزبان‌های شبکه‌ی داخلی است، در حالی که میزبان‌های یک DMZ واقعی، از ارتباط برقرار کردن با شبکه داخلی توسط دیوار آتشی که آنها را از هم جدا می‌کند، منع شده‌اند، مگر اینکه دیوار آتش اجازه‌ی ارتباط را صادر کند. یک دیوار آتش در صورتی این اجازه را می‌دهد که در ابتدا یک میزبان در شبکه داخلی، درخواست یک ارتباط با یک میزبان در DMZ داشته باشد. میزبان DMZ هیچ کدام از مزایای امنیتی که یک زیر شبکه فراهم می‌کند را ارائه نمی‌کند و اغلب به عنوان یک روش آسان برای ارسال پورت‌ها به یک وسیله‌ی دیوار آتش یا (NAT) دیگر می‌باشد.

منابع

منبع اصلی: ویکی پدیا

 
شما برای پاسخ‌دادن باید به انجمن ورود کنید.

درباره ایرسا

شرکت ایرسا پردازان فعالیت خود را از سال 1389 در زمینه آی‌تی آغاز نمود.

پس از کسب تجربه کافی در این زمینه سال 1392 آکادمی ایرسا در زمینه پشتیبانی اینترنت را راه‌اندازی نمود و در سال 1393 به صورت رسمی ثبت گردید.

لینک‌های مفید

لینک 1
لینک 2
لینک 3
لینک 4

آمار بَرخط

کاربران بَرخط
0
مهمان‌های بَرخط
14
مجموع بازدید کنندگان
14
مجموع ، شامل کاربران مخفی نیز می‌باشد.
shape1
shape2
shape3
shape4
shape7
shape8
بالا