Различие между экстрасетью и DMZ [закрыто]
Я читал сейчас об интрасетях, экстрасетях, демилитаризованных зонах и виртуальных частных сетях, и мне потребуются некоторые пояснения, касающиеся экстрасетей и демилитаризованных зон. Я понимаю, что это разные типы концепций - экстрасеть позволяет ограниченный доступ к некоторым ресурсам интрасети, а DMZ - это подсеть, которая находится между Интернетом и интрасетью и содержит внешние службы. Однако хотелось бы знать, в чем их отличие на практике в обычной установке? В статье Википедии об экстранетах говорится, что экстрасети похожи на DMZ, потому что они используются для той же цели (предоставление доступа к некоторым службам / ресурсам без раскрытия всей интрасети).В статье также говорится, что экстранет является частью VPN, и в этой статье TechNet также говорится, что доступ к экстранету часто реализуется аналогично удаленному доступу к интрасети, например с VPN. В статье TechNet также говорится, что обычно экстранет размещается внутри DMZ. В статье Пирсона говорится: «Хотя [DMZ] технически расположена внутри интрасети, [она] может также служить экстранетом». Это немного сбивает с толку.
Рассмотрим следующий сценарий: у компании есть веб-сайт B2C, размещенный в демилитаризованной зоне. Доступ к веб-сайту можно получить из любого места, но требуется аутентификация пользователя. Базовое веб-приложение имеет свою базу данных внутри интрасети, а также взаимодействует с некоторыми веб-службами, размещенными внутри интрасети (т. Е. Обращается к ресурсам интрасети). На мой взгляд, веб-сайт действительно предлагает ограниченный доступ к внутренней сети. Но можно ли это считать экстранетом? Если мы буквально воспримем определение экстрасети из Википедии: «Экстранет - это компьютерная сеть, которая обеспечивает контролируемый доступ извне интрасети организации», - я думаю, это возможно.
Допустим, вышеперечисленное нельзя рассматривать как экстранет. Что, если мы немного изменим сценарий и скажем, что это веб-сайт B2B, где доступ, например, ограничено соединениями, исходящими от конкретного делового партнера (например, с помощью VPN типа "сеть-сеть"). В данном случае это, конечно, экстранет, не так ли? Если это так, то разница между службами экстрасети и любыми другими службами, размещенными в демилитаризованной зоне, заключается просто в ограничениях доступа?
Это академические отличия. В реальном мире вы найдете некоторую комбинацию всех этих понятий, идущую разными терминами.
В некоторых организациях DMZ имеет отдельное сетевое соединение с провайдером и не имеет доступа к внутренним ресурсам. В других организациях в DMZ есть машины, присоединенные к домену, которые могут взаимодействовать с ограниченным набором внутренних машин. Иногда внутренние и DMZ имеют отдельные брандмауэры. Иногда они имеют отдельные интерфейсы на одном брандмауэре.
Важно знать , почему кто-то должен использовать экстранет или DMZ, потому что это понятия безопасности, которые имеют значение. Отсюда вы можете сделать выбор о том, как разрешить доступ к определенным ресурсам. То, как это на самом деле называется, не имеет значения. В некоторых случаях это расщепление волос.
Не думаю, что в последнее время я слышал об экстранет за пределами учебников и классных комнат.
A DMZ - это общая сетевая топология с сегментом сети, который отделен брандмауэрами от внутренней сети и недоверенными внешними сетями (также известными как интернет).
В отличие от Extranet, если он действительно включен в проектирование сети, подразумевает в некоторой степени, что он подключен к VPN или реальным частным сетям, а не ко всему большому Интернету.
Многие компании имеют несколько сетей DMZ и рассматривали бы сеть с VPN-шлюзом/маршрутизатором или частное соединение просто как другую DMZ.
Чаще всего экстранет является/была не столько сетевой топологией, сколько подразумеваемой услугой, отдельной от внутренней сети, которая предоставляется для ограниченного набора в некоторой степени доверенных, известных и/или аутентифицированных внешних пользователей, компаний и сетей.
С точки зрения сетевой перспективы ваш веб-сервер должен находиться в сети DMZ. Тот факт, что ваш веб-сайт позволяет вашим реселлерам входить в систему, просматривать ваш каталог, просматривать запасы и заказы, будет означать, что ваш веб-сайт будет называться экстранет отделами маркетинга. Стоимость разработки составит от $$ до $$$$.
Для меня это сводится к политике безопасности. Мы написали политику, согласно которой ни одна общедоступная система не будет иметь входящего доступа к интрасети, если не разрешено конкретное исключение. У нас также есть политика, согласно которой DMZ не будет иметь входящего доступа к нашей интрасети, а наша экстрасеть имеет. Например, у нас есть веб-сервер с внутренней базой данных, который должен синхронизировать данные с базой данных в интрасети. Мы помещаем веб-сервер в демилитаризованную зону, внутреннюю базу данных - в экстранет, и он синхронизируется с производственной базой данных интрасети. Таким образом, для рейтинга доверия общедоступная сеть будет равна 0, DMZ - 1, Extranet - 2, а интрасеть - 3.