![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
bga68compОптимальный перечень защитных мер DMZ
wiki: DMZ (англ. Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных.
Схема с двумя межсетевыми экранами
wiki: DMZ (англ. Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных.
- DMZ разделяется на IP-подсети из расчета отдельная подсеть для каждого узла.
- IP адреса назначаются вручную администраторами. DHCP не используется.
- На сетевых интерфейсах, к которым подключены узлы DMZ, активируется MAC и IP фильтрация, ограничения по интенсивности широковещательного трафика и трафика, содержащего TCP SYN запросы.
- На коммутаторах отключается автоматическое согласование типов портов, запрещается использование native VLAN.
- На узлах DMZ и серверах внутренней сети, к которым данные узлы подключаются, настраивается TCP SYN Cookie.
- В отношении узлов DMZ (и желательно остальной сети) внедряется управление уязвимостями ПО.
- В DMZ-сегменте внедряются системы обнаружения и предотвращения вторжений IDS/IPS.
Схема с двумя межсетевыми экранами
