Различие между экстрасетью и DMZ [закрыто]

Сейчас я читаю об интрасетях, экстрасетях, DMZ и VPN, и мне понадобятся некоторые разъяснения, связанные с экстрасетями и DMZ. Я понимаю, что это разные типы концепций - экстрасеть позволяет ограниченный доступ к некоторым ресурсам интрасети, тогда как DMZ - это подсеть, которая находится между Интернетом и интрасетью и обслуживает внешние службы. Тем не менее, я хотел бы знать, каковы их различия на практике в обычной обстановке? В статье в Википедии об экстрасетях говорится, что экстрасети похожи на DMZ, потому что они используются для одной и той же цели (предоставляя доступ к некоторым услугам / ресурсам без раскрытия всей интрасети). В статье также говорится, что экстрасеть является частью VPN, и эта статья TechNetтакже говорится, что доступ к экстрасети часто реализуется аналогично удаленному доступу внутри сети, например, с помощью VPN. В статье TechNet также говорится, что обычно экстрасеть размещается внутри DMZ. В этой статье Пирсона говорится: «Хотя [DMZ] технически расположена внутри интрасети, [она] также может служить в качестве экстрасети». Это немного сбивает с толку.

Рассмотрим следующий сценарий: у компании есть веб-сайт B2C, размещенный в DMZ. К веб-сайту можно получить доступ откуда угодно, но требует аутентификации пользователя. Базовое веб-приложение имеет свою базу данных внутри интрасети, а также взаимодействует с некоторыми веб-службами, размещенными внутри интрасети (т. Е. Оно обращается к ресурсам интрасети). На мой взгляд, сайт действительно предлагает ограниченный доступ к интранету. Но можно ли это считать экстранетом? Если мы возьмем буквально определение Википедии для экстрасети - «Экстранет - это компьютерная сеть, которая позволяет контролировать доступ извне внутренней сети организации», - я думаю, что это возможно.

Допустим, что вышесказанное нельзя считать экстранетом. Что, если мы слегка изменим сценарий и скажем, что это веб-сайт B2B, доступ к которому, например, ограничен соединениями, исходящими от конкретного делового партнера (например, с использованием VPN типа «сеть-сеть»). В этом случае это, конечно, экстранет, верно? Если это так, то разница между службами экстрасети и любыми другими службами, размещенными в демилитаризованной зоне, заключается просто в ограничениях доступа?

Это академические различия. В реальном мире вы найдете некоторую комбинацию всех этих понятий, проходящих через разные термины.

В некоторых организациях DMZ имеет отдельное подключение к сети интернет-провайдера и не имеет доступа к внутренним ресурсам. В других организациях в DMZ есть присоединенные к домену машины, которые могут взаимодействовать с ограниченным набором внутренних машин. Иногда внутренние и DMZ имеют отдельные межсетевые экраны. Иногда они имеют отдельные интерфейсы на одном и том же брандмауэре.

Важно знать, почему кто-то должен использовать экстрасеть или DMZ, потому что это важные понятия безопасности. Оттуда вы можете сделать выбор, как разрешить доступ к определенным ресурсам. То, что это на самом деле называется, не имеет значения. В некоторых случаях это расщепление волосков.

Я не думаю, что недавно слышал об экстранете за пределами учебников и аудиторий.

DMZ является общей топологией сети с сегментом сети, которая изолировала брандмауэры из внутренней сети и ненадежные внешние сети (ака в Интернете ).

Напротив, экстранет , если он действительно включен в проект сети, подразумевает, что он подключен к VPN или реальным частным сетям, а не ко всему большему интернету.

Многие компании имеют несколько сетей DMZ и считают сеть с VPN-шлюзом / маршрутизатором или частное соединение просто еще одной DMZ.

Чаще всего экстрасеть является / была не столько топологией сети, но скорее подразумевалась как услуга, отдельная от внутренней сети, которая предоставляется ограниченному набору доверенных, известных и / или аутентифицированных внешних пользователей, компаний и сетей.

С точки зрения сети ваш веб-сервер должен находиться в сети DMZ. Тот факт, что ваш веб-сайт позволяет вашим посредникам входить в систему, просматривать каталог, просматривать товар и заказ, будет означать, что отделы маркетинга будут называть ваш сайт экстрасетью . Стоимость разработки будет варьироваться от $$ до $$$$.

Для меня это сводится к политике безопасности. Мы разработали политику, согласно которой ни одна общедоступная система не будет иметь входящий доступ к интрасети, если не разрешено конкретное исключение. У нас также есть политика, согласно которой в демилитаризованной зоне не будет входящего доступа к нашей внутренней сети, а в нашей внешней - нет. Например, у нас есть веб-сервер с серверной базой данных, который должен синхронизировать данные с базой данных интрасети. Мы помещаем веб-сервер в демилитаризованную зону, внутреннюю базу данных в экстрасеть, и он синхронизируется с производственной базой данных интрасети. Таким образом, для рейтинга доверия общедоступная сеть будет 0, DMZ будет 1, Extranet будет 2, а интранет будет 3.