Обсуждение:DMZ (вычисления)

Компьютерная безопасность : Вычисления Высокая важность

Эта статья находится в рамках WikiProject Computer security , совместных усилий по улучшению освещения компьютерной безопасности в Википедии. Если вы хотите принять участие, посетите страницу проекта, где вы можете присоединиться к обсуждению и увидеть список открытых задач.Компьютерная безопасность Wikipedia:WikiProject Компьютерная безопасность Шаблон:WikiProject Компьютерная безопасность Компьютерная безопасность

Высокий

Данная статья имеет высокую степень важности по шкале важности проекта .

Эта статья поддерживается WikiProject Computing (оценена как низкая важность ).

Чем вы можете помочь WikiProject Computer security :

Оповещения о статьях будут сгенерированы в ближайшее время с помощью AAlertBot . Пожалуйста, подождите несколько дней для обработки. Дополнительная информация...

Обзор важности и качества существующих статей
Определите категории, связанные с компьютерной безопасностью
Теги связанные статьи
Identify articles for creation (see also: Article requests)
Identify articles for improvement
Create the Project Navigation Box including lists of adopted articles, requested articles, reviewed articles, etc.
Find editors who have shown interest in this subject and ask them to take a look here.

Computing: Networking Low‑importance

	This article is within the scope of WikiProject Computing, a collaborative effort to improve the coverage of computers, computing, and information technology on Wikipedia. If you would like to participate, please visit the project page, where you can join the discussion and see a list of open tasks.ComputingWikipedia:WikiProject ComputingTemplate:WikiProject ComputingComputing
Low	This article has been rated as Low-importance on the project's importance scale.
	This article is supported by Networking task force (assessed as Mid-importance).

Tip: Anchors are case-sensitive in most browsers.

This article contains broken links to one or more target anchors:

[[Firewall (computing)#First generation: packet filters|packet filter firewall]] The anchor (#First generation: packet filters) has been deleted by other users before.

The anchors may have been removed, renamed, or are no longer valid. Please fix them by following the link above, checking the page history of the target pages, or updating the links.

Remove this template after the problem is fixed | Report an error

Обновлять

Я обновил статью и удалил заглушку. Если у вас есть какие-либо комментарии, пожалуйста, дайте мне знать. Jasonlfunk 15:45, 11 октября 2007 (UTC). [ ответить ]

Иллюстрации

На картинке не показана настоящая DMZ. Она должна выглядеть так (в ascii-арте):

 |[Интернет]----[Брандмауэр/маршрутизатор]----- | ------[Брандмауэр]-----[Внутренняя сеть] | [ДМЗ]

Здесь показана концепция трехстороннего брандмауэра.

Грег Рохас

Я запутался в том, как организована DMZ. На картинках показаны два разных метода, которые, как я понимаю, являются различиями в топографии. Но как изображение в ascii art организовано с реальными машинами, есть ли маршрутизатор между брандмауэрами? Возможно, в статье должна быть иллюстрация или более подробное описание. 12:08 CDT, 02 июня 2006 г.

Какое программное обеспечение использовалось для их создания?

Непохожий вопрос, но кто-нибудь знает, какое программное обеспечение использовалось для создания иллюстраций в этой статье? Сомневаюсь, что это был Visio. Спасибо! —S3BST3R ( talk ) 22:49, 28 июня 2011 (UTC) [ ответить ]

Файлы SVG содержат следующий комментарий: «Создано с помощью Inkscape (http://www.inkscape.org/)». 149.32.224.39 ( обсуждение ) 18:44, 20 октября 2023 (UTC) [ ответ ]

Граница между

Термин DMZ использовался для описания границы между автономными сетями, вероятно, еще до того, как этот термин был принят поставщиками межсетевых экранов.

Cjcoleman 20060121

он также использовался для вычислительных целей. — Предыдущий неподписанный комментарий добавлен 59.177.41.244 (обсуждение) 09:50, 24 декабря 2010 (UTC) [ ответить ]

Может ли DMZ быть одной из сетевых карт брандмауэра

Можно ли настроить один из IP-адресов сетевых карт брандмауэра (с 3 сетевыми картами) как DMZ. Одна сетевая карта для внутренней сети Одна сетевая карта для внешней сети

Ответ на вышесказанное

Я считаю, что многие делают так: настраивают один брандмауэр на соединение между DMZ и LAN и External. Однако, если брандмауэр взломан снаружи, то есть вероятность попасть в LAN так же легко, как и в DMZ. Более безопасное решение — использовать 2 брандмауэра.

82.211.102.231 10:09, 1 декабря 2006 (UTC)Хелен [ ответить ]

Неправильное название статьи?

Все понимают, что термин «DMZ» в информатике — это сокращение от «демилитаризованная зона», но никто в информатике никогда не говорит «демилитаризованная зона» (кроме как в ответ на вопрос «что означает DMZ?»). И статья отражает это; полный термин больше никогда не используется после первого предложения.

Поэтому я думаю, что статью следует переименовать в «DMZ (вычислительная техника)», а первый абзац обновить соответствующим образом. Или, может быть, даже переименовать просто в «DMZ», с неоднозначной ссылкой на «Демилитаризованную зону» (поскольку, например, поиск в Google по запросу «DMZ» выдает эту статью первой, а военную — второй). —Предыдущий неподписанный комментарий добавлен 24.99.22.247 (обсуждение) 18:13, 30 мая 2008 (UTC) [ ответить ]

Сделано -- h2g2bob ( обсуждение ) 21:13, 28 октября 2008 (UTC) [ ответить ]

Неправильное название статьи!

Лучше называть это «зоной управления данными». — Предыдущий неподписанный комментарий добавлен 194.110.215.6 ( обсуждение ) 12:40, 10 марта 2009 (UTC) [ ответить ]

Я хотел бы получить некоторую информацию об источнике. Как 13-летний ветеран ИТ и многие другие люди, с которыми я общаюсь, имея такой же, если не больший, опыт в ИТ, НИКОГДА не слышал о «Зоне управления данными» и предпочел бы, чтобы это было удалено. DMZ в терминах вычислений имеет корни из демилитаризованной зоны и лучше всего описывается как сеть периметра. Мою перефразировку этого в первом предложении мог бы помочь кто-то более элегантный в своих навыках письма. Спасибо. Turnpike420 ( обсуждение ) 18:42, 14 декабря 2009 (UTC) [ ответить ]

Двойные брандмауэры и безопасность через неизвестность

В разделе «Двойные брандмауэры» упоминается, что использование двух брандмауэров — это либо «глубокая оборона», либо «безопасность через неизвестность», как будто это противоположные точки зрения. Однако использование двух брандмауэров в данном случае не считается уничижительным (в статье Википедии «безопасность через неизвестность» специально указано, что это уничижительный термин). Его цель — не просто скрыть внутреннюю сеть скрытыми средствами (цель одинарного или двойного брандмауэра с DMZ — «скрыть» локальную сеть от доступа по замыслу), а обеспечить реальную дополнительную защиту в случае обнаружения дыры в безопасности в первом брандмауэре, которой не было в брандмауэре второго поставщика. Таким образом, это глубокая оборона (если первая мера не срабатывает, вторая может остаться), но не достигает уровня безопасности через неизвестность, потому что даже если вы сообщите миру марку обоих используемых брандмауэров (и даже конфигурацию, если оба настроены правильно), уязвимость в первом не обязательно позволит получить доступ через второй. Davidszp (обсуждение) 17:42, 5 апреля 2011 (UTC) [ ответить ]

Не существует ни одного задокументированного случая компрометации правильно настроенного брандмауэра. Архитектура с двойной оболочкой стала популярной в результате обнаружения того, что определенный производитель брандмауэров встроил бэкдор в свою платформу, поэтому любое обсуждение двух марок брандмауэров основано на заблуждении. Gregmal ( talk ) 9:13, 6 мая 2013 (UTC)

Отраслевые рекомендации говорят, что нет смысла иметь брандмауэры от двух поставщиков, и на самом деле накладные расходы на поддержку увеличивают риск неправильной конфигурации. См. Gartner «Развенчание мифа о сети с одним поставщиком» G00208758 от 17 ноября 2010 г. — Предыдущий неподписанный комментарий добавлен 137.191.247.20 ( обсуждение ) 15:17, 4 августа 2015 (UTC) [ ответить ]

Случайная неправильная конфигурация с большей вероятностью может произойти одним или несколькими способами в интерфейсах конфигурации двух разных поставщиков, которые теперь требуют компетентности для двух (потенциально очень) разных конфигураций. — Предыдущий неподписанный комментарий добавлен 72.200.196.17 (обсуждение) 22:08, 31 августа 2015 (UTC) [ ответить ]

Исследование Gartner G00208758 на самом деле показывает, что наличие двух поставщиков выгодно: «Наши результаты показывают, что большинству организаций следует рассматривать решение с двумя или несколькими поставщиками как жизнеспособный подход к построению своей сети, поскольку можно достичь значительной экономии средств без увеличения сложности сети, при этом лучше сосредоточившись на удовлетворении бизнес-требований». Telempe ( обсуждение ) 09:33, 4 июля 2017 (UTC) [ ответить ]

Предложить слияние

Следующее обсуждение закрыто. Пожалуйста, не изменяйте его. Последующие комментарии должны быть сделаны в новом разделе. Ниже приводится резюме сделанных выводов.

Не объединять пока , поскольку термины имеют различные значения по крайней мере в некоторых контекстах. Klbrain ( обсуждение ) 18:28, 18 января 2020 (UTC) [ ответить ]

Между этой статьей и ее синонимом Screened subnet так много совпадений , что я думаю, нам следует рассмотреть возможность объединения этих двух статей. Давайте обсудим. Стивен Чарльз Томпсон ( обсуждение ) 08:09, 17 октября 2018 (UTC) [ ответить ]

Какую статью нам следует оставить?

Я не уверен, какой заголовок статьи лучше всего отразит объединенный контент. Руководство по стилю Википедии, вероятно, предлагает использовать наиболее авторитетный или популярный термин. Давайте добавим наши выводы в подразделы ниже. Стивен Чарльз Томпсон ( обсуждение ) 08:40, 17 октября 2018 (UTC) [ ответить ]

Ссылки на экранированную подсеть : «Экранированная подсеть» может быть первоначальным термином.

NIST, 1994, SP 800-10: «Для создания внутренней экранированной подсети используются два маршрутизатора. Эта подсеть (иногда называемая в другой литературе «DMZ»)...»
O'Reilly & Associates, 1995: «Архитектура экранированной подсети добавляет дополнительный уровень безопасности к архитектуре экранированного хоста, добавляя сеть периметра, которая дополнительно изолирует внутреннюю сеть от Интернета». Стивен Чарльз Томпсон ( обсуждение ) 08:40, 17 октября 2018 (UTC) [ ответить ]

Я сомневаюсь, что есть существенная разница в возрасте, так как поиск в Google Books по запросу DMZ firewall для 20-го века также выдает несколько книг середины 1990-х годов, в которых используется этот термин, часто без ощущения новизны. -- Джой [шалот] ( обсуждение ) 20:03, 17 октября 2018 (UTC) [ ответ ]

Судья 1994 года использует оба варианта. 😊 Всего наилучшего: Рич Фармбро , 20:20, 17 октября 2018 (UTC).[ отвечать ]

В статье Института SANS GIAC от 2000 года признается путаница в терминах: ^[1]

"Используется ряд терминов, таких как хосты-бастионы, экранированные подсети, DMZ или сети периметра, которые могут сбивать с толку, особенно при совместном использовании". ... "Другой термин, который часто может вызывать путаницу, — это DMZ (демилитаризованная зона), в отличие от экранированной подсети. Настоящая DMZ — это сеть, которая содержит хосты, доступные из Интернета, между которыми находится только внешний или пограничный маршрутизатор. Эти хосты не защищены экранирующим маршрутизатором". ... "Экранированная подсеть также может быть набором хостов в подсети, но они расположены за экранирующим маршрутизатором. Термин DMZ может использоваться поставщиком для обозначения любого из них, поэтому лучше проверить, что они имеют в виду". Стивен Чарльз Томпсон ( обсуждение ) 08:55, 17 октября 2018 (UTC) [ ответить ]

Ссылки DMZ (вычисления) :

Кто и когда придумал термин «DMZ»? Стивен Чарльз Томпсон ( обсуждение ) 08:40, 17 октября 2018 (UTC) [ ответить ]

Самые ранние ссылки, которые я смог найти в Googlebooks, датируются 1994 годом (более ранние совпадения были связаны с неправильной датировкой элементов). Неясно, откуда взялся этот термин. Всего наилучшего: Rich Farmbrough , 14:27, 18 октября 2018 (UTC).[ отвечать ]

Термин DMZ гораздо более распространен, чем screened subnet. Это сразу видно по поиску Google: network DMZ дает 10,4 миллиона хитов против screened subnet , которая дает всего 64 тысячи хитов.

Заключение : Я думаю, что произошло то, что первое поколение брандмауэров было не более чем экранированными маршрутизаторами, маршрутизаторами с возможностью фильтрации пакетов ( OSI Layer 3 ), такими как ipchains . Брандмауэры стали более продвинутыми, включая такие функции, как проверка состояния, работающая на OSI Layer 4 и OSI Layer 5. Следующее поколение брандмауэров, включая прикладные брандмауэры, теперь работает на еще более высоких уровнях в модели OSI. Термин «экранированный» потерял некоторую актуальность, поскольку брандмауэры уровня 3 устарели. Очевидный синоним, DMZ, не устарел, потому что термин был связан не с конкретной функциональностью, а с желаемым эффектом. Что вы думаете? Стивен Чарльз Томпсон ( обсуждение )

Призыв к голосованию

Я голосую за объединение содержимого экранированной подсети в статью DMZ (вычисления) по причинам, перечисленным выше. Стивен Чарльз Томпсон ( обсуждение ) 21:54, 18 октября 2018 (UTC) [ ответить ]

Противоположность . DMZ всегда находится за пределами внутренней сети и является «промежуточным звеном», где данные могут передаваться между внутренней сетью и другой (чаще всего Интернетом). Как говорится в статье о экранированной подсети... она может быть полностью внутри сети (например, конфиденциальная область НИОКР или отдел кадров и т. д.). Это похожие концепции, но они не обязательно одно и то же. Markvs88 ( обсуждение ) 22:00, 18 октября 2018 (UTC) [ ответить ]

Я не вижу этой формулировки или не получаю этой интерпретации из статьи о экранированной подсети . То, что вы описываете, больше похоже на многоуровневую архитектуру . Если у вас есть хорошие ссылки на это, я думаю, нам следует обновить статью о экранированной подсети , чтобы отразить это. Стивен Чарльз Томпсон ( обсуждение ) 22:48, 18 октября 2018 (UTC) [ ответить ]

Сейчас возражаю : некоторые определяют экранированную подсеть как «тройной межсетевой экран». Это конкретная реализация DMZ, и она действительно может использоваться для разных целей. Всего наилучшего: Rich Farmbrough , 10:26, 22 октября 2018 (UTC).[ отвечать ]

Обсуждение выше закрыто. Пожалуйста, не изменяйте его. Последующие комментарии должны быть сделаны на соответствующей странице обсуждения. Дальнейшие правки в это обсуждение не должны вноситься.

Ссылки

^ Дэвис, Уильям С. (20 сентября 2000 г.). «Используйте нападение для информирования защиты. Найдите недостатки до того, как это сделают плохие парни». Институт SANS. {{cite journal}}: Цитировать журнал требует |journal=( помощь )

[1] Дэвис, Уильям С. (20 сентября 2000 г.). «Используйте нападение для информирования защиты. Найдите недостатки до того, как это сделают плохие парни». Институт SANS. {{cite journal}}: Цитировать журнал требует |journal=( помощь )