Para proporcionar diferentes niveles de protección de seguridad para diferentes recursos, podemos considerar establecer un área llamada "zona desmilitarizada" (DMZ). DMZ puede entenderse como un área de red especial que es diferente de la red externa o de la red interna. Suele haber algunos servidores públicos en la DMZ que no contienen información confidencial, como Web, Correo, FTP, etc. De esta manera, los visitantes de la red externa pueden acceder a los servicios en la DMZ, pero es imposible acceder a secretos de la empresa o información privada almacenada en la red interna. Incluso si el servidor de la DMZ resulta dañado, la información confidencial de la intranet no se verá afectada.
Al utilizar DMZ para planificar una red, podemos aclarar las relaciones de acceso entre redes y determinar las siguientes seis estrategias de control de acceso.
1. La red interna puede acceder a la red externa.
Los usuarios de la red interna obviamente necesitan tener libre acceso a la red externa. En esta estrategia, se requiere snat en el firewall.
2. La intranet puede acceder a la DMZ.
Esta estrategia tiene como objetivo facilitar a los usuarios de la intranet el uso y gestión de servidores en la DMZ.
3. La red externa no puede acceder a la red interna.
Evidentemente, la intranet almacena los datos internos de la empresa y no se permite el acceso a usuarios externos de la red.
4. La red externa puede acceder a la DMZ.
El servidor en la DMZ proporciona servicios al mundo exterior, por lo que la red externa debe poder acceder a la DMZ. Al mismo tiempo, acceder a la red externa de DMZ requiere que el firewall complete la conversión de la dirección de la red externa a la dirección real del servidor.
5.DMZ no puede acceder a la intranet.
Obviamente, si se viola esta política, cuando los intrusos ocupan la DMZ, pueden atacar aún más datos importantes en la intranet.
6.DMZ no puede acceder a redes externas.
Existen excepciones a esta política. Por ejemplo, si el servidor de correo está ubicado en la DMZ, debe estar conectado a la red externa; de lo contrario, no funcionará correctamente.
¿Qué es una "DMZ"?
En otras palabras, las áreas a las que no se puede acceder directamente a la red interna y a la red externa se utilizan principalmente para conectarse a servidores públicos, como los servidores WWW.
Es una red especial configurada para que usuarios externos accedan a la red interna.