Экранная подсеть

Для этого внешним маршрутизатором отделяют внешнюю сеть от приграничной сети, а внутренний маршрутизатор разграничивает приграничную сеть и внутреннюю сеть. Приграничная сеть — также известная как пограничная сеть или демилитаризованная зона (DMZ) — предназначена для размещения серверов, называемых бастионными хостами, обеспечивающих доступ как из внутренней, так и из внешней сетей^[1][2][3].

Экранная подсеть или DMZ создаётся с целью размещения сегмента сети с повышенным уровнем защиты, расположенного между внешней, потенциально небезопасной сетью, и внутренней, доверенной корпоративной сетью.

Экранная подсеть является ключевой концепцией для организаций, осуществляющих электронную коммерцию, ведущих деятельность во Всемирной паутине, использующих электронные платёжные системы или предлагающих другие сетевые сервисы, учитывая разнообразные угрозы: хакеры, продвинутые персистентные угрозы, сетевые черви, ботнеты и иные риски для сетевых информационных систем.

Разделяя систему межсетевого экрана на два отдельных маршрутизатора, удаётся достичь большей пропускной способности благодаря снижению вычислительной нагрузки на каждый из них. Каждый из маршрутизаторов в архитектуре экранной подсети реализует одну главную задачу, а потому его конфигурация становится менее сложной. Экранная подсеть или DMZ может быть также реализована при помощи одного устройства межсетевого экрана, оснащённого тремя сетевыми интерфейсами^[4].

Термин демилитаризованная зона в военном контексте обозначает зону, в которой по соглашению сторон запрещено размещение войск и проведение боевых действий, обычно по линии разграничения между государствами или военными альянсами. В сетевой безопасности аналогия заключается в том, что экранная сеть изначально имеет меньший уровень защищённости, поскольку в ней заведомо предусмотрены внешние точки входа, а внешняя сеть полагается потенциально враждебной.

Считается, что термин демилитаризованная зона получил широкое распространение как маркетинговое понятие уже после появления концепций экранных маршрутизаторов и межсетевых экранов. Сегодня DMZ часто употребляется как синоним экранной подсети, хотя ранее между ними различали нюансы:

«Используются различные термины, такие как бастионные хосты, экранные подсети, DMZ или приграничные сети — и эти понятия могут запутывать, особенно если применяются вместе. … Ещё один термин, часто вызывающий путаницу, — DMZ (демилитаризованная зона), в отличие от экранной подсети. Под истинной DMZ понимается сеть с хостами, доступными из интернета, и только внешний маршрутизатор отделяет их от остального мира — такие хосты не защищены отдельным экранным маршрутизатором. Экранная подсеть также представляет собой группу хостов, но за отдельным экранным маршрутизатором. Термин DMZ поставщик услуг может использовать в любом из этих значений, поэтому важно уточнять, что имеется в виду»^[5].

В то время как экранная подсеть использует два экранных маршрутизатора для создания трёх подсетей, архитектура экранного хоста включает только один экранный маршрутизатор, который разделяет сеть на две части: внешнюю и внутреннюю^[6][7][8]. Архитектура экранной подсети надёжнее, поскольку потенциальный злоумышленник должен преодолеть две ступени фильтрации для доступа к внутренней сети. Даже при взломе бастионного/DMZ-хоста злоумышленнику потребуется дополнительно обойти второй фильтрационный уровень для проникновения к внутренним ресурсам.