Tìm hiểu về DMZ trong mạng máy tính
Tìm hiểu về DMZ trong mạng máy tính
Tìm hiểu về DMZ
DMZ có thể là cụm từ còn xa lạ đối với nhiều người. Đây là một thuật ngữ còn mới mẻ và được ít người biết. Vậy dưới đây chúng ta hãy cùng tìm hiểu DMZ là gì nhé!
I. Khái niệm
DMZ là từ được sử dụng rất thông dụng trong khu quân sự và lĩnh vực tin học. DMZ là viết tắt của từ Demilitarized Zone. Được hiểu là khu phi quân sự, giới tuyến quân sự, hay vùng phi quân sự. Khu vực không có hoạt động quân sự diễn ra, do đó đây cũng là nơi các khu vực đô thị yên bình cách xa các lãnh thổ băng đảng. Tuy nhiên, DMZ cũng là thuật ngữ viết tắt được sử dụng trong tin lĩnh vực tin học. Trong tin học DMZ là một thiết bị được kết nối mạng (phạm vi của các thiết bị được nối mạng hoặc mạng con), ví dụ : máy tính, được đặt bên ngoài tường lửa hoặc các biện pháp bảo mật khác trên mạng.
II. Phân biệt các khái niệm DMZ
1. Khái niệm DMZ tour là gì?
Được thành lập vào năm 1953 khi đã tuyên bố ngừng bắn trong Chiến tranh Triều Tiên, DMZ đại diện cho khu vực 2 km về phía bắc và phía nam từ đường phân giới quân sự. Tạo ra vùng phi quân sự rộng 4km và dài 256km, đây được coi à vùng phi quân sự lớn nhất thế giới. Khu phi quân sự là khu vực cam kết hòa bình, không xảy ra chiến tranh, nằm giữa biên giới Triều Tiên và Hàn Quốc. Trong khu DMZ, việc tiếp cận văn minh bị hạn chế, đảm bảo an toàn cho du khách. Nơi đây không bị ảnh hưởng bởi sinh hoạt của người dân và khu vực này bảo tồn sinh thái. DMZ không chỉ là một địa điểm tổ chức các cuộc họp chính trị chiến lược mà còn là một nơi thu hút khách du lịch. Hiện nay, Việt Nam và Hàn Quốc là 2 quốc gia duy nhất có DMZ tour và có thể sẽ mở rộng đến Triều Tiên trong tương lai.
2. Khái niệm DMZ host là gì?
DMZ host là máy chủ DMZ, hoạt động như một vùng phân cách giữa người dùng bên ngoài (Internet) và máy chủ riêng (mạng cục bộ hoặc mạng diện rộng). DMZ thường được các tập đoàn sử dụng và chứa một thiết bị chấp nhận lưu lượng truy cập Internet như DNS, FTP và máy chủ Web.
Các tập đoàn sử dụng DMZ host vì mạng con tách biệt với mạng cục bộ nội bộ (LAN) khỏi các mạng không tin cậy khác, thường là internet. Các máy chủ, dữ liệu và dịch vụ bên ngoài sẽ được đặt trong DMZ. Vậy nên, chúng có thể truy cập từ internet, nhưng phần còn lại của mạng LAN nội bộ vẫn không thể truy cập được. Điều này tạo ra một lớp bảo mật bổ sung cho mạng LAN giúp nó có thể giảm thiểu khả năng hacker truy cập trực tiếp vào máy chủ và dữ liệu nội bộ qua internet.
3. Khái niệm DMZ host ip address.
Máy chủ DMZ sẽ có thể truy cập bằng DMZ host ip address của giao diện WAN và bộ định tuyến để định vị tất cả lưu lượng không mong muốn trên giao diện WAN. Khi bạn cần chuyển tiếp lưu lượng đến máy chủ LAN nhưng không thể xác định lưu lượng theo cổng UDP hoặc TCP thì hãy dùng phương pháp này.
-
Để có thể thêm host ip address vào DMZ, bạn làm theo các thao tác dưới đây:
-
Đầu tiên hãy truy cập NAT >> DMZ Host rồi đi tới tab giao diện WAN mà bạn muốn máy chủ được truy cập từ:
-
Đối với mạng WAN 1, chọn “IP riêng”. Đối với các mạng WAN khác, chọn ô “Enable”.
-
Bạn nhấn chọn IP tại IP riêng và chọn địa chỉ IP của máy chủ DMZ.
-
Để cài đặt nhấn OK.
4. DMZ trong modem là gì?
DMZ là lựa chọn tốt nhất nếu bạn muốn chạy một máy chủ gia đình có thể được truy cập từ bên ngoài mạng gia đình của bạn (ví dụ: máy chủ web, ssh, vnc hoặc giao thức truy cập từ xa khác). Khi bạn muốn chỉ một số cổng cụ thể mới được phép truy cập từ các máy tính công cộng, thì bạn sẽ chạy tường lửa trên máy chủ.
Thiết lập cổng chuyển tiếp (port forwarding) là một cách khác để sử dụng DMZ. Với cổng chuyển tiếp, bạn chỉ có thể cho phép các cổng cụ thể thông qua bộ định tuyến của mình và bạn cũng có thể chỉ định một số cổng đi đến các máy khác nhau nếu bạn có nhiều máy chủ chạy phía sau bộ định tuyến.
5. DMZ router là gì?
DMZ router là máy chủ lưu trữ trên mạng. Bên trong DMZ router có tất cả các cổng UDP và TCP được mở và hiển thị nhưng sẽ không bao gồm các cổng được chuyển tiếp theo cách khác. DMZ frouter được sử dụng một phương pháp đơn giản để chuyển tiếp tất cả các cổng sang thiết bị tường lửa hoặc NAT khác.
6. Phân vùng DMZ là gì?
DMZ zone là tên tiếng anh của DMZ. DMZ zone được xem là vùng mạng trung lập giữa mạng riêng và công cộng. Là vùng quản lý dữ liệu và cung cấp dịch vụ bảo mật cho người dùng mạng cục bộ để truy cập email, ứng dụng web, ftp và các ứng dụng khác yêu cầu truy cập Internet.
III. Kiến trúc xây dựng vùng DMZ trong hệ thống mạng nội bộ
Các thành phần cơ bản tạo nên DMZ là: Các địa chỉ IP và các firewall. Bạn cần nhớ hai đặc điểm nhận dạng quan trọng của DMZ là:
Nó có một network ID khác so với mạng internal.
Nó bị phân tách khỏi mạng Internet và cả mạng internal bởi (các) firewall.
1. Địa chỉ IP dùng trong DMZ.
DMZ có thể sử dụng public IP hoặc private IP cho các server tùy vào cấu hình trên firewall và cấu trúc DMZ.
Khi bạn sử dụng public IP cho DMZ, thường bạn sẽ cần chia mạng con (subnetting) khối địa chỉ IP mà ISP cấp cho bạn để bạn có được hai network ID tách biệt. Khi đó một network ID sẽ được dùng cho external interface (card mạng nối trực tiếp tới ISP) của firewall và network ID còn lại được dùng cho mạng DMZ. Lưu ý khi chia subnet khối public IP này, bạn phải cấu hình cho router của bạn để các gói tin từ ngoài Internet đi vào sẽ tới được DMZ, khi chia subnet khối public bày.
Bằng cách sử dụng VLAN Tagging (IEEE 802.1q) bạn cũng có thể tạo một DMZ có network ID giống với mạng internal mà vẫn đảm bảo có sự cách ly giữa DMZ và mạng internal. Khi này các server trong DMZ và các máy trạm trong mạng internal đều được cắm chung vào một switch (hoặc khác switch nhưng các switch này được nối với nhau) và được gán vào các VLAN khác nhau.
Trong trường hợp bạn sử dụng private IP cho DMZ, bạn sẽ cần đến NAT (một số firewall hỗ trợ sẵn tính năng này) để chuyển các private IP này sang một public IP (mà được gán cho external interface của firewall nằm giữa Internet và DMZ). Tuy nhiên một số ứng dụng không làm việc tốt với NAT (ví dụ, Java RMI) nên bạn cân nhắc việc chọn cấu hình NAT hay định tuyến giữa Internet và DMZ.
Xem thêm===>>> Dịch vụ lắp đặt hệ thống mạng LAN tại nhà
2. Các Firewall: Single firewall và Dual firewall là hai mô hình cơ bản thường gặp nhất.
Single firewall (three legged firewall).
Bạn sẽ chỉ cần tới một thiết bị có ba NIC (network interface card). Trong đó, một NIC nối với mạng external, NIC thứ hai nối với mạng DMZ, và NIC còn lại nối với mạng internal.
“Three legged firewall” có tên như vậy vì mỗi “chân” của firewall chính là một NIC của nó. Lúc này nó phải có khả năng kiểm soát toàn bộ traffic vào/ra giữa ba mạng (internal, external và DMZ) và trở thành điểm chịu lỗi duy nhất (single point of failure) cho toàn hệ thống mạng. Khi có sự cố xảy ra với “three legged firewall” này thì cả DMZ và mạng internal đều không còn được bảo vệ. Tuy nhiên bạn sẽ không tốn chi phí đầu tư thêm một firwewall nữa như trong mô hình dual firewall.
Tạo DMZ bằng single firewall, ta có khái niệm trihomed DMZ. Bạn cũng có thể tạo ra hai (hoặc nhiều hơn) vùng DMZ tách biệt có các network ID khác nhau khi trang bị thêm số NIC tương ứng cho single firewall.
Với dual firewall.
Bạn sẽ cần tới hai thiết bị firewall, mỗi firewall có hai NIC và được bố trí như sau:
Firewall thứ nhất (được gọi là front-end firewall) có một NIC nối với mạng external (external interface) và NIC còn lại nối với DMZ (internal interface). Firewall thứ nhất này có nhiệm vụ kiểm soát traffic từ Internet tới DMZ và mạng internal.
Firewall thứ hai (được gọi là back-end firewall) có một NIC nối với DMZ (external interface) và NIC còn lại nối với mạng internal (internal interface). Firewsll thứ 2 này có nhiệm vụ kiểm soát traffic từ DMZ và Internet tới mạng internal.
Xét về hiệu suất và độ an toàn thì dual firewall sẽ giúp bạn thực hiện tốt hơn. Tuy nhiên như đã thấy việc sử dụng phương pháp này sẽ tốn kém so với single firewall. Các bạn nên lựa chọn phù hợp với nhu cầu và điều kiện của mình nhé.
Một số lời khuyên cho rằng nên chọn hai firewall từ hai nhà cung cấp (vendor) khác nhau. Vì được tạo nên theo những cách khác nên nếu hacker có thể bẻ gãy firewall đầu tiên thì cũng cũng khó khăn hơn trong việc phá vỡ firewall thứ hai.