Я читал сейчас об интрасетях, экстрасетях, DMZ и VPN, и мне потребуются некоторые пояснения, касающиеся экстрасетей и DMZ. Я понимаю, что это разные типы концепций: экстрасеть позволяет ограниченный доступ к некоторым ресурсам интрасети, а DMZ - это подсеть, которая находится между Интернетом и интрасетью и содержит внешние службы. Однако хотелось бы знать, в чем их отличие на практике в обычной установке? В Статья в Википедии об экстранетах говорит, что экстранеты похожи на DMZ, потому что они используются для той же цели (предоставление доступа к некоторым сервисам / ресурсам без раскрытия всей интрасети). В статье также говорится, что экстранет является частью VPN, и эта статья TechNet также указано, что доступ к экстрасети часто реализуется аналогично удаленному доступу к интрасети, например с VPN. В статье TechNet также говорится, что обычно экстранет размещается внутри DMZ. Эта статья Пирсона говорит: «Хотя [DMZ] технически расположена внутри интрасети, [она] может также служить экстранетом». Это немного сбивает с толку.
Рассмотрим следующий сценарий: у компании есть веб-сайт B2C, размещенный в DMZ. Доступ к веб-сайту можно получить из любого места, но требует аутентификации пользователя. Базовое веб-приложение имеет свою базу данных внутри интрасети, а также взаимодействует с некоторыми веб-сервисами, которые размещены внутри интрасети (т. Е. Обращается к ресурсам интрасети). На мой взгляд, этот веб-сайт действительно предлагает ограниченный доступ к внутренней сети. Но можно ли это считать экстранетом? Если мы буквально воспримем определение экстрасети из Википедии: «Экстранет - это компьютерная сеть, которая обеспечивает контролируемый доступ извне интрасети организации», - я думаю, это возможно.
Допустим, что вышеперечисленное нельзя считать экстранетом. Что, если мы немного изменим сценарий и скажем, что это веб-сайт B2B, где доступ, например, ограничено подключениями, исходящими от конкретного делового партнера (например, с помощью VPN типа "сеть-сеть"). В данном случае это, конечно, экстранет, верно? Если это так, то разница между службами экстрасети и любыми другими службами, размещенными в демилитаризованной зоне, заключается просто в ограничениях доступа?
Это академические различия. В реальном мире вы обнаружите некоторую комбинацию всех этих понятий под разными терминами.
В некоторых организациях DMZ имеет отдельное сетевое подключение к Интернет-провайдеру и не имеет доступа к внутренним ресурсам. В других организациях в демилитаризованной зоне есть присоединенные к домену машины, которые могут связываться с ограниченным набором внутренних машин. Иногда внутренние и DMZ имеют отдельные брандмауэры. Иногда у них есть отдельные интерфейсы на одном брандмауэре.
Важно знать Зачем кто-то должен использовать экстранет или DMZ, потому что это концепции безопасности, которые имеют значение. Оттуда вы можете выбрать, как разрешить доступ к определенным ресурсам. Как это называется на самом деле, значения не имеет. В некоторых случаях это секущиеся волосы.
Не думаю, что в последнее время слышал об экстранете за пределами учебников и классных комнат.
А DMZ это обычная сетевая топология с сегментом сети, который отделен брандмауэрами от внутренней сети и ненадежный внешний сети (также известные как интернет).
В отличие от Экстранет, если он действительно включен в структуру сети, в некоторой степени подразумевает, что он подключен к VPN или реальным частным сетям, а не ко всему большему Интернету.
Многие компании имеют несколько сетей DMZ и рассматривают сеть со шлюзом / маршрутизатором VPN или частное межсоединение как еще одну DMZ.
Чаще всего экстранет представляет собой не столько топологию сети, сколько подразумевается как услуга, отдельная от внутренней сети, которая предоставляется ограниченному набору доверенных, известных и / или прошедших проверку подлинности внешних пользователей, компаний и сетей.
С точки зрения сети ваш веб-сервер должен находиться в сети DMZ. Тот факт, что ваш веб-сайт позволяет вашим торговым посредникам входить в систему, просматривать ваш каталог, просматривать запасы и делать заказы, будет означать, что ваш веб-сайт будет называться экстранет отделами маркетинга. Стоимость разработки увеличится с $$ до $$$$.
Для меня это сводится к политике безопасности. Мы написали политику, согласно которой никакая общедоступная система не будет иметь входящего доступа к интрасети, если не разрешено конкретное исключение. У нас также есть политика, согласно которой DMZ не будет иметь входящего доступа к нашей интрасети, а наша экстрасеть имеет. Например, у нас есть веб-сервер с серверной базой данных, который должен синхронизировать данные с базой данных в интрасети. Мы помещаем веб-сервер в DMZ, внутреннюю базу данных в Extranet, и он синхронизируется с производственной базой данных интрасети. Таким образом, для рейтинга доверия общедоступная сеть будет равна 0, DMZ - 1, Extranet - 2, а интрасеть - 3.