Поэтому на устройстве, используемом в качестве узла DMZ, нужно обязательно установить файервол и антивирусную программу. В этой статье были кратко изложен3ы все самые важные факты о DMZ что это такое, как оно работает, и, главное, его предназначение. Если вы не поленитесь, то все действия, описанные выше не займут и 10 минут для настройки роутера и открытия его портов от провайдера Ростелеком.
Обзор вариантов организации доступа к сервисам корпоративной сети из Интернет
- Минимальные требования к функционалу IFW (можно сделать практически на любом, даже домашнем роутере).
- Минимальные требования к знаниям специалиста, осуществляющего реализацию варианта.
- Минимальный уровень безопасности. В случае взлома, при котором Нарушитель получит контроль над одним из опубликованных в Интернете серверов, ему для дальнейшей атаки становятся доступны все остальные узлы и каналы связи корпоративной сети.
- Из внутренней сети можно инициировать соединения в DMZ и в WAN (Wide Area Network).
- Из DMZ можно инициировать соединения в WAN.
- Из WAN можно инициировать соединения в DMZ.
- Инициация соединений из WAN и DMZ ко внутренней сети запрещена.
- Повышенная защищённость сети от взломов отдельных сервисов. Даже если один из серверов будет взломан, Нарушитель не сможет получить доступ к ресурсам, находящимся во внутренней сети (например, сетевым принтерам, системам видеонаблюдения и т.д.).
- Сам по себе вынос серверов в DMZ не повышает их защищенность.
- Необходим дополнительный МЭ для отделения DMZ от внутренней сети.

Как открыть порты на роутере: настройка порта, как открыть порт 80?
- Кроссплатформенность. Можно организовывать связь на серверах с разными операционными системами.
- Возможность построения туннелей с взаимной аутентификацией клиента и сервера.
- Возможность использования сертифицированной криптографии.
Защита от атак на обход средств аутентификации
- DMZ разделяется на IP-подсети из расчета отдельная подсеть для каждого узла.
- IP адреса назначаются вручную администраторами. DHCP не используется.
- На сетевых интерфейсах, к которым подключены узлы DMZ, активируется MAC и IP фильтрация, ограничения по интенсивности широковещательного трафика и трафика, содержащего TCP SYN запросы.
- На коммутаторах отключается автоматическое согласование типов портов, запрещается использование native VLAN.
- На узлах DMZ и серверах внутренней сети, к которым данные узлы подключаются, настраивается TCP SYN Cookie.
- В отношении узлов DMZ (и желательно остальной сети) внедряется управление уязвимостями ПО.
- В DMZ-сегменте внедряются системы обнаружения и предотвращения вторжений IDS/IPS.
- Высокая степень безопасности.
- Повышенные требования к функциональным возможностям оборудования.
- Трудозатраты во внедрении и поддержке.
Рассмотренные в предыдущем варианте меры защиты были основаны на том, что в сети присутствовало устройство ( коммутатор / маршрутизатор / межсетевой экран), способное их реализовывать. Но на практике, например, при использовании виртуальной инфраструктуры (виртуальные коммутаторы зачастую имеют очень ограниченные возможности), подобного устройства может и не быть.
Таким образом, перед нами встает задача защитить сервера внутренней сети от атак Нарушителя как из DMZ, так и из внутренней сети (заражение АРМа трояном можно интерпретировать как действия Нарушителя из внутренней сети).
Предлагаемый далее подход направлен на уменьшение числа каналов, через которые Нарушитель может атаковать сервера, а таких канала как минимум два. Первый это правило на DFW, разрешающее доступ к серверу внутренней сети из DMZ (пусть даже и с ограничением по IP-адресам), а второй — это открытый на сервере сетевой порт, по которому ожидаются запросы на подключение.
Закрыть указанные каналы можно, если сервер внутренней сети будет сам строить соединения до сервера в DMZ и будет делать это с помощью криптографически защищенных сетевых протоколов. Тогда не будет ни открытого порта, ни правила на DFW.
Но проблема в том, что обычные серверные службы не умеют работать подобным образом, и для реализации указанного подхода необходимо применять сетевое туннелирование, реализованное, например, с помощью SSH или VPN, а уже в рамках туннелей разрешать подключения от сервера в DMZ к серверу внутренней сети.
- На сервер в DMZ инсталлируется SSH/VPN сервер, а на сервер во внутренней сети инсталлируется SSH/VPN клиент.
- Сервер внутренней сети инициирует построение сетевого туннеля до сервера в DMZ. Туннель строится с взаимной аутентификацией клиента и сервера.
- Сервер из DMZ в рамках построенного туннеля инициирует соединение до сервера во внутренней сети, по которому передаются защищаемые данные.
- На сервере внутренней сети настраивается локальный межсетевой экран, фильтрующий трафик, проходящий по туннелю.
У каждого современного защитника есть функция «Доверенные приложения» или же «Исключения». Все, что необходимо сделать – это зайти в «настройки» – «приложения» – и выбрать там пункт – «Добавить исключения» или же «Доверенные приложения» после чего указать путь до файла программы. После выбора в контекстном меню пункта Свойства необходимо в графе TCP IP 4 версии проверить установку режима автоматического получения адресов IP и DNS-сервера. На данный момент есть 6 моделей аппаратов RT-GM-1, RT-GM-2, RT-GM-3, RT-GM-4, Eltex NTU-RG-1421G-Wac и Eltex NTU-RG-1421G-WZ.
Оборудование для оптоволокна
Для преобразования сигнала в понятный нам Ethernet-интерфейс используют еще одно уникальное устройство – ONT, или оптический терминал. Устройства данного типа представлены в широком ассортименте, причем это может быть, как стандартный прибор с двумя Ethernet-портами и одним портом PON, так и полноценный роутер GPON Ростелеком, имеющий целый ряд преимуществ в виде:
Важно! Нулевой и первый порт используются исключительно для подключения высокоскоростного Интернета, а порты 3 и 4 используют для организации просмотра IP-телевидения.
- предусмотрены два разъема для IP-телефонии;
- есть возможность подключения интерактивного IPTV;
- раздача сигнала GPON от Ростелеком производится через Wi-Fi (стандарт 802.11n с пропускной способностью до 300 мегабит в секунду).

Пошаговое руководство для открытия портов в роутере от Ростелеком
- в адресной строке надо ввести адрес 192.168.1.254;
- в открывшемся окне вводятся ваши данные: имя пользователя и пароль;
- что касается настроек сети, то с ними вы можете только ознакомиться, а менять стандартные настройки от провайдера не стоит;
- далее включаем модуль Wi-Fi в сеть;
- изменяем настройки безопасности;
- устанавливаем статические или динамический IP-адреса.
Абонентский оптический терминал Ростелеком
Для подключения по технологии xPON необходим специальный оптический роутер, который называется терминал ONT. В настоящий момент, компания Ростелеком стала использовать брендированные модели терминалов.
Так же, в некоторых филиалах используются Huawei EchoLife HG8245, Eltex NTU-RG-1421G-Wac и Eltex NTU-RG-1421G-WZ.
Все эти модели работают на скорости от 200 Мбит/с и выше, а так же имеют двухдиапазонную точку доступа WiFi. Правда хорошим качеством покрытия беспроводной сети похвастаться могут не все. Но тут не вина Ростелекома — этим «грешат» большинство ONT-роутеров. Возможно здесь как-то выделится модель RT-X, где обещают 8 мощных антенн и MIMO 4×4.
P,S.: Я намеренно не стал рассматривать тарифы на xPON Ростелеком по той простой причине, что в каждом филиале они разные. Например, тариф на 200 МБит в Москве стоит почти в два раза дешевле, чем в Саратове и делать их обзор нет никакого смысла.
Содержание: