Chao cac anh chi va cac ban, toi thay tren cac router ADSL dang re tien thuong co khai niem DMZ host. Vay DMZ host de lam gi (nguyen ly), va co the config tren router Cisco 2500 duoc khong?
Rat mong duoc cac anh chi va cac ban giup.
Xin cam on.

Hello,
Mục đích của DMZ là nhằm cách ly các Internet sẻvice sẻvers ra khỏi lócal working nétwork để hạn chế tối đa thiệt hại một khi các máy Internet sẻvice bị lấy quyền súper user từ bên ngoài. Như vậy DMZ thường là một nétwork segment độc lập với lócal nétwork, vì vậy nếu muốn sét DMZ trên router 2500 thì router đó cần ít nhất hai éthernet interfaces: 1 cho lócal nétwork và một cho DMZ nétwork và tạo các ÁCL cho router.

Trong thực tế thì nên dùng Firewall có ít nhất 3 interfaces để build nétwork tópology có DMZ vì nó đủ mạnh để lọc packet.

Router của mình chỉ có 1 Ethernet và 1 Serial có được không bạn?

Trong thực tế thì nên dùng Firewall có ít nhất 3 interfaces để build nétwork tópology có DMZ vì nó đủ mạnh để lọc packet.

Em có cái pix 2 nic + 1 switch chia vlan thui vậy có xài dmz được không ạ ?

Dĩ nhiên là dùng được, nhưng nếu có điều kiện nên dùng 3 éthernet interfaces.
Lý do: "cỗ máy" càng đơn giản càng dễ troubleshooting khi gặp chuyện.

:roll: :roll: :roll:

Chào longtongfish!
Thông thuờng mình thấy mọi người hay dùng hệ thống Fiewall để chia cắt hệ thống mạng của chúng ta ra làm nhiều vùng, hay nhiều zone. Về cơ bản, hệ thống sẽ có 3 zone chính sau:

1. External Zone hay còn gọi là Outside zone : đây là thế giới bên ngòai, thông thừong sẽ là môi trường Internet. Vì đây là môi trường mở nên tính bảo mật là rất thấp, do đó nó sẽ được gán sécurity level là 0%

2. Internal ZOne hay còn gọi là Inside zone: đây là hệ thống bên trong của chúng ta. Lẽ tất nhiên, vùng này phải lưôn đựoc bảo mật, và sẽ có sécurity level là 100%. Về nguyên tắc, External sẽ không được phép chủ động liên lạc với Internal dưới bất kỳ hính thức nào.

3. DMZ zone : Đây là một vùng trung gian giữa Internal và External. Tại khu vực này, một số giao dịch bắt ngưồn từ bên ngòai sẽ đựoc phép xảy ra, nhưng thuờng phải đi kèm với kỹ thuật Vỉtual IP và Port Forwarding.
Các incoming request sẽ đựoc terminate tại cổng Outside của firewall, sau đó tùy theo cổng tương ứng của dịch vụ , các reqest này sẽ được Firewall máp vào các host tương ứng trong DMZ zone (thừong là các server) chỉ với duy nhất 1 dịch vụ duy nhất nào đấy. Do đó, DMZ sẽ có sécurity level là 50%.

:roll: :roll: :roll:

3. DMZ zone : Đây là một vùng trung gian giữa Internal và External. Tại khu vực này, một số giao dịch bắt ngưồn từ bên ngòai sẽ đựoc phép xảy ra, nhưng thuờng phải đi kèm với kỹ thuật Vỉtual IP và Port Forwarding.
Các incoming request sẽ đựoc terminate tại cổng Outside của firewall, sau đó tùy theo cổng tương ứng của dịch vụ , các reqest này sẽ được Firewall máp vào các host tương ứng trong DMZ zone (thừong là các server) chỉ với duy nhất 1 dịch vụ duy nhất nào đấy. Do đó, DMZ sẽ có sécurity level là 50%.

Dựa vào đâu để đánh giá DMZ có sécurity level là 50%?

Chào itmansaigon
Đấy chỉ là cách hiểu thôi, mình không có ý khẳng định là DMZ có độ bảo mật là 50%. Tuy nhiên, cũng có một vài cờ sở sau:

1. Trong các hệ thống Firewall có 3 cổng, tương ứng sẽ có 3 zone, thì External lưôn đựoc gán sécurity level là 2, Internal là 0 và DMZ là 1. Như vậy thì (0+2)/2=1 cũng chính là 50% mà :lol:

2. Từ external, các remote user hòan tòan không thể chủ động liên lạc trực tiếp với Internal, đó có thể tạm xem là bảo mật hòan tòan, tương ứng với 100%. Trong khi với DMZ thì outside nétwork vẫn có thể chủ động liên lạc với zone này, nhưng chỉ được phép xảy ra trên 1 cổng dịch vụ cụ thể nào đấy , đặt trong sự quảnlý chặt chẽ của các policy. Cho phép bên ngòai xâm nhập hệ thống thì xem như độ bảo mật chỉ là 0%, nhưng bù lại có kiểm sóat và giới hạn cụ thể các truy nhập này, nên độ bảo mật có thể xem như là 50%.

Chút ý kiến riêng mong trao đổi và học hỏi thêm cùng anh
Thân mến

Xin chào,

Tôi không nhìn vấn đề theo cách mà cvo15303 diễn giải:

"
1. Trong các hệ thống Firewall có 3 cổng, tương ứng sẽ có 3 zone, thì External lưôn đựoc gán sécurity level là 2, Internal là 0 và DMZ là 1. Như vậy thì (0+2)/2=1 cũng chính là 50% mà :lol: "

cvo15303 lấy ví dụ của Firewall loại nào mà có cách số như vậy? và nếu firewall có 4,5 interfaces và có hai DMZ thì sao?

Việc đánh giá sécurity level không chỉ phụ thuơ6c5 vào firewall tópology mà còn dựa trên nhiều yếu tố khác như: các Internet sẻvice có bị sécurity bug hay không? , firewall có khả năng ngăn ngừa (prevention) cho các sẻvice bên trong tới đâu...

:lol: :lol: :lol:

Bạn hoàn toàn chính xác.

Mỗi hệ thống Firewalll sẽ có 1 cách đánh số security level khác nhau và cách áp đặt security level như mình nói là có tồn tại trong Firewall Fortinet.. Nói chung là security level càng thấp thì tính security sẽ càng cao. Mặc định thì traffic từ zone less secure hơn sẽ không thể đến đựoc more secure zone nếu k có policy cho phép.
Tuy nhiên, ở đây cvo cũng chỉ thử tìm ra một vị trí tương đối cho DMZ zone trong hệ thống mạng của chúng ta để dễ hình dung hơn. Và con số 50% đưa ra cũng chỉ là để thể hiện đặc thù của vùng DMZ là vừa cho vừa không cho traffic bên ngoàii đi vào mà thôi..

Rất mong được trao đổi và học hỏi thêm cùng bạn.
Thân mến

tại sao phải cần những 3 cổng nhỉ?

:roll: :roll: :roll:

Chắc chắn sẽ có 1 vài người chưa biết về kỹ thuật dùng tính năng VLAN để tạo ra các zone trong hệ thống mạng (số zone sẽ>số interface vật lý của FW), và cvo là một trong những người ấy.

Trước giờ mình vẫn hình dung về DMZ là như thế! Quả là có nhiều thiếu sót.

Mong được Ipsec và mọi người chỉ dẫn thêm

thân mến

dmz la khu vuc phi quan su cua mo hinh mang . noi day nham bao mat cac thong tin cua server thong qua tuong lua tranh that thoat thong tin tu nhung nguyen nhan ben trong mang hay ben ngoai mang

Hi các bạn,
Có bạn nào demo một mô hình được o? Mình không rõ lắm về vấn đề này.