Avskärmat subnät
Inom nätverkssäkerhet hänvisar ett avskärmat subnät till användningen av en eller flera logiska screeningroutrar som en brandvägg för att definiera tre separata subnät : en extern router (kallas ibland en åtkomstrouter ), som separerar det externa nätverket från ett perimeternätverk, och en intern router (kallas ibland en choke-router ) som separerar perimeternätverket från det interna nätverket. Omkretsnätverket, även kallat gränsnätverk eller demilitariserad zon (DMZ), är avsett för värd för servrar (ibland kallade bastionvärdar ) som är åtkomliga från eller har tillgång till både de interna och externa nätverken. Syftet med ett avskärmat subnät eller DMZ är att etablera ett nätverk med ökad säkerhet som är beläget mellan ett externt och förmodat fientligt nätverk, såsom Internet eller ett extranät, och ett internt nätverk.
Ett skärmat subnät är ett väsentligt koncept för e-handel eller någon enhet som har närvaro på World Wide Web eller använder elektroniska betalningssystem eller andra nätverkstjänster på grund av förekomsten av hackare , avancerade ihållande hot , datormaskar , botnät och andra hot mot nätverksanslutna informationssystem .
Fysisk separation av routrar
Genom att dela upp brandväggssystemet i två separata komponentroutrar uppnås större potentiell genomströmning genom att minska beräkningsbelastningen för varje router. Eftersom varje komponentrouter i den skärmade undernätets brandvägg endast behöver implementera en allmän uppgift, har varje router en mindre komplex konfiguration. Ett skärmat subnät eller DMZ kan också uppnås med en enda brandväggsenhet med tre nätverksgränssnitt.
Förhållande till DMZ
Termen demilitariserad zon i militär kontext syftar på ett område där fördrag eller överenskommelser mellan stridande grupper förbjuder militära installationer och aktiviteter, ofta längs en etablerad gräns eller gräns mellan två eller flera militära makter eller allianser. Likheten med nätverkssäkerhet är att det skärmade nätverket (DMZ) har minskat befästningar eftersom det har avsett intrångspunkter från det externa nätverket som antas vara fientligt.
Det verkar som om termen demilitariserad zon (DMZ) populariserades som en försäljnings- och marknadsföringsterm någon gång efter utvecklingen av skärmade routrar och brandväggar. Det används ofta som en synonym men kan en gång ha haft en annan betydelse.
- "Det finns ett antal termer som används, såsom bastionvärdar, skärmade undernät, DMZ eller perimeternätverk som kan vara förvirrande, särskilt när de används tillsammans." ... "En annan term som ofta kan orsaka förvirring är DMZ (demilitariserad zon), i motsats till ett skärmat subnät. En äkta DMZ är ett nätverk som innehåller värdar som är tillgängliga från internet med endast den yttre, eller gränsen, routern mellan dem . Dessa värdar skyddas inte av en screeningrouter." ... "Ett skärmat undernät kan också vara en samling värdar på ett undernät, men dessa är placerade bakom en skärmningsrouter. Termen DMZ kan användas av en leverantör för att betyda antingen, så det är bäst att verifiera vad de betyder. "
Jämförelse med skärmad värdbrandvägg/arkitektur
Medan den skärmade undernätets brandvägg använder två skärmade routrar för att skapa tre undernät, använder en skärmad värdbrandvägg endast en skärmad router för att definiera två undernät: ett externt nätverk och ett internt nätverk. Den skärmade undernätets brandvägg är säkrare eftersom en inkräktare måste korsa två filtrerade rutter för att nå det interna nätverket. Om bastionen/DMZ-värden äventyras måste inkräktaren fortfarande kringgå den andra filtrerade vägen för att nå interna nätverksvärdar.