Вы находитесь на странице: 1из 12

Network Security

What is a DMZ?
• When we are thinking about network security we can roughly classify
our networks in two ways insecure networks that we need to access and
protected networks, that we need to defend.
• Когда мы думаем о сетевой безопасности, мы можем
приблизительно классифицировать наши сети на две разновидности:
небезопасные сети, которые нам нужны для обеспечения доступа, и
защищенные сети, которые нам собственно и нужно защитить.
• Our protected networks contain our resources which may
include workstations, servers, databases and anything else
that should be kept secure.
• Наши защищенные сети содержат наши ресурсы, которые
могут включать рабочие станции, серверы, базы данных и
все остальное, что должно быть защищено.
• The insecure network is any area that we don’t have security control over.
However we still need to access its resources, or something in that
network may need to access ours. A prime example of this is the internet.
• Небезопасная сеть - это любая область, безопасность в которой мы не
контролируем. Однако нам все же нужно иметь доступ к её ресурсам,
или что-то в этой сети может потребоваться для доступа к нашим.
Ярким примером этого является интернет.
But we also think of a network made by a business partner, such as a
supplier or a customer. We don’t manage the security of these networks,
so we should not assume that they are secure.
Нам также следует подумать о компьютерной сети, созданной нашим
бизнес-партнером - поставщиком или клиентом. Мы не управляем
безопасностью таких сетей, поэтому нам не следует исходить из того,
что они безопасны.
• Let’s imagine that we have a website that some people on the Internet need
access to. This is made up of a web server and a database which contains
sensitive information. Clearly our primary goal here is to protect this
sensitive data.
• Давайте представим, что у нас есть веб-сайт, к которому некоторым
людям в Интернете нужен доступ. Он включает в себя веб-сервер и базу
данных, которая содержит конфиденциальную информацию. Очевидно,
что наша основная цель - защитить эти конфиденциальные данные.
So one thing that we will do is add a firewall between the Internet and our protected
network. We will usually want to complement the firewall with an IPS but for this video
we won’t get into that sort of detail. Can you see the risks with this topology?
Поэтому мы сделаем одну вещь - добавим межсетевой экран между
Интернетом и нашей защищенной сетью. Как правило, в дополнению к
брандмауэру используется IPS (IPS – Intrusion Prevention System), но в этом видео
мы не будем вдаваться в подробности такого рода. Видите ли вы риски
использования такой топологии?
When we expose the web server to the Internet like this there is really only one layer of
network security between a potential attacker and our sensitive information. Now imagine
that the attacker has found a way past out firewall. May be they are clever and they’ve
exploited a bug.
Когда мы выставляем веб-сервер в Интернет, как в этом случае, существует только
один уровень сетевой безопасности между потенциальным злоумышленником и нашей
конфиденциальной информацией. Теперь представьте, что злоумышленник нашел
проход через брандмауэр. Может быть, они умны, и они использовали ошибку в ПО.
Maybe the firewall has failed for some reason. Or maybe we’ve made a
mistake when we configured it. Right away this attacker has access to our
sensitive data. What can we do about this?
Возможно брандмауэр по какой-то причине не сработал. Или,
может быть, мы сделали ошибку при его настройке. Сразу же такой
злоумышленник получает доступ к нашим конфиденциальным
данным. Что мы можем с этим поделать?