Расположение ресурсов в dmz-сетях

1) внешние доступные серверы - располагаются во внешней DMZ, при этом ПР обеспечивает для них фильтрацию трафика и предварительное управление доступом, а основной FW (МСЭ 1) должен предотвращать установку соединения от внешних серверов с внутренними системами;

2) внутренние серверы – должны быть размещены во внутренней сети, при этом на внутреннем FW (2) должен быть реализован Proxy Server, управляющий доступом к внутренним серверам;

3) DNS-сервер – сервер, которые хранят информацию о соотношении IP адреса и доменного имени. Т.к. DNS-сервер является критическим сервисом, необходимо применять дополнительные меры безопасности. Наиболее распространенным методом защиты является применение 2-х DNS-серверов (внутренний и внешний).

Внутренний DNS-сервер должен быть отделен от внешнего и содержать в большинстве своем статические записи. Он не обеспечивает доступ к внутренним ресурсам сети по их именам.

Внешний DNS-сервер не должен иметь записей о внутренних системах, к которым не предполагается доступ из вне.

4) SNTP-сервер. Если в организации существует собственный mail-сервер, обеспечивающий получение почты для внутренних пользователей, информация, хранящаяся на нем, является критичной и располагать этот сервер следует во внутренней DMZ-сети.

Для установления соединения с ним из сети на МСЭ 1 (основной FW) устанавливается специальный CNTP proxy, который позволяет допустить во внутреннюю сеть только разрешенные запросы на соединение протокола SNTP.