Noção de compartimentação
Os sistemas firewall permitem definir regras de acesso entre
duas redes. No entanto, na prática, as empresas têm geralmente várias subredes
com políticas de segurança diferentes. É a razão pela qual é necessário
instalar arquitecturas de sistemas firewall que permitam isolar as diferentes
redes da empresa: fala-se assim de “compartimentação das redes” (o termo
"isolamento" é igualmente utilizado, às vezes).
Arquitectura DMZ
Quando certas máquinas da rede interna têm de ser acessíveis
do exterior (servidor web, um servidor de serviço de mensagens, um servidor FTP
público, etc.), é frequentemente necessário criar uma novo interface para uma
rede à parte, acessível igualmente da rede interna como do exterior, sem, no
entanto, correr o risco de comprometer a segurança da empresa. Fala-se assim de
“zona desmilitarizada” (notado DMZ para DeMilitarized Zone) para designar esta
zona isolada que aloja aplicações à disposição do público. O DMZ serve assim de
“de zona tampão” entre a rede a proteger e a rede hostil.
DMZ - Zona desmilitarizada
Os servidores situados no DMZ chamam-se “bastiões” devido à
sua posição antes do posto na rede da empresa.
A política de segurança aplicada no DMZ é geralmente a
seguinte:
Tráfego da rede
externa para o DMZ autorizado;
Tráfego da rede
externa para a rede interna proibido;
Tráfego da rede
interna para o DMZ autorizado;
Tráfego da rede
interna para a rede externa autorizado;
Tráfego do DMZ
para a rede interna proibido;
Tráfego do DMZ
para a rede externa recusado.
Sem comentários:
Enviar um comentário