PrepBro
← Назад к вопросам

Как сделать доступ в локальную сеть с использованием DMZ

2.7 Senior🔥 112 комментариев
#Безопасность#Сети и протоколы

Комментарии (2)

🐱
deepseek-v3.2PrepBro AI5 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Реализация доступа в локальную сеть через DMZ

DMZ (Demilitarized Zone) — это специальная сетевой зона, используемая для изоляции публичных сервисов от внутренней (локальной) сети. Ключевая идея: сервисы в DMZ имеют ограниченный доступ внутрь, а локальная сеть защищена дополнительным барьером. Прямой доступ **из интернета в локальную сеть через DMZ не рекомендуется** из соображений безопасности, но доступ **из локальной сети в DMZ или контролируемый доступ из DMZ внутрь** возможен и реализуется через несколько архитектур.

Основные архитектурные подходы

1. Традиционная схема с двумя файрволами (двухуровневая DMZ)

Интернет -> Файрвол-1 (Frontend) -> DMZ -> Файрвол-2 (Backend) -> Локальная сеть
  • Файрвол-1 разрешает трафик из интернета только в DMZ (например, на веб-сервер).
  • Файрвол-2 строго контролирует трафик из DMZ в локальную сеть. Для доступа изнутри наружу (например, сотрудник к серверу в DMZ) обычно создают правило на Файрвол-2, разрешающее подключения из определенных IP внутренней сети к DMZ.

Пример правила на Файрвол-2 (iptables):

# Разрешить внутренней сети (192.168.1.0/24) доступ к веб-серверу в DMZ (10.0.0.10) по HTTPS
iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.0.10 -p tcp --dport 443 -j ACCEPT
# Запретить все остальные попытки из DMZ внутрь (по умолчанию DROP)
iptables -A FORWARD -s 10.0.0.0/24 -d 192.168.1.0/24 -j DROP

2. Схема с одним файрволом и отдельным интерфейсом/зоной

Современные NGFW (Next-Generation Firewall) позволяют создавать несколько зон безопасности. DMZ и LAN находятся в разных зонах, а политики управления трафиком задаются между ними.

Пример логики политик на таком файрволле:

  • Политика LAN -> DMZ: разрешить определенные протоколы (HTTP, SSH) для административного доступа.
  • Политика DMZ -> LAN: разрешить только специфичные, необходимые соединения (например, запросы от веб-сервера к внутренней БД), часто с детальным контролем (user-ID, app-ID).

3. Использование Jump Host/Bastion Host в DMZ для контролируемого доступа внутрь

Для безопасного административного доступа из интернета в локальную сеть часто используют Jump Server (или Bastion Host), размещенный в DMZ. Это единственная точка в DMZ, через которую разрешен SSH/RDP. Затем с него, при необходимости, делают подключение дальше внутрь сети.

Пример организации SSH-туннеля через Jump Host:

# Пользователь подключается к Jump Host из интернета
ssh -J user@jump-host-dmz.company.com user@internal-server.lan.company.com

Или с использованием ProxyCommand:

ssh -o ProxyCommand="ssh -W %h:%p jump-host-dmz" internal-server

Ключевые принципы безопасности при организации доступа

  • Минимизация правил: разрешать только конкретные, необходимые порты и протоколы между DMZ и LAN.
  • Сеть DMZ должна быть отдельным сегментом: обычно отдельная подсеть (например, 10.0.0.0/24) и VLAN.
  • Мониторинг и аудит: все соединения между зонами должны логироваться. Инструменты: WAF (Web Application Firewall) для трафика к сервисам в DMZ, IDS/IPS на файрволле.
  • Принцип наименьших привилегий: сервера в DMZ получают доступ к внутренним ресурсам только к конкретным хостам и портам (например, только к порту 5432 внутренней PostgreSQL).
  • Регулярное тестирование правил: проверка конфигураций файрволов и обновление политик.

Типичный сценарий: доступ внутреннего приложения к БД в DMZ

  1. В DMZ размещен сервис, которому нужны данные из внутренней сети (например, аналитический сервис).
  2. На внутреннем файрволле создается правило, разрешающее только исходящие соединения от этого конкретного сервиса в DMZ к определенному порту на внутреннем сервере.
  3. Часто используется статическое NAT (Source NAT) на файрволле, чтобы "маскировать" реальный IP внутренней сети.

Пример настройки на Cisco ASA (ASDM):

access-list DMZ-LAN extended permit tcp host 10.0.0.20 host 192.168.1.50 eq 3306
access-group DMZ-LAN in interface DMZ

Современные тенденции

В микросервисных и cloud-архитектурах концепция DMZ часто трансформируется в использование API Gateways и Service Mesh (например, Istio), которые выполняют роль контролируемых точек входа и управления трафиком между "внутренними" и "публичными" сервисами.

Итог: Доступ из локальной сети в DMZ организуется относительно просто через правила файрвола. Доступ из DMZ в локальную сеть должен быть максимально ограничен, детализирован и контролируем. DMZ — это барьер, и его основная задача — защищать локальную сеть, а не предоставлять ей свободный доступ извне.

Как сделать доступ в локальную сеть с использованием DMZ | PrepBro