डीएमजेड (कंप्यूटिंग): Difference between revisions

From Vigyanwiki
(Created page with "{{short description|Subnetwork of a system exposed to external world}} {{For|the physical area where military operations are prohibited|Demilitarized zone}} कंप्य...")
 
No edit summary
Line 1: Line 1:
{{short description|Subnetwork of a system exposed to external world}}
{{short description|Subnetwork of a system exposed to external world}}
{{For|the physical area where military operations are prohibited|Demilitarized zone}}
{{For|भौतिक क्षेत्र जहां सैन्य संचालन निषिद्ध है|विसैन्यीकृत क्षेत्र}}


[[कंप्यूटर सुरक्षा]] में, एक डीएमजेड या डिमिलिट्राइज़्ड ज़ोन (कभी-कभी एक परिधि नेटवर्क या [[स्क्रीन सबनेट]] के रूप में संदर्भित) एक भौतिक या तार्किक [[ subnetwork ]] होता है जिसमें एक संगठन की बाहरी सेवाओं को एक अविश्वसनीय, आमतौर पर बड़े, नेटवर्क जैसे कि [[इंटरनेट]] शामिल होता है और उजागर करता है। DMZ का उद्देश्य किसी संगठन के स्थानीय क्षेत्र नेटवर्क (LAN) में सुरक्षा की एक अतिरिक्त परत जोड़ना है: एक बाहरी [[नोड (नेटवर्किंग)]] केवल वही एक्सेस कर सकता है जो DMZ में उजागर है, जबकि संगठन का बाकी नेटवर्क एक के पीछे सुरक्षित है। [[फ़ायरवॉल (कंप्यूटिंग)]]<ref>{{Cite web|title=नियंत्रण प्रणाली सुरक्षा DMZ|url=https://www.us-cert.gov/ics/Control_System_Security_DMZ-Definition.html|access-date=2020-06-09|website=Official website of The Cybersecurity and Infrastructure Security Agency (CISA) for the Dept. of Homeland Security, USA}}</ref> DMZ इंटरनेट और निजी नेटवर्क के बीच स्थित एक छोटे, पृथक नेटवर्क के रूप में कार्य करता है।<ref>{{Cite web|title=What is a DMZ and How does it Work?|url=https://searchsecurity.techtarget.com/definition/DMZ|access-date=2020-06-09|website=Techtarget SearchSecurity}}</ref>
[[कंप्यूटर सुरक्षा]] में एक डीएमजेड या डिमिलिट्राइज़्ड ज़ोन (कभी-कभी एक परिधि नेटवर्क या [[स्क्रीन सबनेट]] के रूप में संदर्भित) एक भौतिक या तार्किक [[ subnetwork | सबनेटवर्क]] होता है जिसमें एक संगठन की बाहरी सेवाओं को एक अविश्वसनीय सामान्यतः बड़े नेटवर्क जैसे कि [[इंटरनेट]] सम्मिलित होता है और उजागर करता है। डीएमजेड का उद्देश्य किसी संगठन के स्थानीय क्षेत्र नेटवर्क (लैन) में सुरक्षा की एक अतिरिक्त परत जोड़ना है: एक बाहरी [[नोड (नेटवर्किंग)]] केवल वही एक्सेस कर सकता है जो डीएमजेड में उजागर है, जबकि संगठन का शेष नेटवर्क एक के पीछे सुरक्षित है। [[फ़ायरवॉल (कंप्यूटिंग)]]<ref>{{Cite web|title=नियंत्रण प्रणाली सुरक्षा DMZ|url=https://www.us-cert.gov/ics/Control_System_Security_DMZ-Definition.html|access-date=2020-06-09|website=Official website of The Cybersecurity and Infrastructure Security Agency (CISA) for the Dept. of Homeland Security, USA}}</ref> डीएमजेड इंटरनेट और निजी नेटवर्क के बीच स्थित एक छोटे पृथक नेटवर्क के रूप में कार्य करता है।<ref>{{Cite web|title=What is a DMZ and How does it Work?|url=https://searchsecurity.techtarget.com/definition/DMZ|access-date=2020-06-09|website=Techtarget SearchSecurity}}</ref>
इसे #DMZ_होस्ट के साथ भ्रमित नहीं होना है, कुछ होम राउटर में मौजूद एक विशेषता जो अक्सर एक सामान्य DMZ से बहुत भिन्न होती है।
 
इसे डीएमजेड_होस्ट के साथ अस्पष्ट नहीं होना है, कुछ होम राउटर में उपस्थित एक विशेषता जो अधिकांशतः एक सामान्य डीएमजेड से बहुत भिन्न होती है।


यह नाम '[[विसैन्यीकृत क्षेत्र]]' शब्द से लिया गया है, जो राज्यों के बीच एक क्षेत्र है जिसमें सैन्य अभियानों की अनुमति नहीं है।
यह नाम '[[विसैन्यीकृत क्षेत्र]]' शब्द से लिया गया है, जो राज्यों के बीच एक क्षेत्र है जिसमें सैन्य अभियानों की अनुमति नहीं है।


== तर्क ==
== याचिका ==
DMZ को इसकी सीमा से लगे किसी भी नेटवर्क से संबंधित नहीं माना जाता है। यह रूपक कंप्यूटिंग उपयोग पर लागू होता है क्योंकि DMZ सार्वजनिक इंटरनेट के प्रवेश द्वार के रूप में कार्य करता है। यह न तो आंतरिक नेटवर्क जितना सुरक्षित है और न ही सार्वजनिक इंटरनेट जितना असुरक्षित।
डीएमजेड को इसकी सीमा से लगे किसी भी नेटवर्क से संबंधित नहीं माना जाता है। यह रूपक कंप्यूटिंग उपयोग पर लागू होता है क्योंकि डीएमजेड सार्वजनिक इंटरनेट के प्रवेश द्वार के रूप में कार्य करता है। यह न तो आंतरिक नेटवर्क जितना सुरक्षित है और न ही सार्वजनिक इंटरनेट जितना असुरक्षित।


इस मामले में, [[होस्ट (नेटवर्क)]] पर हमले का सबसे अधिक खतरा वे हैं जो स्थानीय क्षेत्र नेटवर्क के बाहर के उपयोगकर्ताओं को सेवाएं प्रदान करते हैं, जैसे कि [[ ईमेल ]], [[वर्ल्ड वाइड वेब]] और [[ डोमेन की नामांकन प्रणाली ]] (DNS) सर्वर। इन मेजबानों के हमले से पीड़ित होने की बढ़ती संभावना के कारण, उनमें से किसी से समझौता होने की स्थिति में बाकी नेटवर्क की सुरक्षा के लिए उन्हें इस विशिष्ट सबनेटवर्क में रखा गया है।
इस स्थिति में [[होस्ट (नेटवर्क)]] पर हमले का सबसे अधिक खतरा वे हैं जो स्थानीय क्षेत्र नेटवर्क के बाहर के उपयोगकर्ताओं को सेवाएं प्रदान करते हैं जैसे कि [[ ईमेल | ईमेल]] [[वर्ल्ड वाइड वेब]] और [[ डोमेन की नामांकन प्रणाली ]] (डीएनएस) सर्वर इन होस्ट के हमले से पीड़ित होने की बढ़ती संभावना के कारण उनमें से किसी से समझौता होने की स्थिति में शेष नेटवर्क की सुरक्षा के लिए उन्हें इस विशिष्ट सबनेटवर्क में रखा गया है।


DMZ में होस्ट को आंतरिक नेटवर्क में केवल विशिष्ट होस्ट के लिए सीमित कनेक्टिविटी की अनुमति है, क्योंकि DMZ की सामग्री आंतरिक नेटवर्क की तरह सुरक्षित नहीं है। इसी तरह, DMZ और बाहरी नेटवर्क में होस्ट के बीच संचार भी DMZ को इंटरनेट से अधिक सुरक्षित बनाने और इन विशेष प्रयोजन सेवाओं के आवास के लिए उपयुक्त बनाने के लिए प्रतिबंधित है। यह DMZ में मेजबानों को आंतरिक और बाहरी दोनों नेटवर्क के साथ संवाद करने की अनुमति देता है, जबकि एक हस्तक्षेप करने वाला फ़ायरवॉल (कंप्यूटिंग) DMZ सर्वर और आंतरिक नेटवर्क क्लाइंट के बीच ट्रैफ़िक को नियंत्रित करता है, और एक अन्य फ़ायरवॉल DMZ की सुरक्षा के लिए कुछ स्तर का नियंत्रण करेगा। बाहरी नेटवर्क।
डीएमजेड में होस्ट को आंतरिक नेटवर्क में केवल विशिष्ट होस्ट के लिए सीमित कनेक्टिविटी की अनुमति है क्योंकि डीएमजेड की पदार्थ आंतरिक नेटवर्क की तरह सुरक्षित नहीं है। इसी तरह, डीएमजेड और बाहरी नेटवर्क में होस्ट के बीच संचार भी डीएमजेड को इंटरनेट से अधिक सुरक्षित बनाने और इन विशेष प्रयोजन सेवाओं के आवास के लिए उपयुक्त बनाने के लिए प्रतिबंधित है। यह डीएमजेड में होस्ट को आंतरिक और बाहरी दोनों नेटवर्क के साथ संवाद करने की अनुमति देता है, जबकि एक हस्तक्षेप करने वाला फ़ायरवॉल (कंप्यूटिंग) डीएमजेड सर्वर और आंतरिक नेटवर्क क्लाइंट के बीच ट्रैफ़िक को नियंत्रित करता है और एक अन्य फ़ायरवॉल डीएमजेड बाहरी नेटवर्क की सुरक्षा के लिए कुछ स्तर का नियंत्रण करेगा।  


एक डीएमजेड कॉन्फ़िगरेशन बाहरी हमलों से अतिरिक्त सुरक्षा प्रदान करता है, लेकिन इसका आमतौर पर आंतरिक हमलों पर कोई असर नहीं पड़ता है जैसे [[पैकेट विश्लेषक]] के माध्यम से संचार को सूंघना या ई-मेल [[स्पूफिंग हमला]] स्पूफिंग हमले।
एक डीएमजेड कॉन्फ़िगरेशन बाहरी हमलों से अतिरिक्त सुरक्षा प्रदान करता है, किन्तु इसका सामान्यतः आंतरिक हमलों पर कोई प्रभाव नहीं पड़ता है जैसे [[पैकेट विश्लेषक]] के माध्यम से संचार को सूंघना या ई-मेल [[स्पूफिंग हमला]] स्पूफिंग हमले है।


एक अलग वर्गीकृत सैन्य क्षेत्र (CMZ) को कॉन्फ़िगर करना भी कभी-कभी अच्छा अभ्यास होता है,<ref name="Bradley Mitchell">{{cite web | url=https://www.lifewire.com/demilitarized-zone-computer-networking-816407 | title=कंप्यूटर नेटवर्किंग में विसैन्यकृत क्षेत्र| date=27 August 2018 | access-date=10 December 2018 | author= Bradley Mitchell}}</ref> एक अत्यधिक निगरानी वाला सैन्यीकृत क्षेत्र जिसमें ज्यादातर [[वेब सर्वर]] (और समान सर्वर जो बाहरी दुनिया यानी इंटरनेट के लिए इंटरफ़ेस हैं) शामिल हैं जो DMZ में नहीं हैं लेकिन LAN के भीतर सर्वर तक पहुँचने के बारे में संवेदनशील जानकारी रखते हैं (जैसे [[डेटाबेस सर्वर]])ऐसे आर्किटेक्चर में, DMZ में आमतौर पर [[आवेदन फ़ायरवॉल]] और FTP होता है जबकि CMZ वेब सर्वर को होस्ट करता है। (डेटाबेस सर्वर CMZ में, LAN में, या पूरी तरह से अलग VLAN में हो सकते हैं।)
एक अलग वर्गीकृत सैन्य क्षेत्र (सीएमजेड) को कॉन्फ़िगर करना भी कभी-कभी अच्छा अभ्यास होता है,<ref name="Bradley Mitchell">{{cite web | url=https://www.lifewire.com/demilitarized-zone-computer-networking-816407 | title=कंप्यूटर नेटवर्किंग में विसैन्यकृत क्षेत्र| date=27 August 2018 | access-date=10 December 2018 | author= Bradley Mitchell}}</ref> एक अत्यधिक अवलोकन वाला सैन्यीकृत क्षेत्र जिसमें अधिकत्तर [[वेब सर्वर]] (और समान सर्वर जो बाहरी दुनिया अर्थात इंटरनेट के लिए इंटरफ़ेस हैं) सम्मिलित हैं जो डीएमजेड में नहीं हैं किन्तु लैन के अंदर सर्वर तक पहुँचने के बारे में संवेदनशील जानकारी रखते हैं (जैसे [[डेटाबेस सर्वर]]) ऐसे आर्किटेक्चर में डीएमजेड में सामान्यतः [[आवेदन फ़ायरवॉल]] और एफ़टीपी होता है जबकि सीएमजेड वेब सर्वर को होस्ट करता है। (डेटाबेस सर्वर सीएमजेड में, लैन में, या पूरी तरह से अलग Vलैन में हो सकते हैं।)


बाहरी नेटवर्क पर उपयोगकर्ताओं को प्रदान की जाने वाली कोई भी सेवा DMZ में रखी जा सकती है। इन सेवाओं में सबसे आम हैं:
बाहरी नेटवर्क पर उपयोगकर्ताओं को प्रदान की जाने वाली कोई भी सेवा डीएमजेड में रखी जा सकती है। इन सेवाओं में सबसे सामान्य हैं:
* वेब सर्वर
* वेब सर्वर
* [[मेल सर्वर]]
* [[मेल सर्वर]]
* [[[[एफ़टीपी]] सर्वर]]
* [[एफ़टीपी]] सर्वर
* [[वीओआईपी]] सर्वर
* [[वीओआईपी]] सर्वर


वेब सर्वर जो एक आंतरिक डेटाबेस के साथ संचार करते हैं, उन्हें डेटाबेस सर्वर तक पहुंच की आवश्यकता होती है, जो सार्वजनिक रूप से सुलभ नहीं हो सकता है और इसमें संवेदनशील जानकारी हो सकती है। वेब सर्वर सुरक्षा कारणों से डेटाबेस सर्वर के साथ सीधे या एप्लिकेशन फ़ायरवॉल के माध्यम से संचार कर सकते हैं।
'''वेब सर्वर जो एक आंतरिक डेटाबेस के साथ संचार करते हैं, उन्हें डे'''टाबेस सर्वर तक पहुंच की आवश्यकता होती है, जो सार्वजनिक रूप से सुलभ नहीं हो सकता है और इसमें संवेदनशील जानकारी हो सकती है। वेब सर्वर सुरक्षा कारणों से डेटाबेस सर्वर के साथ सीधे या एप्लिकेशन फ़ायरवॉल के माध्यम से संचार कर सकते हैं।


ई-मेल संदेश और विशेष रूप से उपयोगकर्ता डेटाबेस गोपनीय होते हैं, इसलिए वे आम तौर पर उन सर्वरों पर संग्रहीत होते हैं जिन्हें इंटरनेट से एक्सेस नहीं किया जा सकता (कम से कम असुरक्षित तरीके से नहीं), लेकिन उन ईमेल सर्वरों से एक्सेस किया जा सकता है जो इंटरनेट के संपर्क में हैं।
ई-मेल संदेश और विशेष रूप से उपयोगकर्ता डेटाबेस गोपनीय होते हैं, इसलिए वे सामान्य तौर पर उन सर्वरों पर संग्रहीत होते हैं जिन्हें इंटरनेट से एक्सेस नहीं किया जा सकता (कम से कम असुरक्षित तरीके से नहीं), किन्तु उन ईमेल सर्वरों से एक्सेस किया जा सकता है जो इंटरनेट के संपर्क में हैं।


DMZ के अंदर का मेल सर्वर इनकमिंग मेल को सुरक्षित/आंतरिक मेल सर्वर तक पहुंचाता है। यह आउटगोइंग मेल को भी हैंडल करता है।
डीएमजेड के अंदर का मेल सर्वर इनकमिंग मेल को सुरक्षित/आंतरिक मेल सर्वर तक पहुंचाता है। यह आउटगोइंग मेल को भी हैंडल करता है।


सुरक्षा के लिए, [[HIPAA]] जैसे कानूनी मानकों का अनुपालन, और व्यापारिक वातावरण में निगरानी कारणों से, कुछ उद्यम DMZ के भीतर एक [[प्रॉक्सी सर्वर]] स्थापित करते हैं। इसके निम्नलिखित लाभ हैं:
सुरक्षा के लिए, [[HIPAA]] जैसे कानूनी मानकों का अनुपालन, और व्यापारिक वातावरण में अवलोकन कारणों से, कुछ उद्यम डीएमजेड के अंदर एक [[प्रॉक्सी सर्वर]] स्थापित करते हैं। इसके निम्नलिखित लाभ हैं:
* इंटरनेट एक्सेस के लिए प्रॉक्सी सर्वर का उपयोग करने के लिए आंतरिक उपयोगकर्ताओं (आमतौर पर कर्मचारियों) को बाध्य करता है।
* इंटरनेट एक्सेस के लिए प्रॉक्सी सर्वर का उपयोग करने के लिए आंतरिक उपयोगकर्ताओं (सामान्यतः कर्मचारियों) को बाध्य करता है।
* कम इंटरनेट एक्सेस बैंडविड्थ आवश्यकताओं के बाद से कुछ वेब सामग्री को प्रॉक्सी सर्वर द्वारा कैश किया जा सकता है।
* कम इंटरनेट एक्सेस बैंडविड्थ आवश्यकताओं के बाद से कुछ वेब पदार्थ को प्रॉक्सी सर्वर द्वारा कैश किया जा सकता है।
* उपयोगकर्ता गतिविधियों की रिकॉर्डिंग और निगरानी को सरल करता है।
* उपयोगकर्ता गतिविधियों की रिकॉर्डिंग और अवलोकन को सरल करता है।
* केंद्रीकृत वेब सामग्री फ़िल्टरिंग।
* केंद्रीकृत वेब पदार्थ फ़िल्टरिंग।


एक [[रिवर्स प्रॉक्सी]] सर्वर, एक प्रॉक्सी सर्वर की तरह, एक मध्यस्थ है, लेकिन इसका उपयोग दूसरे तरीके से किया जाता है। बाहरी नेटवर्क तक पहुँचने के इच्छुक आंतरिक उपयोगकर्ताओं को सेवा प्रदान करने के बजाय, यह आंतरिक संसाधनों के लिए बाहरी नेटवर्क (आमतौर पर इंटरनेट) के लिए अप्रत्यक्ष पहुँच प्रदान करता है।
एक [[रिवर्स प्रॉक्सी]] सर्वर, एक प्रॉक्सी सर्वर की तरह, एक मध्यस्थ है, किन्तु इसका उपयोग दूसरे तरीके से किया जाता है। बाहरी नेटवर्क तक पहुँचने के इच्छुक आंतरिक उपयोगकर्ताओं को सेवा प्रदान करने के बजाय, यह आंतरिक संसाधनों के लिए बाहरी नेटवर्क (सामान्यतः इंटरनेट) के लिए अप्रत्यक्ष पहुँच प्रदान करता है।
उदाहरण के लिए, एक बैक ऑफिस एप्लिकेशन एक्सेस, जैसे कि एक ईमेल सिस्टम, बाहरी उपयोगकर्ताओं को प्रदान किया जा सकता है (कंपनी के बाहर ईमेल पढ़ने के लिए) लेकिन दूरस्थ उपयोगकर्ता के पास अपने ईमेल सर्वर तक सीधी पहुंच नहीं होगी (केवल रिवर्स प्रॉक्सी सर्वर ही कर सकता है) भौतिक रूप से आंतरिक ईमेल सर्वर तक पहुंचें)। यह विशेष रूप से अनुशंसित सुरक्षा की एक अतिरिक्त परत है जब आंतरिक संसाधनों को बाहर से एक्सेस करने की आवश्यकता होती है, लेकिन यह ध्यान देने योग्य है कि यह डिज़ाइन अभी भी दूरस्थ (और संभावित रूप से दुर्भावनापूर्ण) उपयोगकर्ताओं को प्रॉक्सी की मदद से आंतरिक संसाधनों से बात करने की अनुमति देता है। चूंकि प्रॉक्सी गैर-विश्वसनीय नेटवर्क और आंतरिक संसाधन के बीच रिले के रूप में कार्य करता है: यह दुर्भावनापूर्ण ट्रैफ़िक (जैसे [[शोषण (कंप्यूटर सुरक्षा)]]) को आंतरिक नेटवर्क की ओर भी अग्रेषित कर सकता है; इसलिए बाहरी हमलावरों को प्रॉक्सी के माध्यम से उजागर किए गए आंतरिक संसाधनों में मौजूद कमजोरियों का फायदा उठाने से रोकने के लिए प्रॉक्सी की हमले का पता लगाने और फ़िल्टरिंग क्षमताएं महत्वपूर्ण हैं। आम तौर पर ऐसा रिवर्स प्रॉक्सी मैकेनिज्म [[अनुप्रयोग परत फ़ायरवॉल]] का उपयोग करके प्रदान किया जाता है जो विशिष्ट [[टीसीपी और यूडीपी पोर्ट]]्स (फ़ायरवॉल (कंप्यूटिंग) के रूप में) तक पहुंच को नियंत्रित करने के बजाय ट्रैफ़िक के विशिष्ट आकार और सामग्री पर ध्यान केंद्रित करता है #पहली पीढ़ी: पैकेट फ़िल्टर होगा do), लेकिन एक रिवर्स प्रॉक्सी आमतौर पर एक सुविचारित DMZ डिज़ाइन के लिए एक अच्छा विकल्प नहीं है क्योंकि इसे अपडेटेड अटैक वैक्टर के लिए निरंतर हस्ताक्षर अपडेट पर निर्भर रहना पड़ता है।
उदाहरण के लिए, एक बैक ऑफिस एप्लिकेशन एक्सेस, जैसे कि एक ईमेल सिस्टम, बाहरी उपयोगकर्ताओं को प्रदान किया जा सकता है (कंपनी के बाहर ईमेल पढ़ने के लिए) किन्तु दूरस्थ उपयोगकर्ता के पास अपने ईमेल सर्वर तक सीधी पहुंच नहीं होगी (केवल रिवर्स प्रॉक्सी सर्वर ही कर सकता है) भौतिक रूप से आंतरिक ईमेल सर्वर तक पहुंचें)। यह विशेष रूप से अनुशंसित सुरक्षा की एक अतिरिक्त परत है जब आंतरिक संसाधनों को बाहर से एक्सेस करने की आवश्यकता होती है, किन्तु यह ध्यान देने योग्य है कि यह डिज़ाइन अभी भी दूरस्थ (और संभावित रूप से दुर्भावनापूर्ण) उपयोगकर्ताओं को प्रॉक्सी की मदद से आंतरिक संसाधनों से बात करने की अनुमति देता है। चूंकि प्रॉक्सी गैर-विश्वसनीय नेटवर्क और आंतरिक संसाधन के बीच रिले के रूप में कार्य करता है: यह दुर्भावनापूर्ण ट्रैफ़िक (जैसे [[शोषण (कंप्यूटर सुरक्षा)]]) को आंतरिक नेटवर्क की ओर भी अग्रेषित कर सकता है; इसलिए बाहरी हमलावरों को प्रॉक्सी के माध्यम से उजागर किए गए आंतरिक संसाधनों में उपस्थित कमजोरियों का फायदा उठाने से रोकने के लिए प्रॉक्सी की हमले का पता लगाने और फ़िल्टरिंग क्षमताएं महत्वपूर्ण हैं। सामान्य तौर पर ऐसा रिवर्स प्रॉक्सी मैकेनिज्म [[अनुप्रयोग परत फ़ायरवॉल]] का उपयोग करके प्रदान किया जाता है जो विशिष्ट [[टीसीपी और यूडीपी पोर्ट]]्स (फ़ायरवॉल (कंप्यूटिंग) के रूप में) तक पहुंच को नियंत्रित करने के बजाय ट्रैफ़िक के विशिष्ट आकार और पदार्थ पर ध्यान केंद्रित करता है #पहली पीढ़ी: पैकेट फ़िल्टर होगा do), किन्तु एक रिवर्स प्रॉक्सी सामान्यतः एक सुविचारित डीएमजेड डिज़ाइन के लिए एक अच्छा विकल्प नहीं है क्योंकि इसे अपडेटेड अटैक वैक्टर के लिए निरंतर हस्ताक्षर अपडेट पर निर्भर रहना पड़ता है।


== आर्किटेक्चर ==
== आर्किटेक्चर ==
Line 43: Line 44:


=== एकल फ़ायरवॉल ===
=== एकल फ़ायरवॉल ===
[[File:DMZ network diagram 1 firewall.svg|thumb|right|200px|एक एकल फ़ायरवॉल का उपयोग करके DMZ को नियोजित करने वाले एक विशिष्ट तीन-पैर वाले नेटवर्क मॉडल का आरेख।]]DMZ युक्त नेटवर्क आर्किटेक्चर बनाने के लिए कम से कम 3 नेटवर्क इंटरफेस वाले एकल फ़ायरवॉल का उपयोग किया जा सकता है। पहले नेटवर्क इंटरफ़ेस पर [[ISP]] से फ़ायरवॉल तक बाहरी नेटवर्क बनता है, दूसरे नेटवर्क इंटरफ़ेस से आंतरिक नेटवर्क बनता है, और तीसरे नेटवर्क इंटरफ़ेस से DMZ बनता है। फ़ायरवॉल नेटवर्क के लिए विफलता का एक बिंदु बन जाता है और DMZ के साथ-साथ आंतरिक नेटवर्क पर जाने वाले सभी ट्रैफ़िक को संभालने में सक्षम होना चाहिए।
[[File:DMZ network diagram 1 firewall.svg|thumb|right|200px|एक एकल फ़ायरवॉल का उपयोग करके डीएमजेड को नियोजित करने वाले एक विशिष्ट तीन-पैर वाले नेटवर्क मॉडल का आरेख।]]डीएमजेड युक्त नेटवर्क आर्किटेक्चर बनाने के लिए कम से कम 3 नेटवर्क इंटरफेस वाले एकल फ़ायरवॉल का उपयोग किया जा सकता है। पहले नेटवर्क इंटरफ़ेस पर [[ISP]] से फ़ायरवॉल तक बाहरी नेटवर्क बनता है, दूसरे नेटवर्क इंटरफ़ेस से आंतरिक नेटवर्क बनता है, और तीसरे नेटवर्क इंटरफ़ेस से डीएमजेड बनता है। फ़ायरवॉल नेटवर्क के लिए विफलता का एक बिंदु बन जाता है और डीएमजेड के साथ-साथ आंतरिक नेटवर्क पर जाने वाले सभी ट्रैफ़िक को संभालने में सक्षम होना चाहिए।
ज़ोन आमतौर पर रंगों से चिह्नित होते हैं - उदाहरण के लिए, LAN के लिए बैंगनी, DMZ के लिए हरा, इंटरनेट के लिए लाल (अक्सर वायरलेस ज़ोन के लिए इस्तेमाल किया जाने वाला दूसरा रंग)।
ज़ोन सामान्यतः रंगों से चिह्नित होते हैं - उदाहरण के लिए, लैन के लिए बैंगनी, डीएमजेड के लिए हरा, इंटरनेट के लिए लाल (अधिकांशतः वायरलेस ज़ोन के लिए इस्तेमाल किया जाने वाला दूसरा रंग)।


=== दोहरी फ़ायरवॉल ===
=== दोहरी फ़ायरवॉल ===
[[File:DMZ network diagram 2 firewall.svg|thumb|right|200px|दोहरे फ़ायरवॉल का उपयोग करके DMZ को नियोजित करने वाले एक विशिष्ट नेटवर्क का आरेख।]]कोल्टन फ्रलिक के अनुसार सबसे सुरक्षित तरीका,<ref name="jacobs">{{cite book | url=https://books.google.com/books?id=2eQ2yxTA3tUC&pg=PA296 | title=Engineering Information Security: The Application of Systems Engineering Concepts to Achieve Information Assurance | publisher=John Wiley & Sons | author=Jacobs, Stuart | year=2015 | page=296| isbn=9781119101604}}</ref> DMZ बनाने के लिए दो फायरवॉल का उपयोग करना है। पहला फ़ायरवॉल (जिसे फ्रंट-एंड या परिधि भी कहा जाता है<ref>{{cite web|title=परिधि फ़ायरवॉल डिजाइन|url=https://technet.microsoft.com/en-us/library/cc700828.aspx|work=Microsoft Security TechCenter|publisher=Microsoft Corporation|access-date=14 October 2013}}</ref> फ़ायरवॉल) को केवल DMZ के लिए नियत ट्रैफ़िक की अनुमति देने के लिए कॉन्फ़िगर किया जाना चाहिए। दूसरा फ़ायरवॉल (जिसे बैक-एंड या आंतरिक फ़ायरवॉल भी कहा जाता है) केवल आंतरिक नेटवर्क से DMZ को ट्रैफ़िक की अनुमति देता है।
[[File:DMZ network diagram 2 firewall.svg|thumb|right|200px|दोहरे फ़ायरवॉल का उपयोग करके डीएमजेड को नियोजित करने वाले एक विशिष्ट नेटवर्क का आरेख।]]कोल्टन फ्रलिक के अनुसार सबसे सुरक्षित तरीका,<ref name="jacobs">{{cite book | url=https://books.google.com/books?id=2eQ2yxTA3tUC&pg=PA296 | title=Engineering Information Security: The Application of Systems Engineering Concepts to Achieve Information Assurance | publisher=John Wiley & Sons | author=Jacobs, Stuart | year=2015 | page=296| isbn=9781119101604}}</ref> डीएमजेड बनाने के लिए दो फायरवॉल का उपयोग करना है। पहला फ़ायरवॉल (जिसे फ्रंट-एंड या परिधि भी कहा जाता है<ref>{{cite web|title=परिधि फ़ायरवॉल डिजाइन|url=https://technet.microsoft.com/en-us/library/cc700828.aspx|work=Microsoft Security TechCenter|publisher=Microsoft Corporation|access-date=14 October 2013}}</ref> फ़ायरवॉल) को केवल डीएमजेड के लिए नियत ट्रैफ़िक की अनुमति देने के लिए कॉन्फ़िगर किया जाना चाहिए। दूसरा फ़ायरवॉल (जिसे बैक-एंड या आंतरिक फ़ायरवॉल भी कहा जाता है) केवल आंतरिक नेटवर्क से डीएमजेड को ट्रैफ़िक की अनुमति देता है।


यह व्यवस्था मानी जाती है<ref name="jacobs"/>अधिक सुरक्षित क्योंकि दो उपकरणों से समझौता करने की आवश्यकता होगी। यदि दो फ़ायरवॉल दो अलग-अलग विक्रेताओं द्वारा प्रदान किए जाते हैं, तो इससे भी अधिक सुरक्षा होती है, क्योंकि इससे यह संभावना कम हो जाती है कि दोनों डिवाइस एक ही सुरक्षा भेद्यता से ग्रस्त हैं। उदाहरण के लिए एक विक्रेता के सिस्टम में मौजूद एक सुरक्षा छेद दूसरे में होने की संभावना कम है। इस वास्तुकला की कमियों में से एक यह है कि इसे खरीदना और प्रबंधित करना दोनों ही अधिक महंगा है।<ref>Zeltzer, Lenny (April, 2002). [https://zeltser.com/firewalls-for-multitier-applications "Firewall Deployment for Multitier Applications"]</ref> विभिन्न विक्रेताओं से विभिन्न फ़ायरवॉल का उपयोग करने की प्रथा को कभी-कभी गहराई (कंप्यूटिंग) में रक्षा के एक घटक के रूप में वर्णित किया जाता है।<ref name="sans">{{cite web | url=https://www.sans.org/reading-room/whitepapers/firewalls/designing-dmz-950 | title=एक DMZ डिजाइन करना| publisher=SANS Institute | date=2001 | access-date=11 December 2015 | author=Young, Scott | pages=2}}</ref> सुरक्षा रणनीति।
यह व्यवस्था मानी जाती है<ref name="jacobs"/>अधिक सुरक्षित क्योंकि दो उपकरणों से समझौता करने की आवश्यकता होगी। यदि दो फ़ायरवॉल दो अलग-अलग विक्रेताओं द्वारा प्रदान किए जाते हैं, तो इससे भी अधिक सुरक्षा होती है, क्योंकि इससे यह संभावना कम हो जाती है कि दोनों डिवाइस एक ही सुरक्षा भेद्यता से ग्रस्त हैं। उदाहरण के लिए एक विक्रेता के सिस्टम में उपस्थित एक सुरक्षा छेद दूसरे में होने की संभावना कम है। इस वास्तुकला की कमियों में से एक यह है कि इसे खरीदना और प्रबंधित करना दोनों ही अधिक महंगा है।<ref>Zeltzer, Lenny (April, 2002). [https://zeltser.com/firewalls-for-multitier-applications "Firewall Deployment for Multitier Applications"]</ref> विभिन्न विक्रेताओं से विभिन्न फ़ायरवॉल का उपयोग करने की प्रथा को कभी-कभी गहराई (कंप्यूटिंग) में रक्षा के एक घटक के रूप में वर्णित किया जाता है।<ref name="sans">{{cite web | url=https://www.sans.org/reading-room/whitepapers/firewalls/designing-dmz-950 | title=एक DMZ डिजाइन करना| publisher=SANS Institute | date=2001 | access-date=11 December 2015 | author=Young, Scott | pages=2}}</ref> सुरक्षा रणनीति।


== डीएमजेड होस्ट ==
== डीएमजेड होस्ट ==
कुछ होम [[राउटर (कंप्यूटिंग)]] एक DMZ होस्ट को संदर्भित करते हैं, जो-कई मामलों में-वास्तव में एक [[मिथ्या नाम]] है। एक होम राउटर DMZ होस्ट आंतरिक नेटवर्क पर एक एकल पता (जैसे, IP पता) होता है, जिसमें सभी ट्रैफ़िक भेजे जाते हैं जो अन्यथा अन्य LAN होस्टों को अग्रेषित नहीं किए जाते हैं। परिभाषा के अनुसार, यह एक सच्चा DMZ (डिमिलिट्राइज़्ड ज़ोन) नहीं है, क्योंकि राउटर अकेले होस्ट को आंतरिक नेटवर्क से अलग नहीं करता है। यही है, डीएमजेड होस्ट आंतरिक नेटवर्क पर अन्य मेजबानों से कनेक्ट करने में सक्षम है, जबकि वास्तविक डीएमजेड के भीतर मेजबानों को फ़ायरवॉल द्वारा आंतरिक नेटवर्क से कनेक्ट करने से रोका जाता है जो उन्हें अलग करता है जब तक फ़ायरवॉल कनेक्शन की अनुमति नहीं देता।
कुछ होम [[राउटर (कंप्यूटिंग)]] एक डीएमजेड होस्ट को संदर्भित करते हैं, जो-कई मामलों में-वास्तव में एक [[मिथ्या नाम]] है। एक होम राउटर डीएमजेड होस्ट आंतरिक नेटवर्क पर एक एकल पता (जैसे, IP पता) होता है, जिसमें सभी ट्रैफ़िक भेजे जाते हैं जो अन्यथा अन्य लैन होस्टों को अग्रेषित नहीं किए जाते हैं। परिभाषा के अनुसार, यह एक सच्चा डीएमजेड (डिमिलिट्राइज़्ड ज़ोन) नहीं है, क्योंकि राउटर अकेले होस्ट को आंतरिक नेटवर्क से अलग नहीं करता है। यही है, डीएमजेड होस्ट आंतरिक नेटवर्क पर अन्य होस्ट से कनेक्ट करने में सक्षम है, जबकि वास्तविक डीएमजेड के अंदर होस्ट को फ़ायरवॉल द्वारा आंतरिक नेटवर्क से कनेक्ट करने से रोका जाता है जो उन्हें अलग करता है जब तक फ़ायरवॉल कनेक्शन की अनुमति नहीं देता।
 
फ़ायरवॉल इसकी अनुमति दे सकता है यदि आंतरिक नेटवर्क पर कोई होस्ट पहले डीएमजेड के अंदर होस्ट से कनेक्शन का अनुरोध करता है। डीएमजेड होस्ट कोई भी सुरक्षा लाभ प्रदान नहीं करता है जो एक सबनेटवर्क प्रदान करता है और अधिकांशतः सभी पोर्ट्स को किसी अन्य फ़ायरवॉल / [[नेटवर्क एड्रेस ट्रांसलेशन]] डिवाइस पर अग्रेषित करने की एक आसान विधि के रूप में उपयोग किया जाता है। यह रणनीति (डीएमजेड होस्ट की स्थापना) का उपयोग उन प्रणालियों के साथ भी किया जाता है जो सामान्य फायरवॉलिंग नियमों या एनएटी के साथ ठीक से बातचीत नहीं करते हैं। ऐसा इसलिए हो सकता है क्योंकि समय से पहले कोई अग्रेषण नियम तैयार नहीं किया जा सकता है (उदाहरण के लिए अलग-अलग टीसीपी या यूडीपी पोर्ट नंबर, एक निश्चित संख्या या निश्चित सीमा के विपरीत)। इसका उपयोग नेटवर्क प्रोटोकॉल के लिए भी किया जाता है जिसके लिए राउटर के पास संभालने के लिए कोई प्रोग्रामिंग नहीं है ([[6in4]] या GRE सुरंग प्रोटोटाइपिकल उदाहरण हैं)।


फ़ायरवॉल इसकी अनुमति दे सकता है यदि आंतरिक नेटवर्क पर कोई होस्ट पहले DMZ के भीतर होस्ट से कनेक्शन का अनुरोध करता है। DMZ होस्ट कोई भी सुरक्षा लाभ प्रदान नहीं करता है जो एक सबनेटवर्क प्रदान करता है और अक्सर सभी पोर्ट्स को किसी अन्य फ़ायरवॉल / [[नेटवर्क एड्रेस ट्रांसलेशन]] डिवाइस पर अग्रेषित करने की एक आसान विधि के रूप में उपयोग किया जाता है। यह रणनीति (डीएमजेड होस्ट की स्थापना) का उपयोग उन प्रणालियों के साथ भी किया जाता है जो सामान्य फायरवॉलिंग नियमों या एनएटी के साथ ठीक से बातचीत नहीं करते हैं। ऐसा इसलिए हो सकता है क्योंकि समय से पहले कोई अग्रेषण नियम तैयार नहीं किया जा सकता है (उदाहरण के लिए अलग-अलग टीसीपी या यूडीपी पोर्ट नंबर, एक निश्चित संख्या या निश्चित सीमा के विपरीत)। इसका उपयोग नेटवर्क प्रोटोकॉल के लिए भी किया जाता है जिसके लिए राउटर के पास संभालने के लिए कोई प्रोग्रामिंग नहीं है ([[6in4]] या GRE सुरंग प्रोटोटाइपिकल उदाहरण हैं)।
'''ता है (उदाहरण के लिए अलग-अलग टीसीपी या यूडीपी पोर्ट नंबर, एक निश्चित संख्या या निश्चित सीमा के'''


== यह भी देखें ==
== यह भी देखें ==
* [[बैस्टियन होस्ट]]
* [[बैस्टियन होस्ट]]
* स्क्रीन सबनेट
* स्क्रीन सबनेट
*[[विज्ञान DMZ नेटवर्क आर्किटेक्चर]], उच्च प्रदर्शन कंप्यूटिंग में एक DMZ नेटवर्क
*[[विज्ञान DMZ नेटवर्क आर्किटेक्चर|विज्ञान डीएमजेड नेटवर्क आर्किटेक्चर]], उच्च प्रदर्शन कंप्यूटिंग में एक डीएमजेड नेटवर्क


==संदर्भ==
==संदर्भ==
Line 66: Line 69:


==अग्रिम पठन==
==अग्रिम पठन==
*[http://www.techrepublic.com/article/solutionbase-strengthen-network-defenses-by-using-a-dmz/ SolutionBase: Strengthen network defenses by using a DMZ] by Deb Shinder at [[TechRepublic]].
*[http://www.techrepublic.com/article/solutionbase-strengthen-network-defenses-by-using-a-dmz/ SolutionBase: Strengthen network defenses by using a] डीएमजेड by Deb Shinder at [[TechRepublic]].
*Eric Maiwald. Network Security: A Beginner's Guide. Second Edition. McGraw-Hill/Osborne, 2003.
*Eric Maiwald. Network Security: A Beginner's Guide. Second Edition. McGraw-Hill/Osborne, 2003.
*Internet Firewalls: Frequently Asked Questions, compiled by Matt Curtin, Marcus Ranum and Paul Robertson
*Internet Firewalls: Frequently Asked Questions, compiled by Matt Curtin, Marcus Ranum and Paul Robertson

Revision as of 13:15, 22 May 2023

कंप्यूटर सुरक्षा में एक डीएमजेड या डिमिलिट्राइज़्ड ज़ोन (कभी-कभी एक परिधि नेटवर्क या स्क्रीन सबनेट के रूप में संदर्भित) एक भौतिक या तार्किक सबनेटवर्क होता है जिसमें एक संगठन की बाहरी सेवाओं को एक अविश्वसनीय सामान्यतः बड़े नेटवर्क जैसे कि इंटरनेट सम्मिलित होता है और उजागर करता है। डीएमजेड का उद्देश्य किसी संगठन के स्थानीय क्षेत्र नेटवर्क (लैन) में सुरक्षा की एक अतिरिक्त परत जोड़ना है: एक बाहरी नोड (नेटवर्किंग) केवल वही एक्सेस कर सकता है जो डीएमजेड में उजागर है, जबकि संगठन का शेष नेटवर्क एक के पीछे सुरक्षित है। फ़ायरवॉल (कंप्यूटिंग)[1] डीएमजेड इंटरनेट और निजी नेटवर्क के बीच स्थित एक छोटे पृथक नेटवर्क के रूप में कार्य करता है।[2]

इसे डीएमजेड_होस्ट के साथ अस्पष्ट नहीं होना है, कुछ होम राउटर में उपस्थित एक विशेषता जो अधिकांशतः एक सामान्य डीएमजेड से बहुत भिन्न होती है।

यह नाम 'विसैन्यीकृत क्षेत्र' शब्द से लिया गया है, जो राज्यों के बीच एक क्षेत्र है जिसमें सैन्य अभियानों की अनुमति नहीं है।

याचिका

डीएमजेड को इसकी सीमा से लगे किसी भी नेटवर्क से संबंधित नहीं माना जाता है। यह रूपक कंप्यूटिंग उपयोग पर लागू होता है क्योंकि डीएमजेड सार्वजनिक इंटरनेट के प्रवेश द्वार के रूप में कार्य करता है। यह न तो आंतरिक नेटवर्क जितना सुरक्षित है और न ही सार्वजनिक इंटरनेट जितना असुरक्षित।

इस स्थिति में होस्ट (नेटवर्क) पर हमले का सबसे अधिक खतरा वे हैं जो स्थानीय क्षेत्र नेटवर्क के बाहर के उपयोगकर्ताओं को सेवाएं प्रदान करते हैं जैसे कि ईमेल वर्ल्ड वाइड वेब और डोमेन की नामांकन प्रणाली (डीएनएस) सर्वर इन होस्ट के हमले से पीड़ित होने की बढ़ती संभावना के कारण उनमें से किसी से समझौता होने की स्थिति में शेष नेटवर्क की सुरक्षा के लिए उन्हें इस विशिष्ट सबनेटवर्क में रखा गया है।

डीएमजेड में होस्ट को आंतरिक नेटवर्क में केवल विशिष्ट होस्ट के लिए सीमित कनेक्टिविटी की अनुमति है क्योंकि डीएमजेड की पदार्थ आंतरिक नेटवर्क की तरह सुरक्षित नहीं है। इसी तरह, डीएमजेड और बाहरी नेटवर्क में होस्ट के बीच संचार भी डीएमजेड को इंटरनेट से अधिक सुरक्षित बनाने और इन विशेष प्रयोजन सेवाओं के आवास के लिए उपयुक्त बनाने के लिए प्रतिबंधित है। यह डीएमजेड में होस्ट को आंतरिक और बाहरी दोनों नेटवर्क के साथ संवाद करने की अनुमति देता है, जबकि एक हस्तक्षेप करने वाला फ़ायरवॉल (कंप्यूटिंग) डीएमजेड सर्वर और आंतरिक नेटवर्क क्लाइंट के बीच ट्रैफ़िक को नियंत्रित करता है और एक अन्य फ़ायरवॉल डीएमजेड बाहरी नेटवर्क की सुरक्षा के लिए कुछ स्तर का नियंत्रण करेगा।

एक डीएमजेड कॉन्फ़िगरेशन बाहरी हमलों से अतिरिक्त सुरक्षा प्रदान करता है, किन्तु इसका सामान्यतः आंतरिक हमलों पर कोई प्रभाव नहीं पड़ता है जैसे पैकेट विश्लेषक के माध्यम से संचार को सूंघना या ई-मेल स्पूफिंग हमला स्पूफिंग हमले है।

एक अलग वर्गीकृत सैन्य क्षेत्र (सीएमजेड) को कॉन्फ़िगर करना भी कभी-कभी अच्छा अभ्यास होता है,[3] एक अत्यधिक अवलोकन वाला सैन्यीकृत क्षेत्र जिसमें अधिकत्तर वेब सर्वर (और समान सर्वर जो बाहरी दुनिया अर्थात इंटरनेट के लिए इंटरफ़ेस हैं) सम्मिलित हैं जो डीएमजेड में नहीं हैं किन्तु लैन के अंदर सर्वर तक पहुँचने के बारे में संवेदनशील जानकारी रखते हैं (जैसे डेटाबेस सर्वर) ऐसे आर्किटेक्चर में डीएमजेड में सामान्यतः आवेदन फ़ायरवॉल और एफ़टीपी होता है जबकि सीएमजेड वेब सर्वर को होस्ट करता है। (डेटाबेस सर्वर सीएमजेड में, लैन में, या पूरी तरह से अलग Vलैन में हो सकते हैं।)

बाहरी नेटवर्क पर उपयोगकर्ताओं को प्रदान की जाने वाली कोई भी सेवा डीएमजेड में रखी जा सकती है। इन सेवाओं में सबसे सामान्य हैं:

वेब सर्वर जो एक आंतरिक डेटाबेस के साथ संचार करते हैं, उन्हें डेटाबेस सर्वर तक पहुंच की आवश्यकता होती है, जो सार्वजनिक रूप से सुलभ नहीं हो सकता है और इसमें संवेदनशील जानकारी हो सकती है। वेब सर्वर सुरक्षा कारणों से डेटाबेस सर्वर के साथ सीधे या एप्लिकेशन फ़ायरवॉल के माध्यम से संचार कर सकते हैं।

ई-मेल संदेश और विशेष रूप से उपयोगकर्ता डेटाबेस गोपनीय होते हैं, इसलिए वे सामान्य तौर पर उन सर्वरों पर संग्रहीत होते हैं जिन्हें इंटरनेट से एक्सेस नहीं किया जा सकता (कम से कम असुरक्षित तरीके से नहीं), किन्तु उन ईमेल सर्वरों से एक्सेस किया जा सकता है जो इंटरनेट के संपर्क में हैं।

डीएमजेड के अंदर का मेल सर्वर इनकमिंग मेल को सुरक्षित/आंतरिक मेल सर्वर तक पहुंचाता है। यह आउटगोइंग मेल को भी हैंडल करता है।

सुरक्षा के लिए, HIPAA जैसे कानूनी मानकों का अनुपालन, और व्यापारिक वातावरण में अवलोकन कारणों से, कुछ उद्यम डीएमजेड के अंदर एक प्रॉक्सी सर्वर स्थापित करते हैं। इसके निम्नलिखित लाभ हैं:

  • इंटरनेट एक्सेस के लिए प्रॉक्सी सर्वर का उपयोग करने के लिए आंतरिक उपयोगकर्ताओं (सामान्यतः कर्मचारियों) को बाध्य करता है।
  • कम इंटरनेट एक्सेस बैंडविड्थ आवश्यकताओं के बाद से कुछ वेब पदार्थ को प्रॉक्सी सर्वर द्वारा कैश किया जा सकता है।
  • उपयोगकर्ता गतिविधियों की रिकॉर्डिंग और अवलोकन को सरल करता है।
  • केंद्रीकृत वेब पदार्थ फ़िल्टरिंग।

एक रिवर्स प्रॉक्सी सर्वर, एक प्रॉक्सी सर्वर की तरह, एक मध्यस्थ है, किन्तु इसका उपयोग दूसरे तरीके से किया जाता है। बाहरी नेटवर्क तक पहुँचने के इच्छुक आंतरिक उपयोगकर्ताओं को सेवा प्रदान करने के बजाय, यह आंतरिक संसाधनों के लिए बाहरी नेटवर्क (सामान्यतः इंटरनेट) के लिए अप्रत्यक्ष पहुँच प्रदान करता है। उदाहरण के लिए, एक बैक ऑफिस एप्लिकेशन एक्सेस, जैसे कि एक ईमेल सिस्टम, बाहरी उपयोगकर्ताओं को प्रदान किया जा सकता है (कंपनी के बाहर ईमेल पढ़ने के लिए) किन्तु दूरस्थ उपयोगकर्ता के पास अपने ईमेल सर्वर तक सीधी पहुंच नहीं होगी (केवल रिवर्स प्रॉक्सी सर्वर ही कर सकता है) भौतिक रूप से आंतरिक ईमेल सर्वर तक पहुंचें)। यह विशेष रूप से अनुशंसित सुरक्षा की एक अतिरिक्त परत है जब आंतरिक संसाधनों को बाहर से एक्सेस करने की आवश्यकता होती है, किन्तु यह ध्यान देने योग्य है कि यह डिज़ाइन अभी भी दूरस्थ (और संभावित रूप से दुर्भावनापूर्ण) उपयोगकर्ताओं को प्रॉक्सी की मदद से आंतरिक संसाधनों से बात करने की अनुमति देता है। चूंकि प्रॉक्सी गैर-विश्वसनीय नेटवर्क और आंतरिक संसाधन के बीच रिले के रूप में कार्य करता है: यह दुर्भावनापूर्ण ट्रैफ़िक (जैसे शोषण (कंप्यूटर सुरक्षा)) को आंतरिक नेटवर्क की ओर भी अग्रेषित कर सकता है; इसलिए बाहरी हमलावरों को प्रॉक्सी के माध्यम से उजागर किए गए आंतरिक संसाधनों में उपस्थित कमजोरियों का फायदा उठाने से रोकने के लिए प्रॉक्सी की हमले का पता लगाने और फ़िल्टरिंग क्षमताएं महत्वपूर्ण हैं। सामान्य तौर पर ऐसा रिवर्स प्रॉक्सी मैकेनिज्म अनुप्रयोग परत फ़ायरवॉल का उपयोग करके प्रदान किया जाता है जो विशिष्ट टीसीपी और यूडीपी पोर्ट्स (फ़ायरवॉल (कंप्यूटिंग) के रूप में) तक पहुंच को नियंत्रित करने के बजाय ट्रैफ़िक के विशिष्ट आकार और पदार्थ पर ध्यान केंद्रित करता है #पहली पीढ़ी: पैकेट फ़िल्टर होगा do), किन्तु एक रिवर्स प्रॉक्सी सामान्यतः एक सुविचारित डीएमजेड डिज़ाइन के लिए एक अच्छा विकल्प नहीं है क्योंकि इसे अपडेटेड अटैक वैक्टर के लिए निरंतर हस्ताक्षर अपडेट पर निर्भर रहना पड़ता है।

आर्किटेक्चर

डीएमजेड के साथ नेटवर्क डिजाइन करने के कई अलग-अलग तरीके हैं। सबसे बुनियादी तरीकों में से दो एकल फ़ायरवॉल (नेटवर्किंग) के साथ हैं, जिसे तीन पैर वाले मॉडल के रूप में भी जाना जाता है, और दोहरी फ़ायरवॉल के साथ, जिसे बैक टू बैक भी कहा जाता है। नेटवर्क आवश्यकताओं के आधार पर बहुत जटिल आर्किटेक्चर बनाने के लिए इन आर्किटेक्चर का विस्तार किया जा सकता है।

एकल फ़ायरवॉल

एक एकल फ़ायरवॉल का उपयोग करके डीएमजेड को नियोजित करने वाले एक विशिष्ट तीन-पैर वाले नेटवर्क मॉडल का आरेख।

डीएमजेड युक्त नेटवर्क आर्किटेक्चर बनाने के लिए कम से कम 3 नेटवर्क इंटरफेस वाले एकल फ़ायरवॉल का उपयोग किया जा सकता है। पहले नेटवर्क इंटरफ़ेस पर ISP से फ़ायरवॉल तक बाहरी नेटवर्क बनता है, दूसरे नेटवर्क इंटरफ़ेस से आंतरिक नेटवर्क बनता है, और तीसरे नेटवर्क इंटरफ़ेस से डीएमजेड बनता है। फ़ायरवॉल नेटवर्क के लिए विफलता का एक बिंदु बन जाता है और डीएमजेड के साथ-साथ आंतरिक नेटवर्क पर जाने वाले सभी ट्रैफ़िक को संभालने में सक्षम होना चाहिए।

ज़ोन सामान्यतः रंगों से चिह्नित होते हैं - उदाहरण के लिए, लैन के लिए बैंगनी, डीएमजेड के लिए हरा, इंटरनेट के लिए लाल (अधिकांशतः वायरलेस ज़ोन के लिए इस्तेमाल किया जाने वाला दूसरा रंग)।

दोहरी फ़ायरवॉल

दोहरे फ़ायरवॉल का उपयोग करके डीएमजेड को नियोजित करने वाले एक विशिष्ट नेटवर्क का आरेख।

कोल्टन फ्रलिक के अनुसार सबसे सुरक्षित तरीका,[4] डीएमजेड बनाने के लिए दो फायरवॉल का उपयोग करना है। पहला फ़ायरवॉल (जिसे फ्रंट-एंड या परिधि भी कहा जाता है[5] फ़ायरवॉल) को केवल डीएमजेड के लिए नियत ट्रैफ़िक की अनुमति देने के लिए कॉन्फ़िगर किया जाना चाहिए। दूसरा फ़ायरवॉल (जिसे बैक-एंड या आंतरिक फ़ायरवॉल भी कहा जाता है) केवल आंतरिक नेटवर्क से डीएमजेड को ट्रैफ़िक की अनुमति देता है।

यह व्यवस्था मानी जाती है[4]अधिक सुरक्षित क्योंकि दो उपकरणों से समझौता करने की आवश्यकता होगी। यदि दो फ़ायरवॉल दो अलग-अलग विक्रेताओं द्वारा प्रदान किए जाते हैं, तो इससे भी अधिक सुरक्षा होती है, क्योंकि इससे यह संभावना कम हो जाती है कि दोनों डिवाइस एक ही सुरक्षा भेद्यता से ग्रस्त हैं। उदाहरण के लिए एक विक्रेता के सिस्टम में उपस्थित एक सुरक्षा छेद दूसरे में होने की संभावना कम है। इस वास्तुकला की कमियों में से एक यह है कि इसे खरीदना और प्रबंधित करना दोनों ही अधिक महंगा है।[6] विभिन्न विक्रेताओं से विभिन्न फ़ायरवॉल का उपयोग करने की प्रथा को कभी-कभी गहराई (कंप्यूटिंग) में रक्षा के एक घटक के रूप में वर्णित किया जाता है।[7] सुरक्षा रणनीति।

डीएमजेड होस्ट

कुछ होम राउटर (कंप्यूटिंग) एक डीएमजेड होस्ट को संदर्भित करते हैं, जो-कई मामलों में-वास्तव में एक मिथ्या नाम है। एक होम राउटर डीएमजेड होस्ट आंतरिक नेटवर्क पर एक एकल पता (जैसे, IP पता) होता है, जिसमें सभी ट्रैफ़िक भेजे जाते हैं जो अन्यथा अन्य लैन होस्टों को अग्रेषित नहीं किए जाते हैं। परिभाषा के अनुसार, यह एक सच्चा डीएमजेड (डिमिलिट्राइज़्ड ज़ोन) नहीं है, क्योंकि राउटर अकेले होस्ट को आंतरिक नेटवर्क से अलग नहीं करता है। यही है, डीएमजेड होस्ट आंतरिक नेटवर्क पर अन्य होस्ट से कनेक्ट करने में सक्षम है, जबकि वास्तविक डीएमजेड के अंदर होस्ट को फ़ायरवॉल द्वारा आंतरिक नेटवर्क से कनेक्ट करने से रोका जाता है जो उन्हें अलग करता है जब तक फ़ायरवॉल कनेक्शन की अनुमति नहीं देता।

फ़ायरवॉल इसकी अनुमति दे सकता है यदि आंतरिक नेटवर्क पर कोई होस्ट पहले डीएमजेड के अंदर होस्ट से कनेक्शन का अनुरोध करता है। डीएमजेड होस्ट कोई भी सुरक्षा लाभ प्रदान नहीं करता है जो एक सबनेटवर्क प्रदान करता है और अधिकांशतः सभी पोर्ट्स को किसी अन्य फ़ायरवॉल / नेटवर्क एड्रेस ट्रांसलेशन डिवाइस पर अग्रेषित करने की एक आसान विधि के रूप में उपयोग किया जाता है। यह रणनीति (डीएमजेड होस्ट की स्थापना) का उपयोग उन प्रणालियों के साथ भी किया जाता है जो सामान्य फायरवॉलिंग नियमों या एनएटी के साथ ठीक से बातचीत नहीं करते हैं। ऐसा इसलिए हो सकता है क्योंकि समय से पहले कोई अग्रेषण नियम तैयार नहीं किया जा सकता है (उदाहरण के लिए अलग-अलग टीसीपी या यूडीपी पोर्ट नंबर, एक निश्चित संख्या या निश्चित सीमा के विपरीत)। इसका उपयोग नेटवर्क प्रोटोकॉल के लिए भी किया जाता है जिसके लिए राउटर के पास संभालने के लिए कोई प्रोग्रामिंग नहीं है (6in4 या GRE सुरंग प्रोटोटाइपिकल उदाहरण हैं)।

ता है (उदाहरण के लिए अलग-अलग टीसीपी या यूडीपी पोर्ट नंबर, एक निश्चित संख्या या निश्चित सीमा के

यह भी देखें

संदर्भ

  1. "नियंत्रण प्रणाली सुरक्षा DMZ". Official website of The Cybersecurity and Infrastructure Security Agency (CISA) for the Dept. of Homeland Security, USA. Retrieved 2020-06-09.
  2. "What is a DMZ and How does it Work?". Techtarget SearchSecurity. Retrieved 2020-06-09.
  3. Bradley Mitchell (27 August 2018). "कंप्यूटर नेटवर्किंग में विसैन्यकृत क्षेत्र". Retrieved 10 December 2018.
  4. 4.0 4.1 Jacobs, Stuart (2015). Engineering Information Security: The Application of Systems Engineering Concepts to Achieve Information Assurance. John Wiley & Sons. p. 296. ISBN 9781119101604.
  5. "परिधि फ़ायरवॉल डिजाइन". Microsoft Security TechCenter. Microsoft Corporation. Retrieved 14 October 2013.
  6. Zeltzer, Lenny (April, 2002). "Firewall Deployment for Multitier Applications"
  7. Young, Scott (2001). "एक DMZ डिजाइन करना". SANS Institute. p. 2. Retrieved 11 December 2015.


अग्रिम पठन