Добрый день. В данный момент вникаю в технологии МЭ.
Суть вопроса такая:
Т.к. ресурсы бывают внешние (DMZ) и внутренние, необходимо защищать каждый от внешних нарушителей и соответственно, от внутренних.
Изучая теорию на просторах Интернета я узнал, что DMZ может быть как одна, так и 2.
Пример 1. Одна зона DMZ:
Весь входящий трафик фильтруется по банальному (быстрому) пакетному фильтру.
Далее, DMZ сеть подключена к основному МЭ (с функцией фильтра с отслеживанием соединений, URL-фильтрацией, IPS и прочими плюшками аппаратных МЭ).
Здесь защита внешних ресурсов понятна, но защита внутренних серверов как происходит, если они объединены в 1 сегмент.
Пример 2. Две зоны DMZ:
Здесь уже более понятно, имеются 2 зоны (внутренняя и внешняя), красные стрелки - куда трафик разрешен, синими - запрещен.
Собственно, сами вопросы:
1. Почему в теории указывается 1 зона DMZ, хотя защищать надо внутренние ресурсы и внешние?
2. В случаях, если указывается две зоны, то на каждую зону приходится свой (отдельный) МЭ. Разве нельзя обойтись одним (как изображено в примере 2).
Дорогие профессионалы своего дела, надеюсь на вашу помощь. Спасибо.