Реальная необходимоть двух зон DMZ (теория)?

Question

[Sergey]

Добрый день. В данный момент вникаю в технологии МЭ.
Суть вопроса такая:
Т.к. ресурсы бывают внешние (DMZ) и внутренние, необходимо защищать каждый от внешних нарушителей и соответственно, от внутренних.
Изучая теорию на просторах Интернета я узнал, что DMZ может быть как одна, так и 2.
Пример 1. Одна зона DMZ:

Весь входящий трафик фильтруется по банальному (быстрому) пакетному фильтру.
Далее, DMZ сеть подключена к основному МЭ (с функцией фильтра с отслеживанием соединений, URL-фильтрацией, IPS и прочими плюшками аппаратных МЭ).
Здесь защита внешних ресурсов понятна, но защита внутренних серверов как происходит, если они объединены в 1 сегмент.

Пример 2. Две зоны DMZ:

Здесь уже более понятно, имеются 2 зоны (внутренняя и внешняя), красные стрелки - куда трафик разрешен, синими - запрещен.

Собственно, сами вопросы:
1. Почему в теории указывается 1 зона DMZ, хотя защищать надо внутренние ресурсы и внешние?
2. В случаях, если указывается две зоны, то на каждую зону приходится свой (отдельный) МЭ. Разве нельзя обойтись одним (как изображено в примере 2).

Дорогие профессионалы своего дела, надеюсь на вашу помощь. Спасибо.

Answer 1

[res2001]

В вашем последнем рисунке по сути не 2 ДМЗ и ЛВС, а 3 сегмента ЛВС, ходящие через 2 фаервола, возможно с разными правами доступа к Интернет.
ДМЗ - правильно изображена на первом рисунке.
ДМЗ актуально для атак из вне. Если вам надо ограничить доступ к определенным сервера внутри ЛВС, то никто вам не мешает выделить их в отдельную сеть и защитить своим фаерволом. Но это уже не ДМЗ, а просто закрытый сегмент внутренней сети. Внутри своей сети можете городить какой угодно огород. Хотите разделяйте сети, хотите нет, хотите защищайте фаерволом и т.п. Главное не забывайте прописывать маршруты.

Answer 2

[Владимир Дубровин]

Я бы сказал, что может не просто быть 2 DMZ и больше, а вообще понятие DMZ постепенно начинает устаревать. В современной практике МСЭ, фильтры все чаще настраиваются индивидуально для каждого сервера в виде централизвоанно администрируемой политики, а для пользовательских хостов вообще используются виртуальные соединения точка-точка с авторизацией, шифрованием и политиками доступа + используются средства фильтрации на уровне системы. Т.е. фактически каждый хост с точки зрения экранирования можно рассматривать как отдельную зону. Причем фильтрация внутри хоста может быть не только по сетевым адресам и портам, а еще и по приложениям и пользователям, т.е. граница зоны безопасности с точки зрения экранирования может быть даже не на уровне хоста, а на уровне отдельного приложения или пользователя.

Answer 3

[chupasaurus]

1. Исходя из названия ДМЗ - зона без строгого контроля для внешнего траффика. С точки зрения наружнего МСЭ эта зона эквивалентна внешней сети, т.е. максимальная строгость. Поскольку ДМЗ и ЛВС защищать надо по-разному, то и указываются они отдельно.
2. Топология с одним МСЭ экраном для ДМЗ и ЛВС указана в вики (маршрутизатор с внешними каналами может и не фильтровать траффик вообще).