DMZ là gì? DMZ Host IP Address là gì? Bài viết ngay sau đây MC&TT sẽ cung cấp đầy đủ các thông tin xoay quanh “khu vực phi quân sự” nằm giữa mạng nội bộ và mạng Internet. Bạn đọc hãy cùng tìm hiểu!
1. DMZ là gì?
DMZ là gì? Để giải thích cho khái niệm này thì trong lĩnh vực tin học, DMZ là vùng mạng trung lập giữa mạng nội bộ và mạng Internet. Vai trò của DMZ nhằm tăng cường bảo mật hệ thống và giảm thiểu các rủi ro từ các cuộc tấn công mạng.
Trong một hệ thống mạng, DMZ thường được sử dụng để đặt các máy chủ như web server, mail server hoặc các ứng dụng khác có thể được truy cập từ Internet. Các máy chủ này được đặt trong DMZ để đảm bảo rằng các cuộc tấn công từ bên ngoài chỉ có thể tác động tới DMZ và không thể tiếp cận các máy chủ nội bộ trong mạng nội bộ.
DMZ là vùng mạng trung lập giữa mạng nội bộ và mạng Internet
2. Tại sao mạng DMZ lại quan trọng?
Tại sao mạng DMZ lại quan trọng, bạn đọc có thể tham khảo một loạt các lợi ích DMZ mang tới ngay sau đây:
- Triển khai các dịch vụ trực tuyến: DMZ cho phép triển khai các dịch vụ trực tuyến như trang web, email, FTP, v.v... mà không ảnh hưởng đến mạng nội bộ. Các dịch vụ này được đặt trong DMZ và chỉ cho phép truy cập từ bên ngoài thông qua Internet, giảm thiểu rủi ro đối với hệ thống mạng nội bộ.
- Bảo vệ hệ thống mạng: DMZ giúp bảo vệ hệ thống mạng khỏi các cuộc tấn công từ bên ngoài. Bức tường lửa DMZ giúp kiểm soát lưu lượng mạng truy cập vào các dịch vụ và ứng dụng được đặt trong DMZ, chỉ cho phép các kết nối được chấp nhận và ngăn chặn các kết nối độc hại.
- Cung cấp dịch vụ cho đối tác và khách hàng: DMZ cung cấp một môi trường an toàn để cung cấp các dịch vụ cho đối tác và khách hàng từ xa. Các dịch vụ được đặt trong DMZ và được kiểm soát bởi bức tường lửa để đảm bảo rằng chỉ những kết nối hợp lệ mới được phép truy cập.
- Quản lý truy cập: DMZ cho phép quản lý truy cập vào các dịch vụ và ứng dụng từ bên ngoài. Quản trị viên có thể cấu hình bức tường lửa DMZ để kiểm soát truy cập vào các dịch vụ và ứng dụng, chỉ cho phép các kết nối cụ thể và ngăn chặn các kết nối độc hại.
3. Cấu trúc của DMZ
Cấu trúc của DMZ thường bao gồm ba phần chính:
- Máy chủ DMZ: Là máy chủ được đặt trong DMZ và chứa các dịch vụ hoặc ứng dụng có thể được truy cập từ Internet như Web Server, Mail Server, DNS Server, và nhiều dịch vụ khác. Tuy nhiên, các máy chủ này chỉ được phép truy cập vào mạng nội bộ trong trường hợp cần thiết.
- Bức tường lửa DMZ: Là bức tường lửa được đặt trên DMZ, có chức năng lọc các gói tin vào và ra khỏi DMZ để đảm bảo rằng chỉ các gói tin hợp lệ và được phép truy cập mới được truyền đi. Bức tường lửa trong mạng DMZ được cấu hình để chỉ cho phép các kết nối xác định được thiết lập giữa các máy chủ trong DMZ và các máy chủ trong mạng nội bộ.
- Máy chủ bảo mật: Là máy chủ được đặt trong mạng nội bộ, có vai trò giám sát và quản lý các hoạt động trên DMZ. Máy chủ bảo mật thường được cài đặt các phần mềm quản lý sự kiện an ninh (SIEM) và hệ thống phân tích nhật ký để theo dõi các hoạt động trên DMZ và phát hiện các mối đe dọa tiềm năng. Ngoài ra, máy chủ bảo mật còn có thể được cấu hình để gửi cảnh báo đến quản trị viên ngay khi phát hiện các cuộc tấn công đã vượt qua tường lửa của DMZ.
Cấu trúc của DMZ
DMZ có hai cách kiến trúc thông dụng hiện nay:
- Tường lửa đơn: DMZ với thiết kế tường lửa đơn yêu cầu ba giao diện mạng trở lên. Đầu tiên là mạng bên ngoài, kết nối kết nối internet công cộng với tường lửa. Mạng thứ hai tạo thành mạng nội bộ, trong khi mạng thứ ba được kết nối với DMZ. Các quy tắc khác nhau giám sát và kiểm soát lưu lượng được phép truy cập DMZ và hạn chế kết nối với mạng nội bộ.
- Tường lửa kép: Triển khai hai tường lửa có DMZ giữa chúng thường là một tùy chọn an toàn hơn. Tường lửa đầu tiên chỉ cho phép lưu lượng bên ngoài đến DMZ và tường lửa thứ hai chỉ cho phép lưu lượng đi từ DMZ vào mạng nội bộ. Kẻ tấn công sẽ phải thỏa hiệp cả hai tường lửa để có quyền truy cập vào mạng LAN của tổ chức.
4. Cách thức hoạt động của DMZ
DMZ hoạt động như một vùng đệm giữa internet công cộng và mạng riêng. Mạng con DMZ được triển khai giữa hai tường lửa . Sau đó, tất cả các gói mạng gửi đến sẽ được sàng lọc bằng tường lửa hoặc thiết bị bảo mật khác trước khi chúng đến các máy chủ được lưu trữ trong DMZ.
Nếu các cuộc tấn công của tin tặc vượt qua tường lửa đầu tiên, thì chúng phải có quyền truy cập trái phép vào các dịch vụ trong DMZ trước khi có thể gây ra bất kỳ thiệt hại nào đối với mạng nội bộ. Cuối cùng, trong trường hợp các dịch vụ trong DMZ bị xâm nhập thành công, tin tặc vẫn phải vượt qua bức tường lửa cuối cùng của mạng nội bộ trước khi có thể tiếp cận các tài nguyên hay dữ liệu nhạy cảm của doanh nghiệp.
Những kẻ tấn công có thể tấn công vào kiến trúc DMZ an toàn nhất. Tuy nhiên một khi cuộc tấn công diễn ra, báo động sẽ được kích hoạt và thông báo cho các chuyên gia bảo mật để kịp thời ngăn chặn các cuộc tấn công.
Để giải thích một cách đơn giản thì cách thức hoạt động của DMZ là sử dụng các máy chủ Mail, Web và tường lửa Firewall để cô lập các dịch vụ và ứng dụng được truy cập từ Internet và giữ an toàn cho mạng nội bộ. Nó giúp ngăn chặn các cuộc tấn công mạng và giảm thiểu các rủi ro đối với hệ thống mạng.
5. Lợi ích của việc sử dụng DMZ
DMZ mang tới những lợi ích tiêu biểu có thể kể đến như:
- Cho phép kiểm soát truy cập: Các doanh nghiệp có thể cung cấp cho người dùng quyền truy cập vào các dịch vụ bên ngoài phạm vi mạng của họ thông qua internet công cộng. DMZ cho phép truy cập vào các dịch vụ này trong khi triển khai phân đoạn mạng để khiến người dùng trái phép khó tiếp cận mạng riêng hơn. DMZ cũng có thể bao gồm một máy chủ proxy, tập trung luồng lưu lượng truy cập nội bộ và đơn giản hóa việc giám sát và ghi lại lưu lượng truy cập đó.
- Ngăn chặn do thám mạng: Bằng cách cung cấp một phân khu giữa internet và mạng nội bộ, DMZ ngăn chặn những kẻ tấn công thực hiện công việc do thám mà tin tặc thực hiện để tìm kiếm các mục tiêu tiềm năng. Các máy chủ trong DMZ được hiển thị công khai nhưng được cung cấp một lớp bảo mật khác bằng tường lửa để ngăn kẻ tấn công nhòm ngó các dữ liệu trong mạng nội bộ. Ngay cả khi hệ thống DMZ bị xâm nhập, tường lửa nội bộ sẽ phân tách mạng nội bộ ra khỏi DMZ để giữ an toàn cho các dữ liệu nhạy cảm và gây khó khăn cho việc do thám bên ngoài.
- Ngăn chặn giả mạo Giao thức Internet (IP): Những kẻ tấn công cố gắng tìm cách giành quyền truy cập vào hệ thống bằng cách giả mạo địa chỉ IP và mạo danh một thiết bị đã được phê duyệt đã đăng nhập vào mạng. DMZ có thể phát hiện ra và ngăn chặn những nỗ lực giả mạo như vậy với dịch vụ xác minh tính hợp pháp của địa chỉ IP. DMZ cũng cung cấp phân đoạn mạng để tạo không gian chia sẻ lưu lượng dữ liệu mà tổ chức và các dịch vụ công cộng có quyền truy cập từ mạng nội bộ.
Lợi ích của việc sử dụng DMZ
6. Cách thiết lập DMZ Host Ip Address
6.1 Đối với Bộ định tuyến không dây TP - Link 3G (GUI xanh lá)
Bước 1: Đăng nhập vào trang quản lý
Mở trình duyệt web và truy cập vào địa chỉ IP của thiết bị. Người dùng có thể sử dụng một trong ba địa chỉ mặc định là: 192.168.1.1, 192.168.0.1 và 192.168.0.254).
Bước 2: Nhập tên người dùng và mật khẩu mặc định được ghi ở phía sau thiết bị router hoặc modem. Tiếp tục nhấn Enter để đăng nhập vào trang chủ cài đặt.
Bước 3: Tại menu bên trái, lựa chọn Chuyển tiếp (Forwarding) > DMZ > Bật/Tắt (Enable - Disable).
Bước 4: Nhập địa chỉ IP của thiết bị chủ (Ví dụ 192.168.0.100), sau đó nhấn Save.
Đối với các dòng router có GUI xanh nước biển hoặc dòng ADSL, các bước để cài đặt DMZ Host IP Address cũng tương tự với dòng thiết bị router 3G có GUI xanh lá đã được chia sẻ như trên.
6.2 Đối với bộ định tuyến không dây ADSL (GUI màu cam)
Bước 1: Đăng nhập vào trang quản lý
Mở trình duyệt web và truy cập vào địa chỉ IP của thiết bị. Người dùng có thể sử dụng một trong ba địa chỉ mặc định là: 192.168.1.1, 192.168.0.1 và 192.168.0.254
Bước 2: Nhập tên người dùng và mật khẩu mặc định được ghi ở phía sau thiết bị router hoặc modem. Tiếp tục nhấn Enter để đăng nhập vào trang chủ cài đặt.
Bước 3: Lựa chọn thiết lập nâng cao (Advanced Setup) > Lựa chọn mục NAT > Chuyển tiếp đến DMZ và bật tính năng này lên bằng cách tick chọn vào ô Enable.
Bước 4: Nhập địa chỉ IP của thiết bị chủ (Ví dụ 192.168.0.100), sau đó nhấn Save.
7. Ứng dụng thực tế của DMZ
7.1 Ứng dụng DMZ trong dịch vụ điện toán đám mây
Dịch vụ điện toán đám mây có thể sử dụng bảo mật kết hợp bằng cách triển khai DMZ giữa mạng ảo hoặc mạng đám mây và cơ sở hạ tầng mạng tại chỗ của doanh nghiệp. Các tổ chức thường sử dụng chiến lược này khi một phần ứng dụng của họ được chạy nội bộ và một phần của chúng chạy trên mạng ảo. Ngoài ra, DMZ được sử dụng để kiểm tra lưu lượng gửi đi hoặc kiểm soát lưu lượng chi tiết giữa các mạng ảo và trung tâm dữ liệu tại chỗ.
7.2 Mạng gia đình
DMZ cũng có thể hữu ích trong mạng gia đình trong đó máy tính và các thiết bị khác được kết nối với internet bằng cấu hình mạng LAN và bộ định tuyến không dây băng thông rộng. Nhiều bộ định tuyến dân dụng cung cấp các tùy chọn DMZ hoặc cấu hình máy chủ DMZ để người dùng dễ dàng thiết lập và sử dụng
7.3 Hệ thống điều khiển công nghiệp (ICS)
ICS hay Industrial Control System là hệ thống điều khiển công nghiệp được tạo ra từ sự kết hợp giữa thiết bị kỹ thuật, phần mềm quản lý điều hành, kiểm soát các chương trình sản xuất và vận hành tại xí nghiệp. Thiết bị công nghiệp đã và đang được hợp nhất với công nghệ thông tin (CNTT), giúp môi trường sản xuất thông minh hơn và hiệu quả hơn.
Phần lớn các thiết bị công nghệ vận hành kết nối với internet không được thiết kế để xử lý các cuộc tấn công giống như cách các thiết bị CNTT. Đó là lý do tại sao DMZ cần thiết với các hệ thống điều khiển công nghiệp khi có thể cung cấp một loạt các giải pháp để ngăn cản khả năng tin tặc hay kẻ tấn công vào lỗ hổng giữa kết nối của thiết bị công nghệ vận hành và các thiết bị kỹ thuật nhằm đánh cắp dữ liệu.
Tổng kết
Trên đây là tổng hợp tất cả các thông tin và kiến thức xoay quanh DMZ là gì. Hi vọng rằng bạn đọc đã có đầy đủ những kiến thức cần thiết để hiểu rõ khái niệm và vai trò của mạng DMZ trong việc bảo vệ mạng nội bộ gia đình, doanh nghiệp khỏi các cuộc tấn công mạng.