Distinzione tra extranet e DMZ [chiuso]


8

Ora sto leggendo intranet, extranet, DMZ e VPN, e avrei bisogno di alcuni chiarimenti relativi a extranet e DMZ. Comprendo che si tratta di diversi tipi di concetti: extranet consente un accesso limitato ad alcune risorse della rete Intranet, mentre DMZ è una sottorete che si trova tra Internet e Intranet e ospita i servizi esterni. Tuttavia, mi piacerebbe sapere qual è la loro distinzione in pratica in una configurazione normale? L' articolo di Wikipedia sulle extranet afferma che le extranet sono simili alle DMZ perché utilizzate per lo stesso scopo (fornire accesso ad alcuni servizi / risorse senza esporre l'intera intranet). L'articolo afferma inoltre che una extranet fa parte di una VPN e questo articolo TechNetafferma inoltre che l'accesso extranet è spesso implementato in modo simile all'accesso intranet remoto, ad esempio con una VPN. L'articolo di TechNet afferma inoltre che comunemente l'extranet è ospitata all'interno della DMZ. Questo articolo di Pearson dice "Sebbene [la DMZ] sia tecnicamente situata all'interno della intranet, [può] servire anche come extranet". Questo è leggermente confuso.

Considera questo scenario: un'azienda ha un sito Web B2C ospitato nella DMZ. È possibile accedere al sito Web da qualsiasi luogo, ma richiede l'autenticazione dell'utente. L'app Web sottostante ha il suo database all'interno della Intranet e interagisce anche con alcuni servizi Web ospitati all'interno della Intranet (ovvero accede alle risorse Intranet). Per come la vedo io, il sito Web offre effettivamente un accesso limitato alla rete intranet. Ma può essere considerato un extranet? Se prendiamo letteralmente la definizione di Wikipedia di una extranet - "Una extranet è una rete di computer che consente l'accesso controllato dall'esterno della intranet di un'organizzazione" - Penso che possa farlo.

Diciamo che quanto sopra non può essere considerato un extranet. E se cambiassimo leggermente lo scenario e dicessimo che è un sito Web B2B, in cui l'accesso è ad esempio limitato alle connessioni provenienti da un partner commerciale specifico (ad esempio utilizzando la VPN da sito a sito). In questo caso è sicuramente una extranet, giusto? In tal caso, la differenza tra i servizi Extranet e qualsiasi altro servizio ospitato nella DMZ è semplicemente la limitazione dell'accesso?


7
Il mio consiglio è di non impantanarsi in dettaglio - anche all'interno delle aziende queste definizioni variano. Se aiuta, raramente qui ho la frase extranet: la maggior parte delle persone dichiara qualcosa di fronte al pubblico (anche se è limitato da password) o interna. La DMZ è semplicemente un concetto di rete per quanto riguarda i firewall e la sicurezza: è possibile ospitare un sito Web di fronte alla DMZ, nella DMZ o dietro la DMZ ed è ancora un sito Web esterno se è possibile accedervi da Internet.
Dan,

@Dan, non mi sarei bloccato con questo se fosse la vita reale, vedi il mio commento alla risposta di MDMarra. Forse proverò ad evitare di menzionare del tutto le extranet ...
Markus Yrjölä il

Risposte:


14

Queste sono distinzioni accademiche. Nel mondo reale, troverai una combinazione di tutti questi concetti con termini diversi.

In alcune organizzazioni, una DMZ ha una connessione di rete ISP separata e non ha accesso alle risorse interne. In altre organizzazioni, nella DMZ sono presenti macchine unite al dominio che possono comunicare con un insieme limitato di macchine interne. A volte interno e DMZ hanno firewall separati. A volte hanno interfacce separate sullo stesso firewall.

È importante sapere perché qualcuno dovrebbe usare una extranet o una DMZ, perché questi sono i concetti di sicurezza che contano. Da lì, puoi fare una scelta su come consentire l'accesso a determinate risorse. Ciò che viene effettivamente chiamato non ha importanza. In alcuni casi, sta spaccando i peli.


Divertente che tu abbia iniziato la tua risposta in quel modo, dato che ho posto questa domanda come parte della ricerca che sto facendo per la tesi del mio maestro. Quindi, sfortunatamente, devo diventare accademico con queste cose. Vabbè, suppongo che dovrò solo provare a definire i termini in qualche modo e fornirgli qualche ragionamento.
Markus Yrjölä,

7

Non credo di aver recentemente sentito parlare di una extranet al di fuori dei libri di testo e delle aule.

Una DMZ è una topologia di rete comune con un segmento di rete che è separato dai firewall dalla rete interna e da reti esterne non attendibili (ovvero Internet ).

Al contrario , Extranet , se è effettivamente incluso nella progettazione della rete, implica in qualche modo che è connesso alla rete VPN o alle reti private effettive anziché all'intera rete Internet.

Molte aziende dispongono di più reti DMZ e considerano una rete con un gateway / router VPN o un'interconnessione privata solo un'altra DMZ.

Più spesso un'extranet non è / non era tanto una topologia di rete ma più implicitamente un servizio separato dalla rete interna che è fornito per un insieme limitato di utenti, società e reti esterne in qualche modo fidati, conosciuti e / o autenticati.

Dal punto di vista del networking, il tuo server web dovrebbe risiedere nella rete DMZ. Il fatto che il tuo sito Web consenta ai rivenditori di accedere, sfogliare il catalogo, visualizzare le scorte e ordinare, significherebbe che il tuo sito Web verrà chiamato extranet dai dipartimenti di marketing. Il costo di sviluppo andrebbe da $$ a $$$$.


1
Grazie, questo ha chiarito alcune cose e si abbina abbastanza bene a come l'ho capito da solo. Di recente ho sentito persone parlare di extranet al lavoro, quindi apparentemente non è un termine morto.
Markus Yrjölä,

2

Per me, lo riduco alla politica di sicurezza. Abbiamo scritto la politica secondo cui nessun sistema accessibile al pubblico avrà accesso in entrata alla rete Intranet a meno che non sia stata autorizzata un'eccezione specifica. Abbiamo anche una politica secondo cui la DMZ non avrà accesso in entrata alla nostra intranet e che la nostra extranet ha. Ad esempio, disponiamo di un server Web con database back-end che deve sincronizzare i dati con un database basato su Intranet. Mettiamo il web server su DMZ, il database back-end su Extranet e si sincronizza con il database intranet di produzione. Quindi, per la valutazione della fiducia, la rete pubblica sarebbe 0, DMZ sarebbe 1, Extranet sarebbe 2 e Intranet sarebbe 3.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.