İnternetten kurumsal ağ hizmetlerine erişimi düzenleme seçeneklerine genel bakış. Bir DMZ (Demilitarized Zone) Kurmak için En İyi Dört Uygulama

DMZ veya Askerden Arındırılmış Bölge (DMZ) Harici bir ağdan gelen isteklere yanıt veren sunucuların özel bir ağ segmentinde yer aldığı ve ana ağ segmentlerine erişimin kısıtlandığı bir ağ güvenlik teknolojisidir. güvenlik duvarı (güvenlik duvarı), bölgede bulunan hizmetlerden birinin hacklenmesi sırasında hasarı en aza indirmek için.

Tek güvenlik duvarı yapılandırması

Tek güvenlik duvarı şeması

Bu şemada DMZ dahili ağ ve harici ağ, ağlar arasındaki bağlantıları kontrol eden yönlendiricinin (güvenlik duvarı görevi gören) farklı bağlantı noktalarına bağlanır. Böyle bir planın uygulanması kolaydır, yalnızca bir ek bağlantı noktası gerektirir. Ancak yönlendiricinin güvenliği ihlal edilirse (veya yanlış yapılandırılırsa), ağ doğrudan harici ağdan etkilenir.

Çift güvenlik duvarı yapılandırması

İle yapılandırılmış 2 DMZ güvenlik duvarı biri harici ağdan gelen bağlantıları kısıtlayan iki yönlendiriciye bağlanır. DMZ ve ikincisi bağlantıları izler DMZ içinde Dahili ağ... Böyle bir şema, herhangi bir güvenlik duvarının veya harici ağ ile etkileşime giren sunucuların hacklenmesinin sonuçlarını en aza indirir - dahili güvenlik duvarı saldırıya uğrayana kadar, saldırganın dahili ağa rastgele erişimi olmayacaktır.

Üç güvenlik duvarı yapılandırması

nadir var 3 güvenlik duvarı ile yapılandırma... Bu konfigürasyonda, ilki harici ağdan gelen istekleri kabul eder, ikincisi DMZ'nin ağ bağlantılarını kontrol eder ve üçüncüsü dahili ağın bağlantılarını kontrol eder. Bu yapılandırmada genellikle DMZ ve iç ağ arkasında gizlidir NAT (Ağ Adresi Çevirisi).

Biri ana Özellikler DMZ sadece dahili güvenlik duvarındaki trafik filtrelemesi değil, aynı zamanda dahili ağdaki aktif ekipman ile etkileşimde bulunurken güçlü kriptografinin zorunlu olması ve DMZ... Özellikle, sunucudan gelen bir isteğin şu anda işlenmesinin mümkün olduğu durumlar olmamalıdır. DMZ yetkilendirme olmadan. DMZ, çevre içindeki bilgilerin içeriden sızıntıya karşı korunmasını sağlamak için kullanılıyorsa, dahili ağdan gelen kullanıcı isteklerini işlemek için benzer gereksinimler uygulanır.

Bu yazıda size ne olduğunu anlatacağım DMZ ana bilgisayarı veya yönlendiricideki bir sunucu. Ayrıca DMZ işlevini kullanarak bağlantı noktalarının nasıl açılacağı. Bu makaleyi zaten okuduğunuza göre, muhtemelen sanal sunucunun ne olduğunu ve neden yapmanız gerektiğini zaten biliyorsunuzdur. O zaman değilse . Kısacası, bilgisayarınızdan diğer İnternet kullanıcılarıyla dosya alışverişi yaparken yönlendirici üzerinde bir bağlantı noktası açmanız gerekir. Örneğin, bir ev bilgisayarında çalışan bir FTP sunucusunun veya bir torrent istemcisinin veya bir ağ oyununun çalışması için. Bu yazıda, TP-Link, Asus, Zyxel Keenetic ve Tenda yönlendiricileri örneğini kullanarak sözde DMZ ana bilgisayarı kullanarak tüm bağlantı noktalarını bir kerede nasıl açacağımızı öğreneceğiz.

DMZ("Demilitarized zone"), belirli bir cihazdaki tüm bağlantı noktalarını kesinlikle açabileceğiniz bir teknolojidir.

Yönlendiricimde DMZ sunucusunu nasıl kullanırım?

Yukarıda açıklanan yöntemleri kullanarak, ağdaki bir cihaz için yalnızca bir bağlantı noktası açmak için bir yönlendirici kullanıyoruz. Bir DMZ ana bilgisayarı aracılığıyla birden çok bağlantı noktası açılabilir. Ancak, bu yalnızca aşırı durumlarda yapılmalıdır, çünkü bu durumda cihaz İnternet'ten erişime tamamen açıktır. Ancak, bazen, örneğin bir kayıt şirketi aracılığıyla bağlanan CCTV kameralarının görüntülenmesini yapılandırmak veya bir oyun sunucusunu düzenlemek için bunu yapmak gerekir.

Bir örnek vereceğim - genellikle bir video gözetim kaydediciyi bağlarken, varsayılan olarak 80 numaralı bağlantı noktası kullanılır ve ayarlarda bunu değiştirmek imkansızdır. Aynı zamanda yönlendirici üzerinde bu bağlantı noktası da meşgul ve iletmek mümkün olmayacak. Bu durumda, yönlendiricideki DMZ ana bilgisayarı kurtarmaya gelir.

Tenda yönlendiricide sanal DMZ sunucusu

Tenda wifi yönlendiricilerde port açma fonksiyonuna " Sanal sunucu ". Yönetici panelinde "Ek ayarlar - Sanal sunucu" bölümünde bulabilirsiniz.

Ancak öncelikle port yönlendirme yapmak istediğiniz bilgisayara statik bir IP adresi atamanız gerekir, aksi takdirde DHCP üzerinden bir sonraki açışınızda yönlendirici ona farklı bir adres atayabilir ve tüm ayarlarımız kaybolacaktır. Bunu nasıl yapacağınızı okuyun.

Bilgisayar için belirli bir adres ayrıldığında, "Dahili IP adresi" hücresindeki "Sanal sunucu" bölümüne girin.

• Yerel ağ bağlantı noktası - açılır listeden ihtiyaçlarımıza en uygun olanı listeden seçin - ftp, http, pop3, SMTP vb.
• WAN bağlantı noktası - önceki durumda olduğu gibi belirtin
• Protokol - TCP ve UDP'yi koyun

Ve "Ekle" düğmesini tıklayın

Ayarları kaydettikten sonra Tenda router üzerinden port açılacak ve bilgisayardaki belirli kaynaklara internetten kolaylıkla erişim sağlayabileceğiz.

Tenda wifi yönlendiricideki DMZ ana bilgisayarının etkinleştirilmesi “ Ek ayarlar". Burada her şey basit - geçiş anahtarını açık konuma getiriyoruz ve tüm bağlantı noktalarını açmak istediğimiz bilgisayarın veya diğer aygıtın IP adresini giriyoruz

TP-Link yönlendiricide DMZ kurulumu

TP-Link yönlendiricide DMZ işlevi Yeni sürüm web arayüzü, " bölümündeki "Gelişmiş ayarlar" bölümünde bulunur. NAT yönlendirme - DMZ". Burada her şey basit - bir onay işaretiyle açın ve tüm bağlantı noktalarının açılacağı bilgisayarın IP adresini belirtin.

Asus yönlendiricideki DMZ ana bilgisayarı

yönlendiricide Asus özelleştirmesi Ana bilgisayar DMZ aynıdır, ancak menünün ana bölümünde bulunur " internet»

DMZ Zyxel Keenetic'i kurma

Zyxel Keenetic yönlendirici de benzer bir işleve sahiptir, ancak buna DMZ adı verilmez, ancak "bölümünde gizlidir" Güvenlik - Güvenlik Duvarı«.

İlk olarak, burada erişime izin vermek istediğimiz ağ türünü seçiyoruz - bu Ev Ağı ( ev ağı)
Ve sonra "Kural Ekle" düğmesine tıklayın

Ardından, bir öğe - "hedef IP adresi" dışında her şeyi varsayılan olarak bırakırız. Burada "Bir" seçeneğini seçmeniz ve metin alanına tüm bağlantı noktalarını açmak istediğiniz bilgisayarın IP adresini yazmanız gerekir. Lütfen "Protokol" sütununda artık TCP'yi seçtiğimizi unutmayın.

Her şeyi aşağıdaki resimdeki gibi yapıyoruz:

Güncellenen Keenetic hattında DMZ ayrıca “ güvenlik duvarı". Buraya tıklayın "Kural Ekle"

Bir kene ile açın ve her şeyi olduğu gibi yazın eski versiyon Zyxel

Ufkunuzu genişletmek için Seixel firmasının talimatlarını da okumanızı tavsiye ederim.

Bir yönlendiricide DMZ Ana Bilgisayarı kurmayla ilgili video

DMZ kısaltması, Askerden Arındırılmış Bölge, yani "Demilitarized Zone" anlamına gelir. Aniden ve bunun yönlendirici ile ne ilgisi olduğu net değil. Ancak, aslında, bu bazı durumlarda çok yararlı bir şeydir. Bu makalede tartışılacak olan budur.

DMZ'nin amacı ve kullanımı

DMZ, İnternet'e doğrudan erişim gerektiren hizmetler ve programlar için oluşturulmuş bir ağ kesimidir. Torrentler, anlık mesajlaşma programları, çevrimiçi oyunlar ve diğer bazı programlar için doğrudan erişim gereklidir. Ayrıca, bir video gözetim kamerası kurmak ve buna İnternet üzerinden erişmek istiyorsanız, onsuz yapamazsınız.

Programı çalıştıran bilgisayar yönlendiriciyi atlayarak doğrudan İnternet'e bağlanırsa, DMZ'yi kullanmaya gerek yoktur. Ancak bağlantı bir yönlendirici aracılığıyla yapılırsa, programa İnternet'ten "ulaşmak" mümkün olmayacaktır, çünkü tüm istekler yönlendirici tarafından alınacak ve yerel ağ içinde iletilmeyecektir.

Bu sorunu çözmek için genellikle yönlendiricideki bağlantı noktası iletme kullanılır. Bu web sitemizde. Ancak, bu her zaman uygun değildir ve bazı insanlar DMZ'yi yapılandırmayı tercih eder. Yönlendiricinizde DMZ'yi yapılandırırsanız ve örneğin bir oyun sunucusu çalıştıran bir PC veya bir IP kameranın bağlı olduğu bir video kaydedici gibi istediğiniz ağ düğümünü eklerseniz, bu düğüm harici ağdan sanki bir doğrudan internete bağlı... Ağınızdaki diğer cihazlar için hiçbir şey değişmeyecek - eskisi gibi çalışacaklar..

Tüm bu ayarlara dikkat etmelisiniz. Hem port yönlendirme hem de DMZ potansiyel bir güvenlik açığı olduğundan. Güvenliği artırmak için, büyük şirketler genellikle DMZ için ayrı bir ağ oluşturur. DMZ ağından diğer bilgisayarlara erişimi engellemek için ek bir yönlendirici kullanılır.

Bir yönlendiricide DMZ kurma

Yönlendiriciler, DMZ'ye yalnızca bir cihazın eklenmesine izin verir. Yönlendirici "beyaz" bir IP adresi almalıdır. Sadece bu durumda, ona erişmek mümkün olacaktır. küresel ağ ... Bununla ilgili bilgi için internet servis sağlayıcınıza başvurun. Bazı sağlayıcılar ücretsiz olarak harici bir IP adresi sağlar, ancak çoğu zaman bu hizmet için ek bir ücret alınır.

Statik bir IP adresi ayarlama

DMZ'ye yalnızca statik IP adresine sahip bir bilgisayar eklenebilir. Bu nedenle, yaptığımız ilk şey onu değiştirmek. Bunu yapmak için özellikleri açın ağ bağlantısı ve TCP / IP ayarlarında, ağınızın adres aralığında statik bir IP adresi yazıyoruz. Örneğin, yönlendiricinizin IP'si 192.168.0.1 ise, bilgisayar için 192.168.0.10 belirtebilirsiniz. Varsayılan alt ağ maskesi 255.255.255.0'dır. Ve "Gateway" alanında yönlendiricinizin adresini belirtmeniz gerekir.

Lütfen bilgisayara verilen IP adresinin dağıtılan adres aralığında olmaması gerektiğini unutmayınız.

Bu, bilgisayar kurulumunu tamamlar ve yönlendirici ayarlarına geçebilirsiniz.

Yönlendiriciyi yapılandırma

İlk adım, varsayılan olarak her zaman devre dışı bırakıldığından, yönlendiricide DMZ'yi etkinleştirmektir.

Cihaz web arayüzünde ilgili menü öğesini buluyoruz:

• Açık Asus yönlendiriciler istenen sekmeye DMZ denir.
• Açık TP-Link yönlendiricileri"Yönlendirme" öğesini açın ve içinde bir DMZ alt öğesi olacaktır.
• D-Link'te "Güvenlik Duvarı" öğesini arayın.

Her durumda, ayarlar sekmesinde "Etkinleştir" kutusunu işaretlemeniz gerekir. Ve yanında "DMZ Host Adresi" veya "Görünür İstasyon Adresi" adlı bir alan bulun (yönlendirici modeline bağlı olarak başka seçenekler olabilir). Bu alana, DMZ'ye eklenmesi gereken bilgisayarın veya diğer cihazın statik adresini girin. Bizim durumumuzda, bu 192.168.0.10'dir.

Ayarları kaydedin ve yönlendiriciyi yeniden başlatın. Hepsi bu kadar: seçilen bilgisayardaki tüm bağlantı noktaları açık. Gelen bağlantıları kullanan herhangi bir program, doğrudan ağa gittiğini düşünecektir. Diğer tüm programlar normal şekilde çalışacaktır.

Aşağıda, İngilizce arayüzlü bir yönlendirici yapılandırma örneği verilmiştir.

DMZ oluşturma uygun yol işi basitleştirmek gerekli programlar ancak unutulmamalıdır ki, açık Erişim bilgisayara ağ saldırıları ve virüs bulaşması riskini artırır.

Bu nedenle, DMZ ana bilgisayarı olarak kullanılan cihaza bir güvenlik duvarı ve virüsten koruma yazılımı yüklediğinizden emin olun.

Yönlendiricideki DMZ - Bu, yönlendiricinin yerel ağından belirli bir IP için tüm harici bağlantı noktalarını açmanıza izin veren bir işlevdir. Genellikle uygulamak için kullanılır uzaktan erişim yönlendiricinin arkasında bulunan belirli bir cihaza. Özellikle sıklıkla, DMZ herhangi bir yerden erişim için kullanılır. puan İnternet'ten IP kameralara veya DVR'ye, onlar. video gözetimi için.

Birçok Wi_Fi yönlendirici, harici bir ağdan yerel ağlarındaki cihazlara erişim sağlama işlevine sahiptir (DMZ ana bilgisayar modu, ayrıca açık ana bilgisayardır). Bu modda, yerel ağdaki bir cihazın (bilgisayar, video kaydedici, IP kamera vb.) tüm portları açıktır. Bu, DMZ'nin kanonik tanımıyla pek uyuşmuyor, çünkü açık portlar dahili ağdan ayrılmaz. Yani, DMZ ana bilgisayarı dahili ağdaki kaynaklara serbestçe bağlanabilirken, kurallı DMZ'den dahili ağa bağlantılar, onları ayıran güvenlik duvarı tarafından engellenir, yani. güvenlik açısından, çözüm en iyisi değil. Bunun, başka bir yerel ağdaki cihaza erişimi düzenlemenin yollarından sadece biri olduğu unutulmamalıdır. Basit bağlantı noktası yönlendirme de popülerdir. Ayrıca hemen hemen tüm modern ve çok fazla olmayan yönlendirici tarafından da desteklenir. Ama önemli bir fark var. Herhangi bir okul çocuğu DMZ'yi kurmakla başa çıkabilir, ancak bunu ilk kez yapan bir kişi için bağlantı noktası yönlendirme o kadar kolay değildir.

DMZ hepsi bir arada bir çözümdür ve kullanımı birkaç kolay adım gerektirir. Örneğin, İnternet'ten DVR'ye erişimi uygularken şunlara ihtiyacınız vardır:

1. DMZ yönlendirici ayarlarında DVR IP'sini girin
2. Yönlendirici, sağlayıcıdan kalıcı bir IP almalı veya DDNS kullanılmalıdır

DMZ neden kalıcı bir IP adresi gerektiriyor ve neden DDNS bunu değiştirebilir?

Burada her şey basit. Sağlayıcı tarafından yönlendiricinize farklı IP adresleri atanmışsa, yönlendiricinizin şu anda DDNS hizmetini kullanarak hangi IP'ye sahip olduğunu öğrenebilirsiniz. Ve cihazınıza uzaktan bağlanmak için aynı IP adresini bilmeniz gerekir. DDNS - kullanıcıların, kullanıcının cihazıyla ilişkilendirilecek bir alt alan adı almasına olanak tanır. Bu alt alanı bildiğiniz için endişelenmenize gerek kalmayacak, IP yerine kullanacaksınız. Ancak, bir sağlayıcıdan kalıcı IP almak hem daha basit hem daha güvenlidir, ancak daha pahalıdır :)

Ne kadar basit olduğunu görüyorsun. Bu, DMZ'nin rahatlığıdır. Başka bir artı, geçerli bir DVR için hangi bağlantı noktasının seçileceğini bilmeden bir yönlendirici (yönlendirici) yapılandırabilme yeteneğidir. Ve sonuç olarak, yönlendirici ayarlarından bağımsız olarak erişim bağlantı noktasının daha fazla değiştirilmesi.

Bir yönlendirici aracılığıyla bağlantı noktası iletme

Bir bütün olarak port yönlendirme hakkında sadece iki kelime. Ev yönlendiricilerinde uygulandığı formdaki DMZ'nin, bağlantı noktası iletme teriminden daha sonra ortaya çıkmadığı gerçeği olmasaydı, bağlantı noktası iletme özel bir DMZ durumu olarak adlandırılabilirdi. Birçok kullanıcı port kelimesinin anlamını anlamıyor. İsterseniz, bir bağlantı noktasını paketler üzerinde dijital bir etiket (sayı biçiminde) olarak ele alabilir ve bilgi paketlerini hedefe göre sıralamaya yardımcı olabilirsiniz. Bir tür ek yönlendirme aracı. Kural olarak, yönlendirici ayarlarında bir bağlantı noktası yönlendirme öğesi vardır. Bunu yapmak için, yönlendiricinin ağındaki aygıtın IP'sini, bu aygıtın yönetim için uygun olduğu bağlantı noktasını (yani aynı etiket) belirtin, harici bağlantı noktası, belirtilen bağlantı noktasına ve IP'ye bağlanacak bağlantı noktasıdır. cihazın

Çıktı:
DMZ, esasen harici bir ağdan bir yönlendiricinin (yönlendiricinin) yerel ağındaki belirli bir IP'ye ileten bir bağlantı noktasıdır. Port yönlendirmeden farkı, bir DMZ durumunda, belirtilen IP için tüm olası portların aynı anda açılmasıdır. Bu, güvenlik açısından etkili değildir, ancak yönlendiricinin arkasındaki herhangi bir cihaza uzaktan erişimi yapılandırmayı çok daha kolaylaştırır. Genellikle bu özellik video gözetiminde kullanılır.

çağda Bulut bilişim DMZ (Demilitarized Zone, askerden arındırılmış bölge, DMZ - kuruluşlara kamu hizmetlerini içeren ve sağlayan ve ayrıca bunları yerel ağın geri kalanından ayıran, dahili bilgi alanını harici kaynaklardan ek koruma sağlamaya izin veren fiziksel veya mantıksal bir ağ segmenti saldırılar) çok daha önemli hale geldi - ve aynı zamanda orijinal mimarlarının hayal ettiğinden çok daha savunmasız.

On ya da yirmi yıl önce, uç noktaların çoğu hala şirketin dahili ağındayken, DMZ ağa yalnızca bir eklentiydi. Yerel alan ağı dışındaki kullanıcılar çok nadiren dahili hizmetlere erişim istediler ve bunun tersi, yerel kullanıcıların kamu hizmetlerine erişme ihtiyacı da sık sık ortaya çıkmadı, bu nedenle o zaman DMZ çözmek için çok az şey yaptı. bilgi Güvenliği... Şimdi rolüne ne oldu?

Bugün ya bir yazılım şirketisiniz ya da çok sayıda SaaS hizmet sağlayıcısıyla çalışıyorsunuz (Hizmet olarak yazılım, yazılım hizmet olarak). Öyle ya da böyle, ancak sürekli olarak LAN'ınızın dışındaki kullanıcılara erişim sağlamanız veya bulutta bulunan hizmetlere erişim talep etmeniz gerekir. Sonuç olarak, DMZ'niz çeşitli uygulamalarla dolu kapasiteye sahiptir. Ve DMZ başlangıçta çevreniz için bir kontrol noktası olarak hizmet etmek için tasarlanmış olsa da, bu günlerde işlevi giderek daha fazla siber suçlular için harici bir reklam tabelası gibi.

DMZ'de çalıştırdığınız her hizmet, potansiyel bilgisayar korsanlarına kaç kullanıcınız olduğu, kritik iş bilgilerinizi nerede sakladığınız ve bu verilerin bir saldırganın çalmak isteyebileceği bir şey içerip içermediği hakkında başka bir bilgi mesajıdır. Aşağıda, DMZ'yi tüm bu karmaşayı ortadan kaldıracak şekilde etkinleştirmek ve yapılandırmak için en iyi dört uygulama bulunmaktadır.

1. DMZ'yi gerçekten ayrı bir ağ segmenti yapın

DMZ'nin arkasındaki temel fikir, gerçekten LAN'ın geri kalanından ayrı olması gerektiğidir. Bu nedenle, DMZ ve dahili ağınızın geri kalanı için farklı IP yönlendirme ve güvenlik ilkelerini etkinleştirmeniz gerekir. Bu, size saldıran siber suçlular için hayatı daha da zorlaştıracaktır, çünkü DMZ'nizle ilgilenseler bile bu bilgiyi LAN'ınıza saldırmak için kullanamayacaklardır.

2. DMZ içindeki ve dışındaki hizmetleri yapılandırın

İdeal olarak, DMZ'nizin dışındaki tüm hizmetler yalnızca DMZ'nin kendisiyle doğrudan bağlantı kurmalıdır. DMZ'nin içinde yer alan hizmetler aşağıdakilere bağlanmalıdır: dış dünya yalnızca proxy sunucuları aracılığıyla. DMZ içindeki hizmetler, DMZ dışındakilere göre daha güvenlidir. Daha iyi korunan hizmetler, daha az güvenli alanlardan istekte bulunurken istemci rolünü üstlenmelidir.

3. DMZ'ye erişmek için iki güvenlik duvarı kullanın

Üç veya daha fazla ağ arabirimine sahip tek bir güvenlik duvarı kullanarak DMZ'yi etkinleştirmek mümkün olsa da, iki güvenlik duvarı kullanarak yapılandırmak, siber suçluları caydırmak için size daha güvenilir bir yol sağlayacaktır. İlk güvenlik duvarı dış çevrede kullanılır ve yalnızca trafiği yalnızca DMZ'ye yönlendirmeye hizmet eder. İkincisi, dahili güvenlik duvarı, DMZ'den dahili ağa trafik sağlar. Bu yaklaşım, ağınıza saldırmaya karar veren bir bilgisayar korsanının önünde iki ayrı bağımsız engel oluşturduğu için daha güvenli olarak kabul edilir.

4. Ters Erişim teknolojisini uygulayın

Safe-T'nin yaklaşımı - Ters Erişim teknolojisi - DMZ'yi daha da güvenli hale getirecek. Bu ikili sunucu teknolojisi, güvenlik duvarında herhangi bir bağlantı noktası açma ihtiyacını ortadan kaldırırken aynı zamanda ağlar arasındaki uygulamalara (güvenlik duvarı aracılığıyla) güvenli erişim sağlar. Çözüm şunları içerir:

• Harici sunucu - bir DMZ / harici / korumasız ağ segmentine kurulur.
• Dahili sunucu - dahili / güvenli bir ağ segmentine kurulur.

Kuruluşun DMZ'sinde (yerinde veya bulutta) bulunan harici bir sunucunun rolü, kullanıcı arabiriminin (ön uç, ön uç) istemci tarafını, içinde bulunan çeşitli hizmetlere ve uygulamalara sürdürmektir. Dünya çapında Ağ... Dahili güvenlik duvarında herhangi bir bağlantı noktası açmaya gerek kalmadan çalışır ve dahili güvenlik duvarının açılmasını sağlar. yerel alan ağı yalnızca meşru oturum verileri girebilir. Ön uç sunucu, TCP boşaltma işlemini gerçekleştirerek, SSL (Güvenli Yuva Katmanı) trafik verilerinin şifresini çözmek zorunda kalmadan herhangi bir TCP tabanlı uygulamayı desteklemenize olanak tanır.

Dahili sunucunun rolü, oturum verilerini harici bir SDA (Yazılım Tanımlı Erişim) düğümünden dahili ağa barındırmak ve yalnızca oturum meşru ise, Katman 7 proxy işlevselliğini (SSL boşaltma, URL'leri yeniden yazma, DPI) yürütmektir. (Derin Paket Denetimi, Ayrıntılı Paket Denetimi) vb.) ve adreslenen uygulama sunucusuna iletin.

Ters Erişim teknolojisi, kullanıcıların kritik görev uygulamalarınıza erişmeden önce erişim izninin kimliğini doğrulamasını sağlar. Yasadışı bir oturum yoluyla uygulamalarınıza erişim sağlayan bir saldırgan ağınızı araştırabilir, kod yerleştirme saldırılarına girişebilir ve hatta ağınızda dolaşabilir. Ancak oturumlarını meşru olarak konumlandırma fırsatından mahrum kalan size saldıran saldırgan, araç setinin çoğunu kaybeder ve fonları çok daha sınırlı hale gelir.

Ebedi paranoyak Anton Kochukov.