Co to jest podsieć ekranowana?
Ekranowana podsieć to metoda ochronna stosowana w sieciach komputerowych, które mają zarówno obszary publiczne, jak i prywatne. Systemy te dzielą funkcje publiczne i prywatne na dwa odrębne obszary. Lokalny intranet zawiera prywatne komputery i systemy sieciowe, podczas gdy podsieć ma wszystkie funkcje publiczne, takie jak serwery WWW lub publiczne przechowywanie plików. Gdy informacje pochodzą z Internetu, router określa, do której sekcji systemu ma dostęp, i odpowiednio je wysyła. Jest to przeciwieństwo typowej sieci, w której po jednej stronie routera jest tylko intranet, a po drugiej Internet.
W standardowej sieci lokalny intranet łączy się z routerem, który kieruje informacje na zewnątrz do pełnego Internetu. Wewnątrz routera lub podłączony do routera znajduje się zapora ogniowa, która chroni intranet przed zewnętrznymi zakłóceniami. W przypadku ekranowanej podsieci istnieje trzecia część, która jest dostępna przez router, ale nie jest podłączona bezpośrednio do lokalnego intranetu, który umożliwia dostęp przez Internet. Ta trzecia sekcja znajduje się zwykle w strefie zdemilitaryzowanej (DMZ), co oznacza, że nie jest w pełni chroniona przez bezpieczeństwo sieci.
Jednym z podstawowych rozróżnień w ekranowanej podsieci jest różnica między systemami prywatnymi i publicznymi. Prywatny system zawiera komputery osobiste, stacje robocze, konsole do gier i inne rzeczy używane przez właścicieli sieci. Sekcja publiczna zawiera punkty dostępu, z których korzystają osoby spoza sieci. Typowe zastosowania dla połączeń zewnętrznych to hosting strony internetowej lub serwera plików.
Publiczne obszary sieci są w pełni dostępne i widoczne z Internetu, a prywatne informacje nie. Zazwyczaj odbywa się to za pomocą trzyportowej zapory ogniowej lub routera. Jeden port łączy się z Internetem i jest wykorzystywany przez cały ruch przychodzący i wychodzący. Drugi łączy się tylko z publicznymi częściami systemu, a trzeci łączy się tylko z prywatnym.
Korzystanie z ekranowanej podsieci jest w zasadzie funkcją bezpieczeństwa sieci. W typowym ataku zewnętrznym router i zapora byłyby sprawdzane pod kątem słabości. W razie znalezienia się intruz wchodziłby do sieci i miałby pełny dostęp do intranetu. Za pomocą ekranowanej podsieci intruz najprawdopodobniej znalazłby publiczne punkty dostępu i zaatakowałby tylko część publiczną. Kiedy obowiązuje strefa DMZ, zabezpieczenia publiczne są znacznie słabsze, co jeszcze bardziej zwiększa prawdopodobieństwo, że ta część systemu zostanie zaatakowana, a część prywatna zostanie pozostawiona sama.