エクストラネットとDMZの違い[終了]

8

私はイントラネット、エクストラネット、DMZ、VPNについて読んでいますが、エクストラネットとDMZに関連する説明が必要です。私はそれらがさまざまなタイプの概念であることを理解しています-エクストラネットは一部のイントラネットリソースへの制限付きアクセスを許可しますが、DMZはインターネットとイントラネットの間に位置し、外部向けのサービスをホストするサブネットです。ただし、通常の設定で実際にそれらの違いは何ですか?エクストラネット上のWikipediaの記事は、彼らが同じ目的のために使用されているので、エクストラネットは、(全体のイントラネットを公開せず、一部のサービス/リソースへのアクセスを提供する)のDMZに似ていると言います。この記事では、エクストラネットはVPNの一部であると述べており、このTechNet記事また、エクストラネットアクセスは、リモートイントラネットアクセスと同様に、たとえばVPNを使用して実装されることが多いと述べています。TechNetの記事では、一般的にエクストラネットはDMZ内でホストされているとも述べています。このピアソンの記事は、「[DMZ]は技術的にはイントラネット内にありますが、[それ]はエクストラネットとしても機能します」と述べています。これは少し混乱します。

次のシナリオを検討してください。ある企業がDMZでホストされているB2C Webサイトを持っています。ウェブサイトはどこからでもアクセスできますが、ユーザー認証が必要です。基盤となるWebアプリは、イントラネット内にデータベースを持ち、イントラネット内でホストされている一部のWebサービスとも対話します(つまり、イントラネットリソースにアクセスします)。私の見たところ、このWebサイトはイントラネットへの制限付きアクセスを効果的に提供しています。しかし、それはエクストラネットと考えることができますか?ウィキペディアでエクストラネットの定義を文字どおりに解釈すると、「エクストラネットは、組織のイントラネットの外部から制御されたアクセスを可能にするコンピューターネットワークです」と私は思います。

上記はエクストラネットと見なすことができないとしましょう。シナリオを少し変更して、B2B Webサイトであるとすると、アクセスは、たとえば特定のビジネスパートナーからの接続に制限されます(たとえば、サイト間VPNを使用して)。この場合、それは確かにエクストラネットですよね?これが事実である場合、エクストラネットサービスとDMZでホストされている他のサービスとの違いは、単にアクセス制限ですか?

vpn  dmz  intranet 
マーカス・イヨラ
ソース
7
私のアドバイスは、詳細に行き詰まることではありません。企業内でも、これらの定義はさまざまです。それが役立つ場合は、ここでエクストラネットというフレーズを使用することはほとんどありません。ほとんどの人は、何かを一般に公開する(パスワードで制限されている場合でも)か、内部であると宣言します。DMZは、ファイアウォールとセキュリティに関する単なるネットワーキングの概念です。DMZの前、DMZ、またはDMZの背後でWebサイトをホストでき、インターネットからアクセスできる場合は、それでも外部Webサイトです。
ダン
@ダン、それが本当の人生だったら、私はこれで行き詰まることはないだろう。MDMarraの答えに対する私のコメントを見てください。多分私はエクストラネットについて完全に言及しないようにしようと思います...
MarkusYrjölä14年

回答:

14

これらは学術的な違いです。現実の世界では、これらの概念のいくつかの組み合わせが、異なる用語で進んでいることがわかります。

一部の組織では、DMZは個別のISPネットワーク接続を持ち、内部リソースにアクセスできません。他の組織では、DMZにドメインに参加しているマシンがあり、制限された一連の内部マシンと通信できます。内部とDMZには別々のファイアウォールがある場合があります。時々、それらは同じファイアウォール上に別々のインターフェースを持っています。

なぜエクストラネットまたはDMZを使用する必要があるのを理解することは重要です。なぜなら、それらは重要なセキュリティの概念だからです。そこから、特定のリソースへのアクセスを許可する方法を選択できます。それが実際に何と呼ばれるかは問題ではありません。いくつかのケースでは、それは毛を分割しています。

MDMarra
ソース
私が修士論文のために行っている研究の一部としてこの質問をしたので、あなたがそのようにあなたの答えを始めたことは面白いです。だから残念なことに、私はこのようなもので学問を取得する必要があります。まあ、なんとかして用語を定義し、それに何らかの理由を提供する必要があると思います。
MarkusYrjölä2014
7

最近、教科書や教室以外のエクストラネットについて聞いたことがないと思います。

A DMZは、内部ネットワークからファイアウォールによって分離されたネットワークセグメントとの一般的なネットワークトポロジで信頼できない外部ネットワーク(別名、インターネット)。

これとは対照的に、エクストラネットは、実際にネットワーク設計に含まれている場合、大規模なインターネット全体ではなく、VPNまたは実際のプライベートネットワークに接続されていることを意味します。

多くの企業は複数のDMZネットワークを持っており、VPNゲートウェイ/ルーターまたはプライベート相互接続を備えたネットワークを別のDMZと見なすでしょう。

多くの場合、エクストラネットはそれほどネットワークトポロジではありませんが、ある程度信頼され、既知の、および/または認証された外部ユーザー、企業、およびネットワークの制限されたセットに提供される内部ネットワークとは別のサービスであることを意味します。

ネットワークの観点からは、WebサーバーはDMZネットワークに常駐する必要があります。Webサイトでリセラーがログインし、カタログを閲覧し、在庫と注文を確認できるという事実は、Webサイトがマーケティング部門からエクストラネットと呼ばれることを意味します。開発コストは、$$から$$$$になります。

HBruijn
ソース
1
おかげで、これはいくつかのことを明確にし、私が自分でそれを理解した方法とかなりよく一致しています。最近、職場でエクストラネットの話をしているのを聞いたことがあります。
MarkusYrjölä2014
2

私は、これをセキュリティポリシーに要約します。特定の例外が許可されない限り、公的にアクセス可能なシステムはイントラネットへのインバウンドアクセスを許可しないというポリシーを書いています。また、DMZにはイントラネットへのインバウンドアクセスがなく、エクストラネットではアクセスできないというポリシーもあります。たとえば、イントラネットベースのデータベースとデータを同期する必要があるバックエンドデータベースを備えたWebサーバーがあります。WebサーバーはDMZに配置し、バックエンドデータベースはエクストラネットに配置し、運用イントラネットデータベースと同期します。したがって、信頼度の評価では、パブリックネットワークは0、DMZは1、エクストラネットは2、イントラネットは3になります。

コーリーアダム
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.