[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"question-setevaya-bezopasnost-chto-takoe-dmz-i-zachem-ona-nuzhna":3},{"id":4,"slug":5,"topicId":6,"topicSlug":7,"topicName":8,"topicEmoji":9,"question":10,"answer":11,"codeLang":12,"codeSrc":12,"important":12,"commonMistakes":12,"modernUsage":12,"difficulty":13,"tags":14,"related":16,"progress":17,"seo":18},845,"chto-takoe-dmz-i-zachem-ona-nuzhna",24,"setevaya-bezopasnost","Сетевая безопасность","🔒","Что такое DMZ и зачем она нужна?","DMZ (Demilitarized Zone, демилитаризованная зона) — изолированный сегмент сети между внешней (интернет) и внутренней (корпоративной) сетями, содержащий сервисы, которые должны быть доступны извне, но не имеют прямого доступа к внутренней сети.\n\n> Аналогия: DMZ — это приёмная в офисе. Посетители (интернет-трафик) попадают в приёмную, где их встречает секретарь (reverse proxy), но пройти дальше в кабинеты (внутренняя сеть) они не могут без разрешения.\n\n### Типичная архитектура DMZ\n\n```\nИнтернет\n    │\n[Внешний Firewall]\n    │\n┌───────────────────────── DMZ ──────────────────────────────┐\n│  Web-сервер (Nginx)    API Gateway    WAF                  │\n│  Reverse Proxy         Load Balancer  Публичное API        │\n└────────────────────────────────────────────────────────────┘\n    │\n[Внутренний Firewall]\n    │\n┌──────────────────── Внутренняя сеть ───────────────────────┐\n│  Application Servers   Базы данных   Kafka   Внутренние API│\n│  Spring Boot apps      PostgreSQL    Redis                 │\n└────────────────────────────────────────────────────────────┘\n```\n\n### Правила для DMZ\n\n| Направление | Правило |\n|-------------|---------|\n| Интернет -> DMZ | Разрешён только определённый трафик (80, 443) |\n| DMZ -> Внутренняя сеть | Разрешён только необходимый трафик (конкретные порты) |\n| Внутренняя сеть -> DMZ | Допускается для управления и мониторинга |\n| Интернет -> Внутренняя сеть | Полностью запрещён |\n\n### Что размещается в DMZ\n\n- Reverse proxy \u002F Load Balancer (Nginx, HAProxy)\n- WAF (Web Application Firewall)\n- API Gateway — точка входа для публичных API\n- DNS-серверы для обслуживания внешних запросов\n- Почтовые серверы для приёма внешней почты\n\n### Пример правил iptables для DMZ\n\n```bash\n# Разрешить трафик из интернета в DMZ только на 80 и 443\niptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j ACCEPT\niptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 443 -j ACCEPT\n\n# Разрешить DMZ -> внутренняя сеть только на порт приложения\niptables -A FORWARD -i eth1 -o eth2 -d 10.0.100.10 -p tcp --dport 8080 -j ACCEPT\n\n# Запретить прямой доступ из интернета во внутреннюю сеть\niptables -A FORWARD -i eth0 -o eth2 -j DROP\n```\n\nВ банках DMZ — обязательное требование регуляторов (PCI DSS). Java-разработчик должен понимать, в каком сегменте работает его приложение, чтобы правильно настраивать подключения к другим сервисам.\n\n> **На собеседовании:** интервьюер хочет услышать про двухуровневую модель файрволов и принцип запрета прямого доступа из интернета во внутреннюю сеть. Частая ошибка — описать DMZ как просто «ещё один файрвол» без объяснения зонирования.","","middle",[15],"network-security",[],null,{"title":19,"description":20,"ogTitle":19,"ogDescription":21,"keywords":22,"schemaAnswer":23,"featuredSnippetReady":24},"Что такое сетевая сегментация и зачем она нужна? — Gymterview","Сетевая сегментация — разделение сети на изолированные сегменты (подсети), между которыми трафик контролируется файрволами и маршрутизаторами. Это фундаментальн","Сетевая сегментация — разделение сети на изолированные сегменты (подсети), между которыми трафик контролируется файрвола",[15,13],"Сетевая сегментация — разделение сети на изолированные сегменты (подсети), между которыми трафик контролируется файрволами и маршрутизаторами. Это фундаментальный принцип безопасности, ограничивающий распространение атаки при компрометации одного сегмента.",true]