Eu tenho lido sobre intranets, extranets, DMZs e VPNs agora e preciso de alguns esclarecimentos relacionados a extranets e DMZs. Entendo que são tipos diferentes de conceitos - a extranet permite acesso limitado a alguns recursos da intranet, enquanto a DMZ é uma sub-rede que fica entre a Internet e a intranet e hospeda os serviços externos. No entanto, eu gostaria de saber qual é a sua distinção na prática em uma configuração usual? O artigo da Wikipedia sobre extranets diz que as extranets são semelhantes às DMZs porque são usadas para a mesma finalidade (fornecer acesso a alguns serviços / recursos sem expor toda a intranet). O artigo também afirma que uma extranet faz parte de uma VPN e este artigo do TechNettambém afirma que o acesso à extranet é frequentemente implementado de maneira semelhante ao acesso à intranet remota, por exemplo, com uma VPN. O artigo TechNet também diz que geralmente a extranet é hospedada dentro da DMZ. Este artigo da Pearson diz "Embora [a DMZ] esteja tecnicamente localizada na intranet, [ela] também pode servir como extranet". Isso é um pouco confuso.
Considere este cenário: Uma empresa possui um site B2C hospedado na DMZ. O site pode ser acessado de qualquer lugar, mas requer autenticação do usuário. O aplicativo da web subjacente possui seu banco de dados dentro da intranet e também interage com alguns serviços da web hospedados dentro da intranet (ou seja, ele acessa recursos da intranet). Do meu ponto de vista, o site oferece efetivamente um acesso restrito à intranet. Mas isso pode ser considerado uma extranet? Se considerarmos literalmente a definição de extranet da Wikipedia - "Uma extranet é uma rede de computadores que permite acesso controlado de fora da intranet de uma organização" - acho que pode.
Digamos que o exposto acima não pode ser considerado uma extranet. E se mudarmos um pouco o cenário e dissermos que é um site B2B, em que o acesso é limitado, por exemplo, a conexões provenientes de um parceiro de negócios específico (usando a VPN site a site, por exemplo). Nesse caso, certamente é uma extranet, certo? Se for esse o caso, a diferença entre os serviços de extranet e outros serviços hospedados na DMZ é simplesmente restrições de acesso?
Respostas:
Essas são distinções acadêmicas. No mundo real, você encontrará alguma combinação de todos esses conceitos em termos diferentes.
Em algumas organizações, uma DMZ possui uma conexão de rede ISP separada e não tem acesso a recursos internos. Em outras organizações, existem máquinas ingressadas no domínio na DMZ que podem se comunicar com um conjunto restrito de máquinas internas. Às vezes, a DMZ interna e a DMZ possuem firewalls separados. Às vezes, eles têm interfaces separadas no mesmo firewall.
É importante saber por que alguém deve usar uma extranet ou DMZ, porque esses são os conceitos de segurança que importam. A partir daí, você pode escolher como permitir o acesso a determinados recursos. O que é realmente chamado não importa. Em alguns casos, está partindo os cabelos.
fonte
Acho que não ouvi falar recentemente de uma extranet fora dos livros e das salas de aula.
Uma DMZ é uma topologia de rede comum com um segmento de rede segregado por firewalls da rede interna e redes externas não confiáveis (também conhecida como Internet ).
Em contrapartida, a Extranet , se é realmente incluída no design da rede, implica um pouco que esteja conectada à VPN ou às redes privadas reais, em vez de à Internet inteira.
Muitas empresas têm várias redes DMZ e considerariam uma rede com um gateway / roteador VPN ou uma interconexão privada apenas outra DMZ.
Com mais freqüência, uma extranet não é uma topologia de rede, mas está implícita em ser um serviço separado da rede interna que é fornecida para um conjunto restrito de usuários, empresas e redes externas confiáveis, conhecidas e / ou autenticadas.
Do ponto de vista da rede, seu servidor da web deve residir na rede DMZ. O fato de seu site permitir que seus revendedores façam login, navegue em seu catálogo, exiba estoque e pedidos, significaria que seu site seria chamado de extranet pelos departamentos de marketing. O custo do desenvolvimento iria de $$ a $$$$.
fonte
Para mim, eu refiro isso à política de segurança. Escrevemos uma política de que nenhum sistema acessível ao público terá acesso de entrada à intranet, a menos que uma exceção específica seja autorizada. Também temos uma política de que a DMZ não terá acesso de entrada à nossa intranet e que nossa extranet possui. Por exemplo, temos um servidor Web com banco de dados back-end que deve sincronizar dados com um banco de dados baseado na intranet. Colocamos o servidor da Web na DMZ, o banco de dados de back-end na Extranet e ele é sincronizado com o banco de dados da intranet de produção. Portanto, para classificação de confiança, a rede pública seria 0, a DMZ seria 1, a Extranet seria 2 e a intranet seria 3.
fonte