从安全角度来看,如果您打算在家里运行流量低(不受欢迎)的网站,那么在家里全力设置 DMZ 有什么好处?
家里有几台计算机位于同一个 Windows 网络上,但所有 HTTP 和 SSL 流量都重定向到该网络上的特定计算机。是否需要将该计算机设置在某种 DMZ 中以增加安全性?
答案1
是的。任何来自互联网的传入流量,只要不是对您某台计算机的请求的响应,都应该是可疑的。在很多情况下,您的网站可能会受到攻击,这可能会导致有人访问内部网络。
现在,不幸的现实是,大多数商用家用路由器没有能力设置适当的 DMZ。它们可能允许您设置一个 DMZ IP,所有外部流量都会路由到该 IP。这不允许 DMZ 应提供的分离。要拥有功能齐全的 DMZ,DMZ 中的计算机需要位于与主网络不同的 IP 范围或子网中,并且位于仅支持 DMZ IP 范围的路由器上的不同端口上。正确配置 DMZ 的最终结果是 DMZ 中的系统无法直接访问主网络上的 IP。
还要确保您的路由器不会出于管理目的将 DMZ 视为内部。因此,它不应该信任来自 DMZ 的流量,也不应该信任来自互联网的流量,并且您不应该能够从 DMZ 上的任何系统访问路由器的管理界面。这通常是其他人提出的“双路由器”解决方案的问题。外部路由器仍然将 DMZ 中的系统视为内部和受信任的系统。这个外部路由器可能会受到威胁,所有内部流量仍然需要通过它才能到达互联网。
答案2
如果您已经转发了想要提供的特定服务(HTTP 和 SSL),那么 DMZ 的唯一用途就是限制该机器受到攻击(例如,通过编写不当的 cgi)时造成的损害。决定是否这样做应该基于这会造成多大的损害 - 如果网络上没有其他机器,那就没什么大不了的,但如果有一个不安全的内部 NAS,里面有您所有的个人财务记录,您可能需要一个额外的内部安全层,是的。
答案3
我仍然会这样做,因为这样做相对容易。如果您有两个宽带路由器,您可以将它们设置为不同的私有 IP 地址空间(例如 192.168.100.1-254 和 192.168.200.1-254)。将 Web 服务器挂在第一个路由器上,该路由器直接连接到 Internet。使用端口转发指向您的 Web 服务器。将您私有网络中的所有系统放在第二个宽带路由器后面。这样,如果 Web 服务器由于某种原因受到攻击,它们将不得不通过第二个宽带路由器进入您的其他系统。
答案4
大多数家庭网络没有足够的公共 IP 地址空间来有效地设置 DMZ。但是 DMZ 的目的通常是将表示层(如 Web 服务器)放在那里,然后将数据库服务器置于防火墙后面,只允许 DMZ 中的计算机通过指定的端口和协议与数据库服务器通信。它确实增加了安全性,但对于家庭设置来说,除非您正在服务适合 DMZ 的 N 层应用程序,否则这没什么意义。