所以,我对网络了解不多,但我正在尝试创建自己的 Web 服务器,以便我可以进行网站开发实践。一切都进展顺利,直到我了解到我必须“转发一些端口”。问题在于,我的网络上有一些计算机保存着敏感的财务信息,我希望尽可能地保护这些信息。最好的方法是什么?我应该尝试设置两个独立的家庭网络吗?如果是这样,我该怎么做?
答案1
思考这个问题的方法是信任。现在,您信任内部网络上的所有内容,而不信任外部内容。这是因为您确信内部网络设备在您的控制之下,并且知道您无法控制任何外部内容。任何外部内容都是不可信的(这不是一个词,但很常用)
内部和外部网络之间的任何交互都会导致内部网络信任度的下降。因为即使在使用内部网络上的某些内容浏览外部网络上的 Web 服务器时,您也会暴露它 - 例如,某些恶意程序可能会利用您浏览器中的漏洞。
通过仔细控制传出连接可以减轻此类风险。在公司环境中,您可能会使用代理服务器来处理网络流量,该服务器可以扫描恶意活动。对于电子邮件,您可以使用内部中继。这两种方法都有助于避免受信任设备和不受信任设备之间的直接接触。
当您进行端口转发时,您允许不受信任的来源直接访问您的受信任设备。这会大大降低此设备的可信度,以至于它不再被视为可信:半可信。
如果这台机器位于您的内部网络上,那么您现在拥有能够直接与半信任设备交互的可信设备,反之亦然,从而降低它们的网络信任。
为了缓解这种情况,我们将半信任设备放入其自己的网络中,并严格控制半信任网络(称为 DMZ)和内部网络之间的访问。
理想情况下,可以使用防火墙来阻止从 DMZ 发起到内部网络的连接。在许多情况下,这是不可行的,必须允许某些访问。
从内部网络对 DMZ 的访问也应受到类似的控制,并通过防火墙规则将其保持在最低限度。