我经常在路上工作,所以我想我可以带一台旧笔记本电脑并设置一些 VM 实验室来玩,这样当我不在家时就可以访问它。
它只是一台运行几个虚拟机的专用服务器,上面不会有任何重要的东西,如果它被黑客入侵并搞乱了,唯一会发生的事情就是我会有点恼火,因为我必须在回家后重置它。
因此,我认为与其花大量时间配置路由器和防火墙等以使其可访问且安全,不如直接将其放入 DMZ 中即可完成。
现在,我对 DMZ 及其操作不太熟悉。我可以将 IP 设置为位于 DMZ 中,但这就是它的全部范围。
如果我这样做,无论我的小型 VM 服务器多么脆弱或配置多么糟糕,都会对内部网络造成任何风险吗?或者,无论我是否在 DMZ 中拥有计算机,我的网络是否同样安全?
答案1
在大多数(如果不是全部)消费级路由器中,DMZ 是一个误称。毕竟,没有“区域”。正确的术语是“暴露主机”。这稍微澄清了一点。
暴露主机未与网络的其余部分隔离。它仍位于同一广播域中。如果它被攻陷,攻击者将可以不受限制地访问本地网络。(除非它以其他方式隔离。)
此外,如果您的暴露主机上正在运行任何“内部”服务,它们将突然可以通过互联网访问。
更好的方法是设置 VPN 服务(如 OpenVPN,只需要一个 TCP 或 UDP 端口)并仅为该服务转发端口。
答案2
简短回答:是的
如果仅向特定机器打开和转发某些端口,则您只需要担心这些端口的安全性。
DMZ 打开所有端口并将它们路由到一台机器。如果攻击者利用漏洞控制了 DMZ 盒,那么他们现在就进入了您的网络。
我的理解是 DMZ 只应用于非常临时的需要。