如果您需要打开从 DMZ 到 LAN 的端口,那么什么时候分离不再值得?

如果您需要打开从 DMZ 到 LAN 的端口,那么什么时候分离不再值得?

如果您有一个包含一个或多个服务器/服务(可能是 FTP、HTTP 和 SMTP)的 DMZ,并且您有一个包含典型服务器服务(如文件共享、Active Directory、数据库服务器)的 LAN。

根据服务和资源的集成,DMZ 和 LAN 之间的防火墙可能有许多开放端口。在什么情况下您会考虑不使用 DMZ?

谢谢!

答案1

没有任何现实的衡量标准会让我考虑不使用 DMZ。有了安全性,您获得的每多一点都会有所帮助。这样做的目的是限制可能遭受的攻击数量。 作为管理员,我们经常需要为我们被允许实施的安全性而斗争,因此,请尽你所能。 即使您必须将局域网中的一台主机完全开放到 DMZ,一台主机也比每台主机都要好得多。

一个现实的例子是将前端 Exchange 服务器放在 DMZ 中,将后端和活动目录放在 LAN 中。尽管仍然可以从 DMZ 访问这些服务器,但至少您限制了可能的访问方式。然后,您可以花精力关注与这些特定服务相关的任何安全通知。

答案2

DMZ 的目标通常是将不受信任的网络与受信任的网络分开。根据防火墙的级别,除了开放端口之外,您还可以控制连接的许多方面。

我的经验是,公司会制定一项政策,阻止任何不受信任的连接直接与受信任的资源进行通信,但例外情况会得到仔细审查。例如,DMZ 中的反向代理服务器可以在不受信任的连接从受信任的资源获得数据之前对其进行预身份验证。

另一个值得考虑的问题是,即使开放了端口,也可以控制哪些设备可以通过这些端口进行通信。例如,可能需要开放一个端口以允许 DMZ 中的 Web 服务器和受信任网络中的 SQL 服务器之间进行 SQL 通信,但您可以将通过该端口的流量限制为仅限 Web 服务器和 SQL 服务器。

最终,您需要制定一个边界策略来提供最低级别的访问以满足您的应用程序要求。

答案3

我不喜欢“DMZ”这个术语,因为它暗示着有一个单独的区域,你可以将你并不真正信任的东西扔进去。事实上,很多地方只是将一些随机的交换机或集线器连接到防火墙的另一个接口,并称之为“DMZ”。

我更喜欢将单个服务隔离到单个区域中(通常是防火墙上的接口和连接到防火墙的交换机上的 VLAN 的混合)。从那里,我将根据每个服务/每个服务器使用 ACL/防火墙规则进行对称 natting 或直接路由的混合。如果您是 FTP 服务器,您将获得与 ftp 相关的访问权限;DNS 服务器?您将获得端口 53,等等。但我从不将 ftp 服务器和 DNS 服务器放在同一个广播域中。

对我来说,“DMZ”的主要作用是充当监控和控制流量的单点,而不仅仅是阻止流量。您可以根据服务设置策略,并且有一个单点来设置日志记录、监控和过滤。

当然,如果您最终出于某种原因不得不直接通过 nat 接入您的公司网络,至少您仍然可以监控引入流量的特定规则的日志,并比其他主机更密切地监控该特定主机。但理想情况下,您也可以将该服务器移至 DMZ,并允许从公司区域内部对该服务区域的访问量多于从外部允许的访问量;这样您就可以 100% 地查看该主机生成的流量,这样如果它受到面向互联网的服务的攻击,您就可以从流量日志中快速发现它。

答案4

您是否应该将一些服务移至 DMZ?尽量让 LAN 从任何地方都无法访问。然后管理 DMZ 区域内的安全性。

相关内容