我知道 DMZ 应该包含充当受信任区域(如 LAN)和其他半受信任或不受信任区域(如互联网或另一个 DMZ)之间的中间点的服务器。
根据这一声明,我们的团队已经开始在我的企业网络中设计这些区域。我们也是一家移动运营商公司。
在 DMZ 中我们将安装 DNS、HTTP 和 SMTP 服务器。现在普通用户可以使用 Web 服务器访问我们的网站,无论他来自受信任或不受信任的区域。但同时我们网站中的某些服务需要从移动的核心网络访问。我们担心这里的安全性。我们是否应该将移动服务器放在另一个 DMZ 上。
我们考虑过不把它放在 DMZ 中,但我们会配置 DNS 以将对这些服务的所有请求转发到移动核心服务器中所需的服务器。我们会将这些服务器作为位于 DMZ 中的 Web 服务器的主域的子域。
现在,当用户输入例如:domain1.com 时,它将转到主网络服务器,现在有一个链接要求我们转到移动核心服务器,即 mobile.domain1.com
不将移动网络置于 dmz 中可以实现这一点吗?
我附加了一张照片来更清楚地描述我们的想法,我希望您对这个问题提出建议。谢谢。
答案1
网络和安全设计总是归结为威胁级别与努力级别或成本效益。
如果移动网络由你们自己管理,我认为没有必要让事情变得更加复杂,因为必须管理完后还有DMZ。为什么不只设置一个 DMZ,让所有应用服务都从那里开始呢?从网络和安全角度来看,这将减少您未来的管理和故障排除开销。
如果移动网络不是由您自己管理的,那么您需要与管理它的人交谈,就好像他们提供服务一样,其他客户肯定也有类似的需求 - 如果他们为您提供对其系统的特权访问权限,那么他们需要知道您向他们发送的任何额外流量。