我知道这又是一个有关如何设置网络的问题,但我希望您还没有对这样的问题感到厌烦。
该站点也是一个办公室,因此它包括windows dc,windows ad,exchange,sql,文件共享,开发应用服务器和其他pc。
除了办公室(内部)之外,还有由 Web 服务器-应用服务器-SQL 堆栈组成的测试和生产环境。还有向公众开放的 ftp 服务。
我认为:
dmz1 - Web 服务器 - Exchange Edge - ftp
dmz2 - 应用服务器 - 应用服务器的 sql
内部 - dc 和 ad - 交换中心和传输 - 内部文件共享 - 内部使用的 sql - 内部使用的应用服务器 - pcs
公共 -> dmz1,仅限 web、ftp 和 smtp 公共 -> dmz2 不可能 公共 -> 内部 不可能
dmz1 -> dmz2 可以通过 http 或 ajp 从 web 服务器到应用服务器进行 dmz1 -> dmz2 只能用于交换,否则无法进行
dmz2 -> 内部不可能
这听起来不错吗?还有其他建议吗?它将使用 MS ISA 或 Jupiter SSG 进行配置。谢谢。
答案1
以下是我的看法。你对网络分段的看法似乎是正确的。以下是一些想法。
您的 IDS 将位于何处?如果您有 2 个 DMZ 和一个内部区域,那么我认为您需要在每个区域的前面都安装 IDS 传感器。但是您需要允许来自 DMZ 中的 IDS 传感器的流量进入内部区域。
当我这样做时,您如何为 DMZ 中的设备提供 DNS 服务。
最后一个想法是要非常谨慎并严格锁定你的公共 FTP 服务器,它们很容易被滥用。
答案2
从通才的角度来看,您似乎已经对整体网络设计进行了尽职调查。我建议您记住以下几点:
- 非常谨慎地完善防火墙规则。正如您已经指出的那样,您的 DMZ2 无法从公共网络或私有网络访问。这很棒!您还指出只有某些服务器可以访问某些其他服务器。这甚至更好!确保只有您的应用服务器可以访问您的 SQL 服务器,并且只能在您需要的端口上访问。将每个节点的访问需求细化到最原子的级别!
- 收集所有设备的访问日志并监控其中的事件。也许使用 Splunk?甚至只是 Syslog。确保长期保存访问和流量数据。检查谁在何时以及为何访问了您的设备。
- 如果可能,请在设备上启用网络分析。Netflow/sFlow。收集数据并使用能够以有意义的方式显示数据的软件。分析流入、流出网络和流入网络的数据类型。如果您看到的流量没有让您感到惊讶,那说明您观察得还不够仔细。
- 您还应该完善每台机器的单独软件防火墙,这样,如果您的硬件防火墙偶然受到威胁和/或实施了错误的规则,软件防火墙也会阻止您不想要的流量。
- 一直记录,直到你的指尖流血、眼泪汪汪,甚至想要伤害发明 Wiki 和文档控制存储库的人。然后再记录一些。你正在进入一个曲折的迷宫。你需要对记录有很强的强迫症,以至于需要有人给你空投 Tofranil 的调色板(强迫症患者会知道 Tofranil 是什么。;) )。如果你的团队中有人在如此复杂的网络环境中没有正确记录,就用电击枪电击他们。
- 您可能还想考虑在可能的情况下加密数据流。就您的 Web 层而言,也许可以考虑使用 IPSEC 加密数据流。我承认,这可能有点过头了。
最终目标不仅仅是缩小攻击面,还要监视试图接触不可用和可用面的流量。这有点像确保银行拥有最好的锁、保险箱和陷阱,但从不监控设备以查看是否有人试图抢劫。假设有足够的无人监管时间,任何人都可以做任何事情。
您的 Web 和数据库服务器就像是装有硝酸甘油的金色瓶子。假设每个人都想用它们来牟利,同时也想在过程中用它们来轰炸您。实际上,任何面向公众的设备都是如此。
你走对了路!在划分网络方面做得很好。你比你的同行高出一筹。现在试着领先和肩膀高于标准。
答案3
是的,这是另一个问题。你没有非常具体地描述你的需求/目标。答案在于你对以下问题的回答(但不限于):
有多少用户?
您需要为这些用户提供什么服务?
你需要向外界提供什么服务?
实施 IT 基础设施的业务目标/要求是什么?
DRP\BCP 需要什么?
等等等等
您当前的问题就像问:
我正在烤馅饼。我有一些苹果,我想用一些面粉和糖。你觉得怎么样?