我正在尝试使用 IPCop 配置 DMZ,但看起来 IPCop 中 DMZ 的默认配置没有 DHCP 并且无法访问 Internet。
即使我手动将 IPCop 配置为我的默认网关和 DNS 解析器,似乎也没有从 DMZ 到 Internet 配置 NAT(只有另一种方式)。
我想知道在 DMZ 内部访问互联网的利弊。
优点
- 我可以轻松地在 DMZ 系统上运行更新,甚至可以安排自动修补安全更新
- 只需下载必要的软件包即可安装 Ubuntu 系统,比从 CDROM 安装要容易得多
缺点
- 如果受到攻击,机器可能会被用作 DDoS 攻击的一部分
除了“如果有人入侵了我的计算机,那么它也可以被用来入侵互联网上的其他人”这个论点之外,我认为没有理由不让我的 DMZ 计算机访问互联网。
这是一个坏主意吗?
答案1
允许 DMZ 中的任何机器完全不受管制地访问互联网是毫无意义的,也不应该要求这样做。您应该能够配置出站访问,但您只应对需要的内容进行配置,例如更新所需的端口和目标地址。DHCP 通常不在 DMZ 中使用,这就是它不可用的原因。
只需下载必要的软件包即可安装 Ubuntu 系统,比从 CDROM 安装要容易得多
正常的做法是在内部网络上设置机器,并在完全配置并准备使用时将其移至 DMZ。
答案2
我不是 IPCop 用户,但一般的安全理论是从您的 DMZ 提供对您的 DMZ 系统所需的任何特定站点和服务的有限出站访问。
就我的情况而言 - 我的 DMZ 托管了几个 Linux 服务器和几个 Windows 机箱 - 我为少数几个获准的站点提供出站 HTTP/S 访问权限。
这些包括 Windows 更新站点、我的 CentOS 盒子的镜像以及我的基于 Windows 的 AV 产品的更新服务器。我认为这些站点足够安全,可以保持始终开启的配置。
答案3
它是大概这是一个坏主意,但这完全取决于对您和您的公司来说什么是可以接受的风险(您的第一个论点是可以接受的风险吗?)。
这还取决于您已实施的其他安全措施。我通常倾向于锁定 DMZ(我的大多数网络),以便仅在需要时和需要时才允许访问。其他人不遵循相同的策略。例如,在我上一个位置的 DMZ 中,我在防火墙上设置了规则,允许对 Windows 更新进行出站访问,并且仅在更新服务器时启用规则。之后,它们将被关闭。