我们正在考虑将公司网站从外部托管和设计切换到内部 WordPress 服务器。这样我们就可以保持直接控制,并运行我们自己的流量分析。
目前,我们使用 Checkpoint 防火墙,其策略相当严格,并且没有 DMZ。如果启动 WordPress 服务器,并且只允许外部源使用 HTTP、HTTPS 协议访问,那么安全性如何?该服务器将与我们其他内部服务器在同一集群中进行虚拟化。
另一方面,这种情况甚至会被视为 DMZ 吗?
答案1
这种情况会被视为 DMZ 吗?
是的。当向外界公开内部服务时,最好将此公共服务置于 DMZ 中以保护其他内部服务。基本上,此 DMZ 将是一个由专用防火墙接口路由的新网络段。
如果只有一个防火墙,则防火墙上需要三个接口:
- 广域网
- 局域网
- 非军事区
您的 WordPress 服务器将连接到 DMZ 接口。为此,您必须在放置服务器的网络上创建一个新的 VLan。此 VLan 的默认网关应为防火墙的 DMZ 接口的 IP 地址。
假设此 VLan 是 192.168.1.0/24,您的 DMZ 接口 IP 地址将是 192.168.1.1,而您的服务器 IP 将是 192.168.1.10。
http://en.wikipedia.org/wiki/DMZ_%28computing%29#Single_firewall
您需要将此 VLan 扩展到您的虚拟化基础设施,以便能够将您的服务器连接到此 VLan。
然后,只需使用防火墙将 DNAT http/https 流量从公共 IP 传输到您的服务器。
这样,您就只允许从 WAN 接口到 DMZ 接口的流量,以便 LAN 不会受到损害。