我不是应用程序开发人员——我首先要声明一下。
简而言之,我们的开发团队要求我打开一系列从 WAN 到 LAN 的端口,完全绕过我们的 DMZ。他们说这没问题,因为他们的 api 首先从 DMZ 中的两个 Web 服务器保护连接(使用 diffie helman,但那是另一回事),但他们有点不确定从 WAN 到 LAN 打开端口是否安全 - 有人能从安全角度告诉我这样做的可行性吗?
最终用户是否应该始终与 DMZ 进行通信,然后 DMZ 内的服务器与任何内部服务器进行所有通信?
答案1
设立 DMZ 区域的目的就是保护 LAN 免受来自互联网的直接访问。这意味着需要用户从互联网访问才能运行的服务/服务器(如 Web 服务器、电子邮件服务器等)被放在单独的网络上,并允许从外部进行受控访问。拥有单独的网络段 (DMZ) 可以对不同的段应用不同的防火墙策略,并从一个段到另一个段进行访问控制。这也使得对易受攻击段进行广泛监控成为可能,并且在出现安全漏洞的情况下,内部 LAN 段可以保持安全。
因此,如果您的组织已经拥有 DMZ 网络和相关政策,那么新提案就违背了为安全而进行网络分段的理念,需要彻底审查。保留现有网络架构可能是可行的替代解决方案。